Con la certificazione UE della cybersicurezza sarà più semplice compiere scelte informate. I dispositivi connessi a Internet disporranno a breve di una certificazione della cybersicurezza a livello di UE che consentirà ai consumatori di compiere scelte maggiormente informate e aiuterà le imprese a commercializzare i loro prodotti intelligenti in tutta Europa. Ieri gli ambasciatori degli Stati membri hanno infatti approvato il regolamento proposto sulla cybersicurezza, che trasformerà inoltre l’attuale Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) in un’agenzia permanente dell’UE per la cybersicurezza. Il 10 dicembre la presidenza e il Parlamento europeo avevano raggiunto un accordo provvisorio sulla nuova normativa.

UNA CERTIFICAZIONE COMUNE DELLA CIBERSICUREZZA
Il progetto di regolamento istituisce un meccanismo per la creazione di sistemi europei di certificazione della cybersicurezza per specifici processi, prodotti e servizi TIC. I certificati rilasciati nell’ambito di tali sistemi saranno validi in tutti i paesi dell’UE: gli utenti potranno così avere maggiore fiducia in queste tecnologie e le imprese svolgere più facilmente le loro attività a livello transfrontaliero. 
I certificati possono essere impiegati nei modi più svariati: dai giocattoli connessi e i dispositivi indossabili intelligenti fino ai sistemi di controllo per l’automazione industriale e le reti energetiche intelligenti.
Gli effettivi sistemi di certificazione si baseranno su quanto già esiste a livello internazionale, europeo e nazionale, saranno adottati dalla Commissione, dopodiché attuati e supervisionati dalle autorità nazionali preposte alla certificazione della cybersicurezza.
La certificazione sarà volontaria, salvo se diversamente specificato nel diritto dell’Unione o degli Stati membri. La Commissione monitorerà periodicamente l’impatto dei sistemi di certificazione e ne valuterà il livello di utilizzo da parte dei fabbricanti e dei fornitori di servizi.
Ci saranno tre diversi livelli di affidabilità, basati sul livello di rischio associato all’uso previsto del prodotto. Per il livello di base i fabbricanti o fornitori di servizi potranno realizzare da soli la valutazione della conformità.

AGENZIA DELL’UE PER LA CYBERSICUREZZA
Da quando è stata istituita nel 2004, l’ENISA, che ha sede in Grecia, contribuisce alla sicurezza delle reti e dell’informazione nell’UE. Il nuovo regolamento conferirà all’Agenzia un mandato permanente e preciserà il suo ruolo di agenzia dell’UE per la cybersicurezza. La scadenza del mandato attuale era prevista per il giugno 2020.
All’ENISA saranno affidati nuovi compiti di sostegno in materia di cybersicurezza per gli Stati membri, le istituzioni dell’UE e altre parti interessate. Sosterrà la politica dell’UE in materia di certificazione della cybersicurezza, ad esempio svolgendo un ruolo centrale nell’elaborazione dei sistemi di certificazione, e promuoverà l’adozione del nuovo sistema di certificazione, ad esempio attraverso la creazione di un sito web che fornisca informazioni sui certificati.
L’Agenzia organizzerà inoltre esercitazioni periodiche di cybersicurezza a livello dell’UE, compresa, ogni due anni, un’esercitazione globale su larga scala.
Nel mandato è prevista inoltre la creazione di una rete di funzionari nazionali di collegamento che faciliterà la condivisione delle informazioni tra l’ENISA e gli Stati membri.
Il primo atto giuridico dell’UE in materia di cybersicurezza, ovvero la direttiva del 2016 sulla sicurezza delle reti e dell’informazione (NIS), conferiva già all’ENISA un ruolo chiave a sostegno dell’attuazione della direttiva. Ad esempio, l’ENISA funge da segretariato della rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) istituita ai sensi della direttiva NIS e sostiene attivamente la cooperazione tra i vari gruppi.

PROCEDURA E PROSSIME TAPPE
L’accordo provvisorio sulla proposta è stato approvato durante la riunione degli ambasciatori in sede di Comitato dei rappresentanti permanenti del Consiglio (Coreper). Il testo concordato sarà ora messo a punto dai giuristi-linguisti. Dovrà quindi essere adottato formalmente prima dal Parlamento e poi dal Consiglio. A seguito dell’adozione, il regolamento sarà pubblicato nella Gazzetta ufficiale dell’UE ed entrerà in vigore 20 giorni dopo la pubblicazione.
Le norme si applicheranno a partire dallo stesso giorno, ad eccezione di talune disposizioni relative alla certificazione della cybersicurezza, per le quali gli Stati membri dovranno designare alcune autorità. Affinché gli Stati membri abbiano il tempo necessario per adeguare le rispettive strutture nazionali, le suddette disposizioni saranno applicabili due anni dopo la pubblicazione del regolamento. 

com.unica, 21 dicembre 2018