A distanza di un anno dall’entrata in vigore del decreto attuativo della c.d. Direttiva NIS (Direttiva (UE) 2016/1148), interviene a disciplinare la materia della cybersicurezza il Regolamento (UE) n. 2019/881, meglio noto come Cybersecurity Act.

Il Regolamento entra, infatti, in vigore oggi, 27 giugno 2019, ed è direttamente applicabile in tutti gli Stati membri, andando così ad uniformare la disciplina su tutto il suolo europeo.

Nell’ottica di garantire il buon funzionamento del mercato europeo, lo scopo perseguito dal Cybersecurity Act è il raggiungimento di un livello sempre più elevato di cybersecurity e resilienza informatica.

Due le principali novità introdotte dal Regolamento.

Da un lato, vengono disciplinati gli obiettivi, i compiti, gli aspetti organizzativi ed il funzionamento dell’Agenzia dell’Unione Europea per la cybersecurity (ENISA).

Dall’altro, per evitare la frammentazione del mercato ed in un’ottica di armonizzazione, viene fornito un quadro comune per l’introduzione di sistemi europei di certificazione della cybersecurity per le tecnologie dell’informazione e della comunicazione al fine di garantire un livello adeguato di sicurezza degli elementi delle reti e dei sistemi informativi, nonché dei servizi di trasmissione, conservazione, recupero e elaborazione di informazioni per mezzo della rete o dei sistemi informativi.

Ma andiamo con ordine.

L’ENISA – istituita nel 2004 come un’agenzia temporanea con mandato fino al 2020 – ottiene un mandato permanente e l’attribuzione di maggiori risorse. Non svolgerà più meri compiti di consulenza tecnica, bensì attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. In questo modo, l’ENISA fornirà un sostegno più concreto, anche rispetto all’attuazione della Direttiva NIS, e avrà un ruolo primario nella gestione del nuovo sistema unico di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.

Proprio l’introduzione di detto sistema ovvierà al problema del mancato riconoscimento, da parte di alcuni Stati, dei certificati rilasciati da altri Paesi. Infatti, fino ad oggi, molte imprese operanti a livello internazionale si vedevano costrette ad ottenere certificazioni, sostanzialmente equivalenti, in diversi Paesi con relativa duplicazione di costi.

È bene evidenziare, tuttavia, che il Cybersecurity Act non istituisce un unico certificato europeo, bensì crea un quadro per l’istituzione di schemi europei per la certificazione di prodotti e servizi digitali, con la conseguenza che i certificati rilasciati secondo tali schemi saranno validi e riconosciuti in ciascuno Stato membro.

Ad occuparsi della predisposizione dei suddetti schemi di certificazione sarà l’ENISA. Poi, una volta adottati formalmente dalla Commissione Europea, le imprese – su base volontaria, salvo specifiche norme di settore – potranno presentare domanda di certificazione dei propri prodotti o servizi agli enti accreditati.

Le certificazioni rilasciate garantiranno la conformità del bene/servizio a determinati requisiti di sicurezza volti alla protezione della disponibilità, autenticità, integrità e riservatezza dei dati conservati, trasmessi o trattati e prevederanno tre differenti livelli di affidabilità: di base, sostanziale ed elevata.

Ciò al fine di aiutare gli utenti finali a compiere scelte consapevoli.

Si consideri, poi, che, come è avvenuto per il GDPR (Reg. (UE) n. 679/2016), anche il Cybersecurity Act potrebbe rappresentare un’ulteriore normativa UE che produce effetti oltre il mercato europeo: la certificazione “europea”, infatti, potrà essere richiesta anche da imprese con sede extra-UE che si propongono di offrire i propri prodotti e servizi all’interno dell’Unione.