UE per la Cyber security: certificazione e potenziamento Enisa

L’UE intende aumentare la sua “ciber-resilienza” istituendo un quadro europeo di certificazione per prodotti, servizi e processi delle tecnologie dell’informazione e della comunicazione (Tlc).

Il nuovo meccanismo permetterà agli operatori del settore di certificare prodotti come le automobili connesse e i dispositivi medici intelligenti.

Il Consiglio – si legge in una nota ufficiale – ha concordato l’orientamento generale sulla proposta, nota come “regolamento sulla cyber security”, che trasformerà tra l’altro l’attuale Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (Enisa) in un’agenzia permanente dell’UE per la sicurezza informatica.

Il progetto di regolamento, prosegue il testo, istituisce un meccanismo per la creazione di sistemi europei di certificazione della cyber security per specifici processi, prodotti e servizi Tlc.

I certificati rilasciati nell’ambito di tali sistemi saranno validi in tutti i Paesi dell’UE: sarà così più facile per gli utenti avere fiducia nella sicurezza di queste tecnologie e per le imprese svolgere le loro attività in più paesi.

La certificazione sarà volontaria, salvo se diversamente specificato nel diritto dell’Unione o degli Stati membri. Tra le caratteristiche previste figura la resilienza in caso di perdita o alterazione dei dati, sia accidentale che dolosa.

I livelli di affidabilità previsti sono tre: di base, sostanziale e elevato. I produttori o fornitori di servizi potranno realizzare da soli la valutazione della conformità per il livello di base.

Il nuovo regolamento conferirà all’Enisa un mandato permanente e preciserà il suo ruolo di agenzia dell’UE per la cyber security. All’Enisa saranno affidati nuovi compiti di sostegno in materia di sicurezza informatica per gli Stati membri, le istituzioni dell’UE e altre parti interessate.

L’agenzia si occuperà di organizzare regolarmente esercitazioni di cyber security in tutta l’UE e di sostenere e promuovere la politica dell’UE in materia di certificazione della sicurezza informatica. Il primo atto giuridico dell’UE in materia di cibersicurezza è stato la direttiva sulla sicurezza delle reti e dell’informazione (Sri) del 2016, che conferiva già all’Enisa un ruolo chiave a sostegno dell’attuazione della direttiva.

Nel mandato è prevista inoltre la creazione di una rete di funzionari nazionali di collegamento che faciliterà la condivisione delle informazioni tra l’Enisa e gli Stati membri. Il testo concordato costituisce la posizione del Consiglio per i negoziati con il Parlamento europeo. Sia il Consiglio, sia il Parlamento, conclude la nota, devono approvare il testo definitivo prima che questo possa entrare in vigore.