Il 31 marzo 2021 la Camera dei deputati ha approvato il disegno di legge di delegazione europea 2019-2020 (C. 2757) apportando una modifica al testo già licenziato in prima lettura dal Senato.
Il provvedimento si compone di 29 articoli che riguardano il recepimento di direttive europee e l’adeguamento a regolamenti, tra cui quello relativo all’ENISA (European Network and Information Security Agency), l’Agenzia dell’UE per la cybersecurity. Il Ddl prevede un riordino del quadro nazionale sulla certificazione della sicurezza informatica e la definizione del sistema delle sanzioni applicabili.
Il Regolamento relativo all’ENISA e alla certificazione della cybersecutity per le tecnologie dell’informazione e della comunicazione
Il 27 giugno 2019 è entrato in vigore il Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio, in materia di sicurezza informatica, il Cybersecurity Act. La misura modifica i termini di funzionamento e il mandato dell’ENISA, e introduce una seconda linea su cui l’azione strategica europea dovrà svilupparsi: la certificazione comune della cybersecurity. L’Agenzia europea ha un ruolo centrale nell’elaborazione dei sistemi di certificazione e promuove l’adozione del nuovo sistema anche attraverso la creazione di un sito web dedicato (Certification — ENISA (europa.eu)). Inoltre, organizza esercitazioni periodiche di cyber security a livello dell’UE, compresa, ogni due anni, una globale su larga scala. È prevista anche la creazione di una rete di funzionari nazionali di collegamento che faciliti la condivisione delle informazioni tra l’Agenzia e gli Stati membri.
L’Enisa
L’Agenzia Europea per la sicurezza delle Reti e dell’Informazione, ENISA, è nata nel 2004 con il regolamento (CE) n. 460/2004. Gli scopi dell’Agenzia sono:
- assistere le istituzioni, gli organi e gli organismi dell’Unione, e gli Stati membri, nell’elaborazione e nell’attuazione di politiche dell’Ue relative alla sicurezza cyber;
- sostenere lo sviluppo delle capacità e la preparazione nell’Unione, aiutando tutti gli stakeholders pubblici e privati nel miglioramento della protezione delle loro reti e dei loro sistemi, nello sviluppo e nel miglioramento delle capacità di cyber-resilienza e di risposta, e nello sviluppo di abilità e competenze nel campo della sicurezza informatica;
- promuovere la cooperazione – anche attraverso la condivisione di informazioni – e il coordinamento a livello di Ue su questioni relative alla sicurezza informatica;
- favorire le azioni degli Stati membri nella prevenzione e nella reazione alle minacce, in particolare in caso di incidenti transfrontalieri;
- dare impulso all’uso della certificazione europea della cybersecurity, per evitare la frammentazione del mercato interno;
- stimolare e assistere cittadini, organizzazioni e imprese nella crescita del loro livello di consapevolezza in questo settore, includendo l’igiene e l’alfabetizzazione informatiche.
Per proteggere efficacemente i cittadini nell’online, nel 2016 è stato varato il primo atto giuridico sul tema: la direttiva (UE) 2016/1148 (NIS), che ha stabilito obblighi riguardanti le capacità nazionali nel campo della sicurezza informatica, istituito i primi meccanismi per rafforzare la cooperazione tra gli Stati membri e introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti per i settori essenziali – come energia, trasporti, fornitura e distribuzione di acqua potabile, servizi bancari, infrastrutture dei mercati finanziari, sanità, infrastrutture digitali, e i fornitori di servizi digitali.
All’ENISA spetta un ruolo chiave nell’attuazione della direttiva, in particolare nello sviluppo e nel potenziamento dei computer security incident response team — «CSIRT», nazionali e dell’Unione, previsti dalla direttiva (UE) 2016/1148.
Con il titolo III del Cybersecurity Act si introducono sistemi europei di certificazione per specifici processi, prodotti e servizi ITC. La certificazione – su base volontaria, salvo se diversamente specificato nel diritto dell’Unione o degli Stati membri – rilasciata nell’ambito di tali sistemi è valida in tutti i Paesi dell’Unione Europea. La Commissione monitora periodicamente l’impatto dei sistemi di certificazione, valutandone il livello di utilizzo da parte dei fabbricanti e dei fornitori di servizi.
I princìpi direttivi della legge di delegazione 2019/2020
La legge di delegazione europea è uno dei due strumenti – insieme alla legge europea – di adeguamento all’ordinamento dell’Unione introdotti dalla legge 24 dicembre 2012, n. 234, che ha attuato una riforma organica delle norme che regolano la partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’UE. In sintesi, conferisce al Governo la delega legislativa per l’attuazione delle direttive europee, per la modifica o l’abrogazione di disposizioni statali vigenti – limitatamente a quanto necessario per garantire la conformità dell’ordinamento nazionale ai pareri motivati indirizzati all’Italia dalla Commissione europea – per recepire le direttive, per la disciplina sanzionatoria di violazioni di atti normativi dell’UE e per l’adozione di disposizioni integrative e correttive dei decreti legislativi.
In tema di cybersecurity, la delega approvata dalla Camera propone di introdurre precisazioni, relativamente all’ENISA e al quadro delle certificazioni sulla sicurezza cyber. All’articolo 18, sono infatti presenti i princìpi e criteri direttivi per l’adeguamento della normativa nazionale alle disposizioni del titolo III del regolamento (UE) 2019/ 881.
Innanzitutto, viene identificato il decreto legislativo come lo strumento per garantire l’adeguamento della normativa interna italiana al titolo III del Cybersceurity Act. Successivamente si definiscono i princìpi direttivi specifici che il Governo deve seguire per esercitare la delega di adeguamento. Nello specifico il Governo designa il Ministero dello sviluppo economico quale autorità competente per il recepimento della normativa europea a livello nazionale. In questo caso il Governo agisce seguendo quanto sancito dall’articolo 58 del regolamento (UE) 2019/881, individuando anche l’organizzazione a cui affidare l’esecuzione delle attività in capo al Mise.
Viene altresì affidato all’Esecutivo il compito di definire il sistema di sanzioni da applicare, prevedendo che gli introiti derivanti dall’attività sanzionatoria siano versati nel bilancio dello Stato e poi riassegnati al Ministero dello sviluppo economico per finalità di ricerca e formazione in materia di certificazione della cyber security. Le sanzioni amministrative pecuniarie, continua il paragrafo, non devono essere inferiori nel minimo a 15.000 euro e non devono essere superiori nel massimo a 5.000.000 di euro. Infine, l’articolo 18 affida ancora al Mise il potere di revocare i certificati, rilasciati ai sensi dell’articolo 56 del regolamento (UE) 2019/881, ed emessi sul territorio nazionale, salvo diverse disposizioni dei singoli sistemi europei di certificazione che sono stati adottati.
Conclusioni
L’auspicio è che il Cyber Security Act porti una nuova ventata di standardizzazione nei temi di sicurezza. Trattandosi di un Regolamento europeo, in vigore dalla emanazione, gli atti delegati riguarderanno aspetti tecnici seppur di rilievo (come le sanzioni).
L’argomento degli schemi certificativi europei è comunque appena nato. Il regolamento stabilisce i poteri e il cosiddetto rolling program, programma di lavoro sul quale la Commissione, e in particolare DG Connect, si sta impegnando in cooperazione stretta con ENISA, ma gli schemi dovranno essere elaborati, designati e resi operativi sia a livello generico di cyber security, sia per le singole tecnologie (dal 5G all’IoT, alla criptazione, e così via).
Ci aspettiamo dunque un quinquennio intenso sul dibattito relativo agli standard di cyber security.
