itasec19

La certificazione cyber: obiettivi nazionali e quadro europeo

Il tema della certificazione dei prodotti e dei servizi cyber security caratterizzerà i prossimi mesi. Vediamo in questo contesto, il ruolo di Enisa, degli Stati membri e degli stakeholder

Pubblicato il 18 Feb 2019

Mario Dal Co

Economista e manager, già direttore dell’Agenzia per l’innovazione

cybersecurity- trusted computing

La certificazione dei prodotti e dei servizi cyber security apparirà con evidenza indubbia quest’anno, anche in Italia, come un elemento chiave per lo sviluppo delle strategie nazionali di sicurezza informatica e del mercato interno europeo dei dispositivi interconnessi dell’Internet of things, e delle infrastrutture critiche.

Inquadrato nel cybersecurity act, il processo di certificazione non può essere però di per sé garanzia di sicurezza: per un salto di qualità decisivo è essenziale la collaborazione tra la rafforzata agenzia europea per la sicurezza delle reti e dell’informazione (Enisa), gli Stati membri e gli stakeholder coinvolti. 

Non è un caso che questi temi siano stati al centro del panel del 15 febbraio Certifications & CVCN ad ITASEC19 e abbiano suscitato un forte interesse degli operatori, aziende e ricercatori.

Nella strategia nazionale per la sicurezza cyber, la certificazione di prodotti e servizi, è stata definita da Roberto Baldoni come “l’asticella che può aiutare a compiere un decisivo salto di qualità al mercato dei prodotti e servizi di cyber security, insieme al rafforzamento del perimetro normativo che impone elevati standard di sicurezza per servizi essenziali e a miglioramento del procurement della PA in questo ambito”.

Su questa lunghezza d’onda hanno portato il loro contributo i tre relatori, che operano con diverse posizioni di responsabilità iustituzionale: Domenico Ferrara, Policy Officer, Cybersecurity Technology & Capacity Building unit, European Commission, Rita Forsi, Dirigente Generale ISCOM, MISE, Steve Purser Head of Core Operations Department di ENISA. Il P

Cybersecurity act, un quadro Ue per i certificati di sicurezza informatica

Con la decisione europea sulla cyber security (Cybersecurity Act del dicembre 2018) viene introdotto lo schema europeo sulla certificazione per la cyber security, che investe le reti di servizi e i prodotti di consumo.  Il potenziamento dell’agenzia ENISA sulle reti, l’informazione e la sicurezza, intende rendere l’Agenzia stessa protagonista di un ruolo più operativo di supporto alla Commissione e agli Stati nelle crisi e nell’avvio della certificazione.

Il modello previsto per la Certificazione europea è basato sul principio del mutuo riconoscimento, ha ricordato Rita Forsi, ossia sul fatto che gli Stati aderenti sono tenuti a riconoscere le certificazioni erogate dai partner che partecipano al sistema. Uno schema che ha una consolidata tradizione in ambito europeo, tra cui merita di essere ricordato l’ARG SOG-IS, che comprende 12 Stati membri più la Norvegia e che ha sviluppato alcuni profili di protezione sui prodotti digitali (firma digitale, tachigrafo digitale e smart card) per la certificazione rivolta al consumo o alla produzione.

Il Cybersecurity Act, ha sottolineato Ferrara, crea quindi un quadro per i certificati europei di sicurezza informatica per prodotti, processi e servizi che saranno validi in tutta l’UE. L’aspetto innovativo riguarda il fatto che per la prima volta il miglioramento della sicurezza di tutti i prodotti interconnessi, dei dispositivi Internet of things e delle infrastrutture critiche è legato allo sviluppo del mercato interno attraverso il meccanismo della certificazione.

Secondo Purser, non bisogna cadere nell’illusione che il processo di certificazione, che ha lo sopo di migliorare la competitività e la qualità del mercato interno, sia di per sé una garanzia di sicurezza: questa è risultato di un processo, non dell’acquisizione di un singolo prodotto o servizio certificato.

Nuove funzioni di Enisa e ruolo di Stati e stakeholder

Inoltre occorrerà che le nuove funzioni, assai rilevanti, attribuite ad ENISA, trovino un terreno di collaborazione con gli Stati e con gli stakeholder.

Gli Stati, infatti, in tema di sicurezza hanno una intrinseca e comprensibile reticenza alla delega e quindi manterranno sicuramente una forte attenzione sull’implementazione dell’enforcement a livello nazionale. Se ciò avviene in un quadro di collaborazione il risultato è un win-win, dove le conoscenze e le strategie di difesa nascono in un contesto fertile, non chiuso nei limiti del singolo Stato. Limiti che, di fronte alla dimensione globale degli attacchi sono del tutto insufficienti.

Per quanto riguarda gli stakeholder (ricerca, aziende, operatori) il loro ruolo è essenziale nella costruzione del sistema di certificazione: l’innovazione viene da loro, la pressione competitiva li spinge ad introdurre nuove soluzioni. La scelta delle nuove aree di intervento della certificazione deve essere quindi elaborata in un gioco collaborativo tra autorità e stakeholder.

Alla ricerca del compromesso tra norma e consultazione

Ciò significa che esiste un trade-off tra rigidità necessaria della norma e flessibilità altrettanto necessaria della consultazione degli interessi, evitando il consolidarsi di lobby statiche che finirebbero per bloccare il processo di accreditamento dell’innovazione di qualità.

Questo tema, del trade off tra norma e consultazione, è stato esemplificato da Domenico Laforenza, Direttore dell’Istituto di Informatica e Telematica del CNR. La certificazione riguarderà anche i prodotti esistenti o solo quelli che accedono al nuovo sistema, come qualcuno ha suggerito, e se così fosse come si pone la questione di apparecchiature o servizi che sono visti come potenzialmente rischiosi per la privacy per la tutela dei diritti di proprietà intellettuale o addirittura per la sicurezza nazionale?

Il confine dell’autorizzazione o esclusione per motivi di carattere generale, come dimostrano le polemiche e lo scontro tra Stati Uniti e Cina, è allora una questione che rimane aperta, poiché difficilmente può trovare una soluzione condivisa all’interno di un processo prevalentemente tecnico, come quello della certificazione di qualità cyber.

Usa vs Huawei, la “sovranità tecnologica” è tema politico: finalmente

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati