NEWS

Certificazione cibersicurezza: definito il quadro normativo nazionale, ma non basta

Come noto recentemente è stato emanato e pubblicato sulla G.U. il decreto legislativo n. 123/2022 recante norme di adeguamento della normativa nazionale alle disposizioni del titolo III "Quadro di certificazione della cibersicurezza" del regolamento (UE) 2019/881 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione e che abroga il regolamento (UE) n. 526/2013 ("regolamento sulla cibersicurezza").

Avv. Michele Iaselli

(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)

Il decreto attua la delega prevista dall'articolo 18 della legge di delegazione europea 2019-2020 (legge 22 aprile 2021, n. 53) volta all'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) n. 2019/881 del 17 aprile 2019, relativo all'Agenzia dell'Unione europea per la cibersicurezza (European Union Agency for Network and Information Security — ENISA) e al quadro europeo della certificazione.

Più precisamente, il provvedimento dà attuazione ad alcune disposizioni del titolo III del regolamento, relative alla certificazione della cibersicurezza dei prodotti, dei servizi e dei processi relativi alle tecnologie dell'informazione e della comunicazione (ICT).

Il titolo istituisce il quadro europeo di certificazione della cibersicurezza, ovvero un meccanismo volto a istituire un sistema europeo comune di certificazione della cibersicurezza e ad attestare che i prodotti, servizi e processi ICT valutati nel loro ambito sono conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita.

In particolare, l'articolo 51 descrive gli obiettivi di sicurezza dei sistemi europei, l'articolo 52 ne illustra i livelli di affidabilità e l'articolo 54 ne elenca gli elementi. L'articolo 56 disciplina la certificazione della cibersicurezza, specificando che i prodotti, servizi e processi TIC certificati ricorrendo ad un sistema europeo di certificazione sono considerati conformi ai requisiti di tale sistema. La certificazione è volontaria, salvo quanto diversamente specificato dal diritto dell'Unione o degli Stati membri. I certificati sono rilasciati da organismi di valutazione della conformità (articolo 56, par. 4), operanti al livello nazionale (articolo 60).

L'articolo 57 specifica che eventuali sistemi nazionali di certificazione della cibersicurezza che risultino coperti da un sistema europeo cessano di produrre effetti a decorrere dalla data di entrata in vigore del sistema europeo medesimo.

Gli Stati membri sono incaricati di designare autorità nazionali di certificazione (articolo 58). Al livello europeo, invece, opera il Gruppo europeo per la certificazione della cibersicurezza (articolo 62), composto da rappresentanti delle autorità nazionali.

Recentemente è stato emanato il Dlgs 123/2022, ma la strada da fare è ancora tanta

Il d.lgs. n. 123/2022 si compone di 15 articoli suddivisi in 5 Capi.

Il Capo I reca disposizioni di carattere generale (artt. 1-3).

Il Capo II definisce le procedure di certificazione della cibersicurezza disciplinando diffusamente i compiti e gli obblighi in tale ambito dell'Autorità nazionale per la cibersicurezza, dei fabbricanti o fornitori dei prodotti ICT e degli Organismi di valutazione (artt. 4-10).

Le sanzioni, i controlli e i ricorsi giurisdizionali relativi alla violazione delle procedure di certificazione sono oggetto del Capo III (artt. 9-12).

Infine, il Capo IV reca disposizioni finanziarie (artt. 13 e 14) e il Capo V le disposizioni finali (art. 15).

In particolare l'articolo 4 del decreto interviene in merito all'autorità nazionale di certificazione della cibersicurezza, disciplinando le modalità con cui sono definite l'organizzazione e le procedure per lo svolgimento dei compiti ad essa affidati.

L'articolo 5 elenca e disciplina le attività di vigilanza svolte in ambito nazionale dall'Agenzia che deve innanzitutto vigilare sul mercato nazionale per garantire la corretta applicazione delle regole previste dai sistemi europei di certificazione della cibersicurezza, con riferimento ai certificati di cibersicurezza ed alle dichiarazioni UE di conformità emessi nel territorio dello Stato, ai sensi dell'articolo 58, paragrafo 7, lettere a) e b), del Regolamento (UE) 2019/881.

L'articolo 6 reca la disciplina per il rilascio dei certificati di cibersicurezza.

Con riferimento ai certificati di cibersicurezza con livello di affidabilità elevato, l'Agenzia provvede al relativo rilascio tramite l'Organismo di Certificazione della Sicurezza Informatica (OCSI). A tal fine, l'OCSI può avvalersi di esperti o di laboratori di prova (ai sensi dell'articolo 8, comma 4, cui si rinvia), abilitati dall'Agenzia ad operare per proprio conto e iscritti nell'elenco dei laboratori di prova e degli esperti per le attività di vigilanza nazionale.

L'articolo 7 definisce e disciplina le dichiarazioni UE di conformità.

Esse trovano applicazione all'interno di un sistema europeo di certificazione della cibersicurezza che abbia autorizzato l'autovalutazione di conformità (articolo 54, paragrafo 1, lettera e), del Regolamento) e consentono ai fornitori o fabbricanti di prodotti ICT, servizi ICT o processi ICT di rilasciare, sotto la propria responsabilità, dichiarazioni UE di conformità di livello di base per dimostrare il rispetto di requisiti tecnici previsti nel sistema.

L'articolo 8 regolamenta la procedura di accreditamento ed autorizzazione degli organismi di valutazione della conformità, nonché di abilitazione dei laboratori di prova e degli esperti dell'Agenzia.

Inoltre, allo scopo di elevare il livello nazionale di cibersicurezza, l'articolo 9 consente all'Agenzia di realizzare progetti di ricerca - ivi inclusi quelli per lo sviluppo di software - e di formazione, anche in collaborazione con università, centri di ricerca o laboratori specializzati nel campo della valutazione della sicurezza informatica, anche nel contesto di attività di supporto alla standardizzazione a livello nazionale, europeo ed internazionale.

In realtà va precisato che i primi effetti concreti sull'ordinamento dei singoli Stati membri avverranno soltanto attraverso la successiva adozione di sistemi europei di certificazione della cibersicurezza elaborati per specifici ambiti (quali certificazioni in base allo standard Common Criteria, servizi cloud, reti 5G) con atti di esecuzione della Commissione Europea (art. 49, par. 7 del regolamento). Con la pubblicazione del piano di sviluppo della Commissione Europea (art. 47) si prevede l'adozione sistemi di certificazione specifici anche per i dispositivi IoT (Internet of Things), e per gli IACS (Industrial automation and control systems).

Note Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Prev Smart working & privacy: indicazioni pratiche per la regolamentazione dei dati personali
Next Il rispetto della dignità dei pazienti nelle strutture sanitarie: sempre attuali le preziose indicazioni del Garante per la Privacy

Adnkronos, più tutele per i dati con il Gdpr

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy