Le novità introdotte con l’entrata in vigore del regolamento UE 2019/881 “Cybersecurity Act”

Con la pubblicazione il 7 Giugno 2019 sulla Gazzetta Ufficiale dell’Unione europea, il 27 giugno 2019 è entrato in vigore il Regolamento UE 2019/881 del Parlamento europeo e del Consiglio “relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione”, meglio noto comeCybersecurity Act”.

Tale Regolamento si inserisce in un quadro europeo già regolato dal Regolamento UE 2016/679 in materia di protezione dei dati (c.d. GDPR) e dalla Direttiva UE 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione (c.d. Direttiva NIS) e prosegue dunque l’attività legislativa delle Istituzioni europee relativa alla sicurezza delle reti e dei sistemi informatici, ponendosi come obiettivo quello di fornire una strategia di sicurezza informatica comune a tutti gli Stati membri, al fine di prevenire e/o reprimere gli attacchi informatici.

In particolare, il predetto Regolamento, al fine di soddisfare lo scopo, di cui all’art. 1, di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di “cibersicurezza, ciberresilienza e fiducia all’interno dell’Unione stabilisce:

1) gli obiettivi, i compiti e gli aspetti organizzativi dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA);

2) un quadro per l’introduzione di sistemi europei di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.

Per quanto concerne il ruolo rivestito dall’ENISA, finora consistito nell’assistere in termini tecnici gli Stati membri e le Istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi, il Cybersecurity Act mira a rafforzarlo garantendole un mandato permanente e consentendole di svolgere non solo compiti di consulenza tecnica, come è stato fino ad ora, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri.

Con l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali, il Cybersecurity Act intende creare un quadro comune di regole volte a disciplinare schemi europei di certificazione della sicurezza informatica, al fine di migliorare le condizioni di funzionamento del mercato interno aumentando il livello di cibersicurezza all’interno dell’Unione europea e rendendo possibile un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza allo scopo di creare un mercato unico europeo per i prodotti ed i servizi digitali (art. 46 Reg.to UE 2019/881).

Tali schemi di certificazione verranno predisposti dall’ENISA, adottati mediante atti di esecuzione da parte della Commissione europea e pubblicati sul sito web dell’ENISA (artt. 47-50 Reg.to UE 2019/881); le aziende interessate potranno così presentare domanda di certificazione dei propri prodotti o servizi a specifici organismi accreditati, salvo per i prodotti o i servizi a basso rischio per i quali lo schema di certificazione consente all’azienda di procedere ad una autovalutazione di conformità (art. 53 Reg.to UE 2019/881).

Va evidenziato che la certificazione della cibersicurezza è volontaria, come specificato dall’art. 56 Reg.to UE 2019/881, salvo diversamente specificato dal diritto dell’Unione o degli Stati membri.

Gli schemi europei di certificazione andranno dunque a sostituire gli schemi nazionali di certificazione a decorrere dalla data stabilita nell’atto di esecuzione, ma i certificati rilasciati sulla base di questi ultimi rimarranno validi sino alla loro naturale scadenza, secondo quanto previsto dall’art. 57 Reg.to UE 2019/881.

Con riferimento poi al sistema sanzionatorio, l’art. 65 Reg.to UE 2019/881 prevede che gli Stati membri stabiliscano le norme relative alle sanzioni applicabili in caso di violazione dei sistemi europei di certificazione della cibersicurezza e adottino tutte le misure necessarie per assicurarne l’applicazione.

Trattandosi di un Regolamento, il Cybersecurity Act è immediatamente applicabile dalla sua entrata in vigore e dunque dal 27 giugno 2019 in tutti gli Stati membri, senza necessità di interventi attuativi da parte dei legislatori nazionali, salvo alcune limitate disposizioni, indicate all’art. 69 Reg.to UE 2019/881, che saranno applicabili dal 28 giugno 2021.

Il Cybersecurity Act rappresenta sicuramente un importante passo in avanti nella attività legislativa delle Istituzioni europee in ambito di sicurezza delle reti e dei sistemi informatici, attività già iniziata con il Regolamento UE 2016/679 in materia di protezione dei dati (c.d. GDPR) e con la Direttiva UE 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione (c.d. Direttiva NIS).

Il Regolamento UE 2019/881, infatti, ponendosi come obiettivo quello di fornire una strategia di sicurezza informatica comune a tutti gli Stati membri, mira a realizzare un modello di “security by design” volto a garantire la sicurezza informatica dei prodotti e dei servizi digitali fin dalla fase di progettazione degli stessi.

Tale obiettivo, come si è visto, viene perseguito, da un lato, con il rafforzamento del ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e, dall’altro, con l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.

Ciò che si auspica con l’entrata in vigore di tale normativa europea è pertanto l’aumento del livello di sicurezza all’interno dell’Unione europea e di conseguenza la maggior capacità di prevenzione e/o di repressione degli attacchi informatici oltre all’accrescimento della fiducia dei consumatori nelle tecnologie digitali.