Lo scorso 15 novembre, lo European Data Protection Supervisor (EDPS), ha pubblicato un’Opinion (la 23/2022), dedicata al Cyber Resilience Act presentato il 15 settembre dalla Commissione europea.
In tale atto consultivo, l’EDPS Wojciech Wiewiórowski – con cui tra l’altro pochi giorni abbiamo partecipato come speakers all’appassionante edizione 2022 dell’ European Data Protection Congress organizzato dall’International Association of Privacy Professionals (IAPP) – accoglie con favore la proposta di regolamento, condividendone pienamente l’obiettivo.
Fatta questa premessa, il documento si concentra in particolar modo sui possibili punti di contatto e interferenze con la normativa in materia di protezione dei dati personali, e in particolare con quanto previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR), sviluppando una lettura di assoluto interesse.
Cybersecurity, perché è ormai una priorità per l’Italia: tre fattori che cambiano tutto
La proposta di Cyber Resilience Act
Il Cyber Resilience Act è una proposta di regolamento in materia di requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali. L’Unione europea, avvalendosi di un complesso di norme uniformemente e direttamente applicabili in tutti gli Stati membri, intende introdurre una serie di requisiti essenziali e obbligatori in materia di cybersecurity per l’immissione sul mercato di prodotti con elementi digitali. Obiettivo della proposta è quello di stabilire le condizioni limite per lo sviluppo di prodotti con elementi digitali sicuri, volendosi assicurare che i prodotti hardware e software siano posti sul mercato con un minor numero di vulnerabilità. Attenzione particolare viene posta ai produttori – che saranno tenuti a prendere in seria considerazione la sicurezza del prodotto durante il suo intero ciclo di vita – senza però dimenticare gli utenti, per i quali si vogliono creare le condizioni affinché si possa tenere conto della cybersicurezza nella scelta e nell’utilizzo dei prodotti considerati dal regolamento.
Il parere dell’EDPS
In merito ai possibili punti di contatto e interferenze tra il Cyber Resilience Act e la normativa in materia di protezione dei dati personali, e in particolare con quanto previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR), viene innanzitutto rilevata la potenziale e positiva incidenza delle regole contenute nella proposta di regolamento sul principio di sicurezza, sancito dall’articolo 5, paragrafo 1, lettera f), del GDPR e ulteriormente declinato dal successivo articolo 32, e su quello di minimizzazione, di cui all’articolo 5, paragrafo 1, lettera c) del medesimo regolamento. Per mano della proposta di Cyber Resilience Act, infatti, tali principi si trovano a ricoprire un ruolo fondamentale anche ai sensi di tale nuova normativa, risultando incorporati nell’elenco dei requisiti di cybersicurezza di cui all’Allegato 1 della proposta. A questo riguardo, l’EDPS chiarisce che «la sicurezza informatica dei prodotti con elementi digitali utilizzati dalle persone è di estrema importanza per proteggerne i diritti e le libertà, in particolare il diritto alla privacy, e per rafforzarne la fiducia verso i servizi digitali. In assenza di tali requisiti, le persone possono cadere vittime di attacchi cyber che mirano ad avere accesso ai loro dati personali e alle loro comunicazioni riservate». Per tale ragione, Wojciech Wiewiórowski ritiene che «la definizione di un quadro giuridico uniforme in materia di requisiti essenziali di cybersicurezza per l’immissione di prodotti con elementi digitali sia molto importante per salvaguardare i diritti e le libertà fondamentali, compresi i diritti alla privacy e alla protezione dei dati personali, e sostiene con forza la proposta di un pacchetto completo di appropriate ed efficaci misure tecniche e organizzative».
Sempre in tema di principi, peraltro, l’EDPS auspica un passaggio ulteriore, raccomandando al regolatore comunitario di includere anche i principi di privacy by design e by default tra i requisiti di cybersicurezza dei prodotti con elementi digitali. Ciò anche in correlazione al fatto che, come noto, il GDPR non prevede obblighi diretti in capo ai produttori, limitandosi ad incoraggiare tali operatori economici a tenere conto del diritto alla protezione dei dati in fase di sviluppo e progettazione (il riferimento qui è al considerando 78 del GDPR).
Altri aspetti della proposta presi in considerazione dal Garante europeo riguardano, tra gli altri, ulteriori declinazioni del rapporto di contatto con la normativa europea sulla protezione dei dati personali. Rilievi vengono posti, in particolare, rispetto alle sinergie previste dal Cyber Resilience Act tra i pertinenti organi e autorità in materia di standardizzazione e certificazione degli aspetti di cybersecurity, nonché avuto riguardo all’ambito della vigilanza e dell’enforcement. A tale ultimo proposito, l’EDPS «ritiene necessario chiarire esplicitamente che la proposta non intende incidere sull’applicazione delle vigenti disposizioni dell’Unione europea in materia il trattamento dei dati personali, compresi i compiti e i poteri delle autorità di controllo indipendenti […]».
Privacy e cybersecurity: un unico tecno-sistema complesso
Come appena osservato, l’Opinion dell’EDPS sviluppa una lettura di assoluto interesse della proposta di Cyber Resilience Act. Al tempo stesso, il parere dell’autorità europea mette in luce – nel caso in cui ce ne fosse ancora bisogno – l’intimo e inscindibile rapporto che lega protezione dei dati personali e cybersecurity. Ciò è sicuramente e immediatamente evidente nella pratica. Quanti, come chi scrive, assistono quotidianamente società e pubbliche amministrazioni in questi ambiti, anche nelle vesti di Data Protection Officer, hanno esperienza di tale continua commistione, che spesso assume le forme di una fondamentale interdipendenza. La privacy e la cybersecurity, in altre parole, devono essere considerate come un unico tecno-sistema complesso, il quale si autoalimenta tanto nelle fasi fisiologiche di trattamento e protezione degli assetti informativi, quanto in quelle patologiche. Si pensi solo, a tale ultimo riguardo, alle valutazioni e agli adempimenti da attuare in caso di incidenti di sicurezza.
La linea che unisce saldamente data protection e sicurezza cibernetica emerge anche a livello legislativo. Le fonti del diritto sulla protezione dei dati personali e quelle in materia di cybersecurity si parlano e interagiscono sempre di più. A noi interpreti spetta ora l’arduo, ma sempre avvincente, compito di mettere insieme tutti i pezzi del puzzle.
Le tendenze della cybersecurity nel rapporto Clusit
La cybersecurity costituisce una tematica sempre più attuale e prioritaria a ogni livello della società, potendo potenzialmente coinvolgere lo smartphone di un cittadino come i sistemi informatici di un’azienda e finanche le risorse informative strategiche di un intero Stato. E il conflitto tra Russia e Ucraina ci sta dimostrando che una guerra può essere combattuta anche su un campo di battaglia cibernetico.
Possiamo però affermare che l’Europa sta correndo ai ripari, almeno sul versante normativo. Guardando solo alle notizie delle ultime settimane, si deve dare conto dell’approvazione da parte del Parlamento europeo, lo scorso 10 novembre, sia della Direttiva NIS2, prossima evoluzione della storica Direttiva (UE) 2016/1148 (Direttiva NIS1), sia del Digital Operational Resilience Act (il c.d. Regolamento DORA) dedicato alla resilienza operativa nel settore finanziario, oltre che del già esaminato Cyber Resilience Act.
La crescente importanza di tale ambito è del resto una delle numerose e significative evidenze che emergono dalla fotografia scattata nell’edizione di fine anno del Rapporto Clusit 2022. Si tratta di un contributo di grande rilievo, che permette di comprendere uno dei fenomeni che più contraddistingue il nostro tempo.
Dal confronto dei dati degli attacchi gravi identificati dall’Associazione nel primo semestre del 2018, con quelli registrati da gennaio a giugno di quest’anno, è stata attestata una crescita pari addirittura al 53%.
Come si spiega questa tendenza? L’avanzamento computazionale e organizzativo delle tecniche di attacco cyber non ha trovato un contraltare nello sviluppo delle tecniche e delle strategie di difesa e di resilienza cibernetica. C’è molto da lavorare, dunque, per incrementare i perimetri cibernetici di difesa.