Come l’Europa migliora la sicurezza informatica


Come l’Europa migliora la sicurezza informatica

I cittadini e le aziende europee hanno oggi a disposizione due strumenti fondamentali di miglioramento della sicurezza informatica, rispettivamente:

  • La direttiva sulla sicurezza dei sistemi informativi e delle reti – la direttiva NIS,
  • La EU cybersecurity act, cioè la legge europea sulla sicurezza informatica.

 

La direttiva ha introdotto nuovi meccanismi per la cooperazione, a livello europeo, onde migliorare le difese a livello nazionale e impegnare gli enti, che forniscono servizi digitali informatici, nell’adottare una politica di gestione del rischio e di segnalazione di violazioni significative.

La cybersecurity Act introduce, per la prima volta, una serie di regole, valide a livello europeo, per la certificazione di sicurezza informatica di prodotti, processi e servizi. Questa legge inoltre attribuisce alla ENISA- European network information security agency- maggiori risorse per raggiungere questi obiettivi. Tocca agli Stati membri garantire l’integrità delle reti pubbliche di comunicazione, tenendo sotto controllo gli operatori, sia dando istruzioni vincolanti, sia applicando sanzioni. Le violazioni possono fare riferimento sia a regole informatiche, sia a regole nella protezione dei dati personali.

 

Nel maggio 2019 il Consiglio d’Europa ha anche stabilito una serie di sanzioni nei confronti di soggetti terzi che possono attaccare reti informatiche europee. A questo proposito, è stato messo a punto lo EU cyber diplomacy toolbox, vale a dire uno strumento che permette di attivarsi, tramite canali diplomatici, nei confronti di paesi ostili.

 

La disponibilità di un quadro di riferimento per la certificazione della sicurezza informatica rappresenta indubbiamente un grande passo avanti, soprattutto perché questo quadro di riferimento è valido per tutta Europa e quindi garantisce ad operatori, attivi in un paese, che l’appoggio richiesto presso altri paesi possa offrire analoghi livelli di sicurezza. Grazie a questo approccio si migliora in maniera drammatica il mercato unico digitale, che per l’Europa rappresenta un obiettivo tanto ambizioso, quanto realizzabile.

 

Ricordiamo che i certificati classificano i livelli di rischio, e quindi le misure di messa sotto controllo, a tre livelli, rispettivamente livello basico, livello significativo e livello alto. I certificati che garantiscono la conformità di un prodotto o servizio alle regole europee della sicurezza informatica devono fare riferimento a questa classificazione, determinata, come previsto dalla norma ISO 31000, dal prodotto della probabilità dell’evento per la gravità delle conseguenze legate al verificarsi dell’evento stesso. Sono certo che tutti i cittadini, di piccole, medie e grandi aziende e ogni altro soggetto coinvolto potranno trovare un grande beneficio dall’applicazione su larga scala di questo schema di certificazione, che solo adesso sta cominciando a dare qualche frutto.

 

Ci si augura che quanto prima, nell’elaborazione di capitolati di gara per servizi informatici, venga dato appropriato peso a servizi opportunamente classificati e certificati.

 

Un altro motivo per cui è bene che tutti gli operatori si preparino a certificare la propria attività nasce dal fatto che l’unione europea ha già avvertito che tra breve introdurrà disposizioni vincolanti, proprio su questo tema. Pertanto, lo schema di certificazione non sarà più una opzione, ma un obbligo istituzionale.     Al momento ciò ancora non avviene, ma i tempi stanno maturando rapidamente.

 

Anche il fatto che la unione europea abbia accresciuto in maniera significativa il finanziamento al Computer Security Incident Response Team (CSIRT), che viene chiamato in causa quando si verificano violazioni in settori critici informatici, costituisce una prova della crescente attenzione che l’intera Europa pone alla sicurezza informatica.

 

Questi temi sono stati recentemente approfonditi, soprattutto in relazione ai dubbi nascenti sulla sicurezza delle reti 5G, dotate di apparecchiature provenienti dall’estremo oriente.

 

Osservando le attività afferenti alla sicurezza informatica , non già da un’ottica europea, ma da un’ottica mondiale, non vi è dubbio che l’Europa si ponga in una posizione di rilievo, tant’è vero che molti paesi terzi fanno proprio riferimento alle attività delle istituzioni europee per stabilire, anche nel proprio ambito, soddisfacenti requisiti, in parte volontari ed in parte obbligatori, afferenti alla sicurezza informatica della nazione intera.

 

IT'S EASY

Cerchi una soluzione tecnologica per rispondere ad un bisogno della Tua Azienda?

Contattaci! Saremo lieti di progettarla assieme a Te.