Cybersecurity Act: che cos’è? La Commissione Europea ha proposto un regolamento fondato sulla resilienza che provvederà a rendere più efficace il coordinamento tra gli Stati membri, a dare assistenza ed avere un’azione più incisiva in caso di attacchi.

 

Il 13 settembre 2017 la Commissione Europea ha deciso di adottare un pacchetto sulla cybersicurezza con nuove iniziative per migliorare la resilienza informatica dell’UE.

Il Cybersecurity Act ha preso forma e presenta un’ambiziosa strategia.

In questo disegno, la protagonista è l’European Union Agency for Network Information Security (ENISA). La famosa agenzia di sicurezza informatica avrà un mandato permanente e rivestirà un ruolo di consulenza e formazione.

ENISA sosterrà anche l’attuazione della direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS) e del quadro di certificazione europea.

Dunque il Cybersecurity Act agisce a 360° sulla sicurezza e per farlo presenta una strategia fondata su resilienza, deterrenza e difesa (intesa come cooperazione degli Stati membri).

 

L’ Europa informatica unita

Quando si verificherà un cyber attacco particolarmente grave, uno Stato membro potrà invocare la clausola di solidarietà dell’Unione.

Come? La maggiore chiarezza sui rispettivi ruoli e responsabilità innescherà il rapido scambio delle informazioni tra tutti gli attori principali a livello nazionale ed europeo.

Una vera procedura della gestione delle crisi, con tanto di esercitazioni annuali e un “Fondo di risposta alle emergenze” per far fronte alle difficoltà delle singole economie.

L’elevato livello di resilienza richiede molta ricerca e le più avanzate tecnologie.

Per questo il Cybersecurity Act prevede anche dei finanziamenti mirati sia per quanto riguarda la fase di ricerca che quella di sviluppo.

Si sta parlando di settori specifici come i sistemi di cifratura basati sulle tecnologie quantistiche, sui sistemi di controllo biometrico dell’accesso, sulla rivelazione APT (advanced persistent threat) o sul data mining.

Gli Stati membri si aiuteranno nell’individuare e nel finanziare i settori in cui potrebbero essere presi in considerazioni progetti di cybersicurity comuni.

 

 

Attivare politica di sicurezza aziendale?

Ecco la corretta procedura!

 

Gli obiettivi del Cybersecurity Act

L’obiettivo è favorire la realizzazione di una catena di approvvigionamento di componenti hardware e software sicuri e resilienti in tutta Europa. Finalmente si vedrebbe unificato un processo flessibile e veloce di validazione, verifica e certificazione.

Si avvicina sempre di più il raggiungimento del fantomatico dovere di diligenza del settore industriale: reali metodologie di “security by design” di prodotti, servizi e sistemi.

Sembrerebbe che sia quest’ultimo il vero obiettivo al quale l’Unione europea mira nel medio periodo.

Come riuscirci? Secondo il testo del Cybersecurirty Act, attraverso “promozione dell’igiene e della consapevolezza cibernetiche”, ovvero la Security Awareness.

 

Security Awareness e resilienza

Per il Cybersecurirty Act, non esiste resilienza senza coscienza: la cybersecurity è una responsabilità di tutti.

Il comportamento delle persone, delle aziende e delle amministrazioni pubbliche dovrà dunque evolvere. Questo a garanzia che tutti riconoscano le minacce e siano in possesso degli strumenti e delle competenze necessari al fine di rilevare rapidamente gli attacchi e proteggersi attivamente.

La direttiva NIS stabilisce che l’adozione di programmi di Security Awareness adeguati e aggiornarti sia responsabilità degli Stati membri. Solo così si può rispecchiare il rischio in evoluzione.

Inoltre, gli Stati attiveranno delle ramificate campagne di sensibilizzazione che coinvolgeranno anche scuole, università, imprese e organismi di ricerca.

Ecco che il mese della cybersecurity, celebrato ogni anno ad ottobre, si estenderà per ottenere una maggiore diffusione come impegno di comunicazione comune.

 

Luci e ombre

Il Cybersecurity Act è stato accolto con entusiasmo in quanto finalmente eleva un valore come quello della resilienza e risolve la famigerata frammentazione dei sistemi di certificazione.

Eppure sembrerebbero necessarie alcune modifiche al testo sulla certificazione della cybersicurezza per le tecnologie ICT.

Almeno questo è quello che nota Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano e presidente del Clusit, l’Associazione italiana per la sicurezza informatica.

Secondo Faggioli la parte del Cybersecurity Act inerente gli schemi di certificazione presenta alcuni limiti. Secondo il presidente del Clusit “servirebbe un approccio diverso basato sulla riduzione del rischio piuttosto che su specifiche misure tecniche per garantire un certo livello di affidabilità” e inoltre “tra le sanzioni, sarebbe opportuno chiarire cosa e chi vada sanzionato, prevedendo almeno che siano indirizzati agli organismi di certificazione”.

Per Faggioli, l’ENISA dovrebbe svolgere anche attività di audit su prodotti e servizi certificati in cui far partecipare anche i soggetti per i quali è stato progettato il profilo di autorizzazione.

 

L’Italia è resiliente?

L’Italia è sulla buona strada. Proprio un anno fa è stato istituito un centro di valutazione e certificazione nazionale ICT. Inoltre, il Dipartimento delle Informazioni per la Sicurezza (DIS) ha sempre agito prontamente in merito alla protezione e alla sicurezza informatica.

La strada però è ancora lunga. Il Ministero dello Sviluppo Economico dovrà collaborare ancora più strettamente con l’OCSI (Organismo di Certificazione della Sicurezza Informatica) e garantire l’operatività del Ce.Va (Centro Valutazione).

Ecco che come uno dei principali Stati membri, l’Italia deve dimostrarsi resiliente e uscire dall’ottica dei singoli schemi nazionali di certificazione della sicurezza informatica. Un quadro comune europeo, come prevede il Cybersecurirty Act, potrebbe rilanciare il Paese sia dal punto di vista della crescita economica, che della sicurezza nazionale.

 

Si prevede che nel 2020 saranno decine di milioni i dispositivi IoT eppure finora la cybersecurity non è sempre stata una priorità nella loro progettazione.

Ecco che un programma unificato e resiliente potrebbe proteggere i dispositivi che controlleranno (e già iniziano a controllare)  le industrie, la finanza ma anche le nostre reti elettriche, le automobili e tutti i nostri device personali.

 

 

Vuoi il meglio per la tua infrastruttura IT?

Ecco cosa possiamo fare per te!

Share This