Cybersecurity: arriva il bollino blu che certifica imprese e fornitori
L’obiettivo dichiarato è la costruzione di un sistema di attestazione della conformità di processi, prodotti e servizi agli standard della cybersecurity.
In buona sostanza significa individuare i soggetti accreditati a rilasciare certificati in un sistema supervisionato da un’autorità riconosciuta.
Da questa premessa prende forma il bollino blu per la cybersicurezza. Si tratta di un passo atteso, quasi inevitabile, alla luce del quadro europeo sulla certificazione della cybersecurity, a cui la legislazione italiana non si era ancora armonizzata.
Bruxelles aveva lasciato agli Stati membri la competenza sull’individuazione dell’autorità nazionale di riferimento, sui compiti da assegnare e sul sistema sanzionatorio da applicare.
Perché è stato introdotto il bollino blu per la cybersecurity
Il quadro di certificazione della cybersecurity, messo a punto dal regolamento dell’Unione europea 881 del 2019, punta a superare la frammentazione attuale del mercato interno dei certificati di cybersicurezza e rendere più affidabili i prodotti e i servizi che utilizzano tecnologie dell’informazione e della comunicazione.
Va da sé che lo scopo di fondo è anche il mutuo riconoscimento dei certificati di cybersicurezza tra tutti gli Stati membri. Entrando ancora di più nello specifico, le norme comunitarie hanno rinviato al legislatore nazionale:
- l’individuazione dell’autorità nazionale di certificazione della cybersicurezza, con compiti di supervisione, di regolazione e sanzionatori;
- la definizione del sistema sanzionatorio con la prescrizione di quelle amministrative pecuniarie non inferiori nel minimo a 15.000 euro e non superiori a 5 milioni di euro;
- la disciplina del potere di revoca dei certificati emessi in Italia.
Cosa cambia per imprese e fornitori con il bollino blu per la cybersecurity
Il decreto legislativo colma le lacune in materia di cybersecurity e va nella scia della scelta di creare l’Agenzia per la cybersicurezza nazionale quale autorità nazionale di certificazione della cybersicurezza.
Il passo più è rappresentato dall’assegnazione all’Agenzia del compito di vigilare sui fornitori e fabbricanti, sui titolari di certificati europei di cybersicurezza e sugli organismi di valutazione della conformità.
Quindi all’Agenzia di rilasciare i certificati di cybersicurezza con livello di affidabilità elevato tramite il Centro di valutazione e certificazione nazionale.
Sotto il profilo sanzionatorio, all’Agenzia è attribuito il potere di intervenire per violazioni relative alle certificazioni, tra cui l’emissione di certificati di sicurezza irregolari, le false dichiarazioni del richiedente la certificazione o la violazione delle condizioni di utilizzo degli eventuali marchi o etichette previste da un sistema europeo di certificazione. Sono interessati dal provvedimento:
- i processi di cybersecurity delle organizzazioni;
- i componenti dei sistemi di controllo delle automazioni industriali per i settori energetico, trasporti e distribuzione dell’acqua;
- i dispositivi Internet of Things;
- i sistemi di crittografia e l’intelligenza artificiale.
Cybersecurity, nasce il Centro di valutazione e certificazione nazionale
Abbiamo accennato al Centro di valutazione e certificazione nazionale per la cybersecurity: con la sua operatività viene collocato uno dei tasselli più importanti nel mosaico della strategia di sicurezza nazionale.
Si tratta di una decisione che fa il paio con la pubblicazione della bozza di Regolamento volto a innalzare il livello di sicurezza informatica delle istituzioni, degli organi e delle agenzie dell’Unione europea attraverso l’incremento della resilienza dei sistemi e delle capacità di risposta agli attacchi cyber.
E con l’accordo tra Consiglio e Parlamento europeo sulla direttiva NIS 2 ovvero la normativa europea che punta a migliorare la resilienza e le capacità di risposta agli incidenti del settore pubblico, privato e dell’Unione attraverso misure per un livello comune elevato di cybersicurezza.
Cosa fa il Centro di valutazione e certificazione nazionale
Compito del Centro di valutazione e certificazione nazionale per la cybersecurity è di valutare la sicurezza di beni, sistemi e servizi Ict destinati a essere impiegati nel contesto del Perimetro di sicurezza nazionale informatica.
Sono tre le principali funzioni assegnate al Cvcn.
La prima è di contribuire all’elaborazione delle misure di sicurezza per quanto riguarda l’affidamento di forniture di beni, sistemi e servizi ICT.
La seconda è di definire le metodologie di verifica e di test da svolgere, dettando eventuali prescrizioni di utilizzo al committente.
La terza è di elaborare e adottare schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell’Unione europea, laddove gli schemi di certificazione esistenti non siano ritenuti adeguati per ragioni di sicurezza nazionale.
Il Cvcn è già operativo ed è collocato all’interno del Servizio Certificazione e Vigilanza dell’Agenzia per la cybersicurezza nazionale, così come previsto dalla normativa in ambito Perimetro di sicurezza nazionale cibernetica.
Questa normativa introduce obblighi legali finalizzati ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici degli operatori nazionali, pubblici e privati, che esercitano una funzione essenziale o che erogano un servizio essenziale dal cui malfunzionamento, interruzione o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale.
Come è composto il Cvcn
Al Cvcn fanno riferimento i Centri di valutazione presso i Ministeri della Difesa e dell’Interno e può avvalersi del supporto di una rete di laboratori accreditati di prova che saranno regolamentati da un decreto in fase di pubblicazione in Gazzetta Ufficiale.
Il Centro di valutazione e certificazione nazionale può contare sulle unità di personale tecnico che hanno costituito il nucleo iniziale dell’Agenzia per la cybersicurezza nazionale e su quelle di recente trasferite dal Ministero dello Sviluppo economico.
La dotazione di personale sarà potenziata con l’assunzione degli esperti che avranno superato le prove del concorso in atto.
Questa prima fase di reclutamento dell’Agenzia ha avuto come obiettivo l’assunzione di personale rientrante tra i profili destinati alle attività del Cvcnzz ovvero certificatori-ispettori, tecnici hardware e Tlc, tecnici software e crittografi.
