Il Cyber – security Act europeo
Martedì 12 marzo 2019 il Parlamento europeo ha approvato con 586 voti favorevoli, 44 contrari e 36
astensioni, l’Atto sulla sicurezza informatica per migliorare la risposta europea alle sempre più numerose
minacce informatiche, rafforzando il ruolo dell’Agenzia europea per la sicurezza delle reti e
dell’informazione (ENISA, dall’inglese European Union Agency for Network and Information Security) e
stabilendo una procedura comune di certificazione per la sicurezza informatica.
Particolare preoccupazione ha destato il rapporto sui devices Huawei che, stando ad alcune notizie
provenienti dagli Stati Uniti, potrebbero avere delle backdoor che metterebbero a rischio le reti mobili di
nuova generazione 5G. E non solo di reti informatiche ‘classiche’ parla il Cybersecurity Act dell’Ue, già
concordato informalmente con i Ministri Ue, ma anche di reti energetiche, acqua e sistemi bancari, si
prevede la certificazione delle infrastrutture critiche, si valuterà entro il 2023 se tali nuovi sistemi volontari
debbano essere resi obbligatori. Internet of things creerà una marea di connessioni tra quel 80% di cittadini europei dotati di una connessione internet e secondo Eurobarometro, l’87% dei cittadini europei considera che la lotta al crimine informatico è una sfida importante per la sicurezza interna dell’UE, mentre la maggior parte di loro ha paura di poter essere vittima di un attacco informatico.
“Sono due i problemi che vogliamo affrontare nello specifico. Il primo riguarda l’aumento del numero di
attacchi alle nostre infrastrutture critiche, che coinvolgono gli ambiti della nostra vita quotidiana – come
l’elettricità, le comunicazioni e l’acqua. Il secondo è invece legato all’aumento del numero di dispositivi
dell’Internet delle cose e la mancanza di fiducia degli utenti nella sicurezza e nella privacy dei loro
dispositivi. L’attacco informatico del 2017 “WannaCry”, che ha paralizzato nello stesso momento oltre
200mila sistemi IT in Europa, ha mostrato che c’è bisogno di iniziative europee per aumentare la sicurezza
informatica. Con l’Atto sulla sicurezza informatica, abbiamo gettato le basi per questa strada. L’Europa
potrebbe diventare presto una forza trainante per la sicurezza informatica.”, ha dichiarato l’eurodeputata
tedesca responsabile dell’Atto, Angelika Niebler, membro del Partito popolare europeo.
ENISA, L’Agenzia europea per la sicurezza delle reti e dell’informazione, riceverà più risorse finanziarie e
umane, inoltre sarà intensificata la cooperazione sulla sicurezza informatica fra gli stati membri. La
certificazione sarà tesa ad attestare che il prodotto, processo, servizio del settore ICT garantisca:
riservatezza, integrità, disponibilità e rispetto della normativa privacy di servizi, funzioni e dati; che i servizi, le funzioni e i dati siano accessibili e utilizzati unicamente da persone autorizzate e / o sistemi e programmi autorizzati; che siano stati messi a punto processi che consentano di individuare e identificare tutte le vulnerabilità già note e governare le nuove; che i prodotti, i processi o i servizi siano progettati per essere sicuri e che siano dotati di software aggiornato senza vulnerabilità note; che gli altri rischi legati agli
incidenti informatici, come i rischi per la vita o la salute, siano ridotti al minimo. Lo schema di certificazione sarà costituito da tre livelli di garanzia basati sul rischio: di base: l’apparecchio o il dispositivo viene protetto dai rischi basilari contro gli incidenti informatici noti; sostanziale: i rischi noti degli incidenti informatici vengono evitati in anticipo e i sistemi vengono dotati di un livello di resilienza di base, ovvero capacità di resistere agli attacchi informatici con risorse limitate; elevato: i rischi di incidenti informatici vengono evitati e l’apparecchio o il dispositivo viene messo nelle condizioni di resistere agli attacchi informatici più avanzati con risorse significative.
MAURIZIO DONINI