• Tutela dei consumatori - Salute e sicurezza -Tecnologie dell'informazione e della comunicazione (ICT)

25 marzo 2019

Nuove norme sulla sicurezza informatica: arriva una nuova certificazione UE per prodotti, processi e servizi informatici contro i cyber attacchi

di Annalisa Spedicato

Il Parlamento europeo ha approvato l'Atto sulla sicurezza informatica per migliorare la risposta europea alle sempre più numerose minacce informatiche.

E' inutile dire che i crimini informatici sono in aumento; i criminali informatici sono, infatti, forti del fatto che le interazioni umane avvengono sempre più spesso macchina a macchina e sempre più settori abbracciano il mondo IT. In aumento appaiono, in particolare, gli incidenti ai sistemi CMS (Content management System) che sono poi i sistemi informatici più utilizzati da imprese e professionisti nelle loro attività quotidiane e gli attacchi si verificano spesso attraverso malware (programma informatico creato per danneggiare un computer senza che il proprietario se ne accorga), la cui infezione viene portata in molti casi mediante email compromesse; anche il pishing, ovvero il furto di credenziali, anche bancarie, è in triste espansione e in molti casi gli attacchi avvengono anche a mezzo di strumenti dell'IoT, anche questo un settore che si sta diffondendo a macchia d'olio. Preoccupanti sono, inoltre, secondo il Parlamento Europeo, le leggi cinesi che minacciano la sicurezza informatica dell'Unione; i deputati hanno manifestato forte preoccupazione per le recenti dichiarazioni in base alle quali le infrastrutture per le reti 5G potrebbero avere delle "backdoor" incorporate che permetterebbero ai fornitori e alle autorità cinesi di avere un accesso non autorizzato ai dati personali e alle telecomunicazioni nell'UE. Da questo punto di vista, il timore è che i fornitori di dispositivi di paesi terzi possano minare alla sicurezza dell'UE grazie anche alle leggi del loro paese, come la Cina, che impongono alle imprese di cooperare con lo Stato attraverso una definizione molto estesa di sicurezza nazionale che consente ai loro governi una forte ingerenza nelle informazioni e nei dati da loro trattati.

Per tutti questi motivi, martedì 12 marzo 2019, il Parlamento Europeo ha approvato l'Atto sulla sicurezza informatica con cui, innanzitutto, è stato rafforzato il ruolo dell'ENISA - Agenzia europea per la sicurezza delle reti e dell'informazione - con un potenziamento in termini di risorse finanziarie e umane ed un rafforzamento della cooperazione sulla sicurezza informatica fra gli Stati membri.

L'Atto prevede inoltre delle certificazioni standardizzate per le infrastrutture informatiche in Europa; inizialmente, tali certificazioni saranno su base volontaria, ma la Commissione sta valutando di rendere obbligatorio questo requisito a partire dal 2023.

E' stato messo a punto, quindi, il primo schema di certificazione a livello europeo per garantire che i prodotti, i processi e i servizi commercializzati nel territorio dell'Unione Europea soddisfino gli standard di sicurezza informatica.

L'ENISA diventerà il punto di riferimento nel sistema di certificazione della cybersicurezza, con il compito di evitare la frammentazione dei sistemi di certificazione nell'Unione europea, predisporre, su richiesta della Commissione Europea, un primo progetto di certificazione UE per prodotti specifici e mantenere un sito Web dedicato contenente tutte le informazioni pertinenti sui modelli di certificazione, incluse le certificazioni ritirate e quelle scadute.

Il sistema di certificazione per la sicurezza informatica dell'UE, così introdotto, attesterà che un prodotto, un processo o un servizio ICT non ha vulnerabilità note al momento del rilascio della certificazione e garantirà la sua conformità agli standard e alle specifiche tecniche internazionali.

In dettaglio, la certificazione sarà tesa ad attestare che il prodotto, processo, servizio del settore ICT garantisca:

  • riservatezza, integrità, disponibilità e rispetto della normativa privacy di servizi, funzioni e dati;
  • che i servizi, le funzioni e i dati siano accessibili e utilizzati unicamente da persone autorizzate e / o sistemi e programmi autorizzati;
  • che siano stati messi a punto processi che consentano di individuare e identificare tutte le vulnerabilità già note e governare le nuove;
  • che i prodotti, i processi o i servizi siano progettati per essere sicuri e che siano dotati di software aggiornato senza vulnerabilità note;
  • che gli altri rischi legati agli incidenti informatici, come i rischi per la vita o la salute, siano ridotti al minimo.

Livello di garanzia

Lo schema di certificazione sarà costituito da tre livelli di garanzia basati sul rischio:

  • di base: l'apparecchio o il dispositivo viene protetto dai rischi basilari contro gli incidenti informatici noti;
  • sostanziale: i rischi noti degli incidenti informatici vengono evitati in anticipo e i sistemi vengono dotati di un livello di resilienza di base, ovvero capacità di resistere agli attacchi informatici con risorse limitate;
  • elevato: i rischi di incidenti informatici vengono evitati e l'apparecchio o il dispositivo viene messo nelle condizioni di resistere agli attacchi informatici più avanzati con risorse significative.

Ora si attende l'approvazione formale della nuova norma sulla sicurezza informatica da parte del Consiglio Europeo che entrerà in vigore 20 giorni dopo la sua pubblicazione.

 


Annalisa Spedicato

Avvocato esperto in IP, ICT e Privacy