Il Cybersecurity act al voto finale

A breve il Parlamento Europeo procederà al voto finale sul Cybersecurity Act, un provvedimento volto ad impostare una politica comune sulla sicurezza informatica che nei suoi contenuti era stato definito nello scorso mese di dicembre 2018 a seguito di negoziazione fra gli organismi coinvolti nella sua predisposizione.

Vediamo gli elementi di novità e criticità di questo provvedimento.

La prossima scadenza elettorale per il rinnovo del Parlamento Europeo e conseguentemente anche della Commissione Europea, prevista per la fine di maggio, impone una rapida decisione circa la entrata in vigore delle nuove regole ciò al fine di evitarne il rinvio a dopo le elezioni, con il rischio concreto che una diversa composizione politica del Parlamento e della Commissione stessa determinino un allungamento dei tempi o addirittura modifiche delle stesse regole con grave pregiudizio della sicurezza informatica alla luce anche dei dati emersi in occasione della recentissima presentazione in anteprima dei dati del Rapporto Clusit 2018 sulla sicurezza informatica.

Cosa prevede il Cybersecurity Act

Esso si articola in due parti: nella prima parte viene rafforzato il ruolo dell’ENISA, l’Agenzia Europea per la sicurezza delle reti e dell’informazione, quale Agenzia che dovrà occuparsi di prevenzione e di difesa dagli attacchi hacker in tutto lo spazio comune europeo, mentre nella seconda parte saranno indicate le regole e gli standard di valutazione sulla sicurezza dei prodotti informatici in vendita nella UE, al fine di certificarli come “sicuri” e con una valenza per tutto il territorio della Unione Europea armonizzando le singole normative nazionali sul tema.

Se sul ruolo dell’ENISA quale Agenzia di difesa comune dagli attacchi hacker c’è stato un accordo unanime degli addetti ai lavori, più di qualche perplessità ha destato la parte dedicata alle certificazioni degli standard di sicurezza dei prodotti informatici, perplessità che in parte ci sentiamo di condividere.

La certificazione ricordiamolo non sarà obbligatoria ma volontaria e, secondo la Commissione Europea, il certificarsi equivarrà alla attribuzione di un bollino di qualità, come può essere per quei prodotti del territorio che ottengono la certificazione IGP: bene, ma quelle Aziende che per non rivelare segreti industriali alla base dei loro prodotti non richiederanno la certificazione vedranno per questo attribuire ai loro prodotti una etichetta, seppur non ufficiale, di insicurezza?

La continua ricerca da parte degli hacker di vulnerabilità nei prodotti e nelle componenti hardware e software delle piattaforme informatiche potrebbe far sì che un prodotto inizialmente certificato come “sicuro” dopo poco tempo non sarebbe più considerato come tale a seguito della scoperta e diffusione da parte degli hacker, o anche di utilizzatori evoluti, di sue vulnerabilità per cui a nostro avviso occorrerebbe far sì che tale procedura di certificazione sia più dinamica in modo da rivedere con frequenza tali criteri di attribuzione della “patente” di sicurezza da parte degli organismi europei a ciò deputati.

La sicurezza poi, più che un “prodotto” sappiamo che è un “processo” complesso in cui entrano molte componenti, compresa quella umana, per cui certificare solo una di queste componenti ma inserirla in un contesto fragile per altre vulnerabilità esporrebbe comunque il sistema ad attacchi dagli esiti dannosi, fermo restando in ogni caso che è sempre il fattore umano l’elemento più insicuro di tutta la catena. Apprezzabile quindi l’iniziativa europea del Parlamento e della Commissione ma ci sarà da lavorarci sopra e migliorare l’impianto del documento che ci riserviamo di analizzare nei dettagli una volta che sarà ufficialmente pubblicato sui bollettini ufficiali europei.

Rimanendo in tema e per quanto riguarda l’Italia ricordiamo che di recente, dando seguito al cosiddetto Decreto Gentiloni è stato costituito presso il Ministero dello Sviluppo Economico il C.V.C.N. (Centro di Valutazione e Certificazione Nazionale) con il compito di valutare l’assenza di vulnerabilità di prodotti, apparati e sistemi destinati al funzionamento di reti strategiche.

di Alfonso Buccini

Permalink link a questo articolo: https://www.csigbologna.it/referenze/legislazione/cybersecurity-act-voto-finale/