L’UE intende aumentare la sua “ciber-resilienza” istituendo un quadro europeo di certificazione per prodotti, servizi e processi delle tecnologie dell’informazione e della comunicazione (TIC). Il nuovo meccanismo permetterà agli operatori del settore di certificare prodotti come le automobili connesse e i dispositivi medici intelligenti. Il Consiglio ha concordato oggi l’orientamento generale sulla proposta, nota come “regolamento sulla cibersicurezza”, che trasformerà tra l’altro l’attuale Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) in un’agenzia permanente dell’UE per la cibersicurezza.
“Tutti vogliamo dispositivi sicuri. Il nuovo quadro di certificazione accrescerà la fiducia nelle soluzioni digitali innovative.” ha dichiarato Ivaylo Moskovski, ministro bulgaro dei trasporti, della tecnologia dell’informazione e delle comunicazioni
Una certificazione comune della cibersicurezza
Il progetto di regolamento istituisce un meccanismo per la creazione di sistemi europei di certificazione della cibersicurezza per specifici processi, prodotti e servizi TIC. I certificati rilasciati nell’ambito di tali sistemi saranno validi in tutti i paesi dell’UE: sarà così più facile per gli utenti avere fiducia nella sicurezza di queste tecnologie e per le imprese svolgere le loro attività in più paesi.
La certificazione sarà volontaria, salvo se diversamente specificato nel diritto dell’Unione o degli Stati membri.
Tra le caratteristiche previste figura la resilienza in caso di perdita o alterazione dei dati, sia accidentale che dolosa.
I livelli di affidabilità previsti sono tre: di base, sostanziale e elevato. I produttori o fornitori di servizi potranno realizzare da soli la valutazione della conformità per il livello di base.
L’agenzia dell’UE per la cibersicurezza
Il nuovo regolamento conferirà all’ENISA un mandato permanente e preciserà il suo ruolo di agenzia dell’UE per la cibersicurezza. All’ENISA saranno affidati nuovi compiti di sostegno in materia di cibersicurezza per gli Stati membri, le istituzioni dell’UE e altre parti interessate. L’agenzia si occuperà di organizzare regolarmente esercitazioni di cibersicurezza in tutta l’UE e di sostenere e promuovere la politica dell’UE in materia di certificazione della cibersicurezza. Il primo atto giuridico dell’UE in materia di cibersicurezza è stato la direttiva sulla sicurezza delle reti e dell’informazione (SRI) del 2016, che conferiva già all’ENISA un ruolo chiave a sostegno dell’attuazione della direttiva.
Nel mandato è prevista inoltre la creazione di una rete di funzionari nazionali di collegamento che faciliterà la condivisione delle informazioni tra l’ENISA e gli Stati membri.
In che modo il testo diventerà legge?
Il testo concordato oggi costituisce la posizione del Consiglio per i negoziati con il Parlamento europeo. Sia il Consiglio che il Parlamento devono approvare il testo definitivo prima che questo possa entrare in vigore.
