La sicurezza dei dati personali: misure e strategie alla luce delle recenti novità normative in materia di cybersecurity

La sicurezza dei dati personali: misure e strategie alla luce delle recenti novità normative in materia di cybersecurity

di Filippo Lorè 

Sommario

1. La sicurezza dei dati personali nel Regolamento UE 2016/679 (RGPD): gli articoli 5 e 32. – 2. La Direttiva (UE) 2016/1148 (“NIS”) e il Piano Triennale per l’Informatica – 3. Il Regolamento (UE) 2019/881

Abstract

In questo articolo si intende analizzare il recente impianto normativo europeo che, in ambito di sicurezza dei dati, richiama a un nuovo approccio culturale in ordine all’osservanza di criteri utili nell’adozione di misure di sicurezza idonee ed adeguate al rischio. La digitalizzazione e la connettività, le reti e i sistemi informativi, le reti e i servizi di comunicazione elettronica sono ormai molto diffusi e per questo sono diventati essenziali nella nostra società. Le tecnologie dell’informazione e della comunicazione (TIC), infatti, sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali la sanità, l’energia, la finanza e i trasporti e, in particolare, contribuiscono al funzionamento del mercato interno. Purtuttavia, la cybersicurezza non è sempre garantita in modo ottimale poiché la sicurezza e la resilienza di sistemi, di reti e di dispositivi non sono sufficientemente integrate nella progettazione e, inoltre, perché il numero di dispositivi connessi è altissimo e andrà sempre aumentando. Poco diffuse sono le certificazioni in tale settore e gli attacchi informatici sono in costante aumento, tanto da indurre gli “addetti ai lavori” a parlare di “cyberguerra”. Si calcola, infatti, che i cyberattacchi costino all’economia mondiale 400 miliardi di Euro ogni anno. Tutto ciò può incidere negativamente sulla fiducia dei cittadini e delle imprese. Obiettivo dell’Unione europea è dunque il raggiungimento del mercato unico digitale attraverso una corretta produzione dei dispositivi e un loro corretto uso. A tal fine numerosi sono stati e saranno i tentativi legislativi nell’ottica di regolamentare e disciplinare questo settore senza porre un freno allo sviluppo economico del mondo digitale. Pertanto l’analisi riguarderà anzitutto il Regolamento (UE) 2016/679 sulla protezione dei dati personali (GDPR), che ha introdotto importanti novità nell’ambito delle misure da porre in essere per preservare l’integrità, la sicurezza e la riservatezza dei dati personali. In secondo luogo si analizzerà la Direttiva (UE) 2016/1148 (“NIS”), che ha contribuito alla stesura di una strategia nazionale di sicurezza cibernetica da parte dello Stato, il quale deve prevedere sempre la presenza delle Autorità competenti in materia di Network and Information Security (sia per la P.A. sia per i privati). La direttiva “NIS” ha stabilito obblighi concernenti le capacità nazionali nel campo della cybersicurezza, ha istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri e ha introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l’economia e la società, quali l’energia, i trasporti, fornitura e distribuzione di acqua potabile, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online). Di conseguenza, si farà un cenno anche al Piano Triennale per l’Informatica. Infine, si procederà a un commento del recentissimo Regolamento (UE) 2019/881, detto Cybersecurity Act. Questo Regolamento ha introdotto alcune novità nel quadro normativo europeo. Anzitutto un mandato permanente per l’ENISA, European Union Agency for Network and Information Security, con maggiori risorse e un ruolo importante nel nuovo quadro di certificazione della cybersicurezza. L’ENISA dovrà assistere gli Stati membri nel rispondere efficacemente agli attacchi informatici. L’ENISA dovrà inoltre contribuire a promuovere un alto livello di consapevolezza dei cittadini e delle imprese. In secondo luogo il nuovo Regolamento crea un quadro per la certificazione europea di sicurezza informatica per prodotti, processi e servizi TIC anche mediante le Autorità nazionali di certificazione e una rete di organismi di valutazione accreditati.

1. La sicurezza dei dati personali nel Regolamento 2016/679 (RGPD): gli articoli 5 e 32.

Il Regolamento UE 2016/679 (RGPD)[1], in pieno vigore in tutti gli Stati membri dal 25 maggio 2018, ha stabilito, come è noto, norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, disciplinando, inoltre, la libera circolazione di tali dati, proteggendo i diritti e le libertà fondamentali delle persone fisiche. Qualsiasi trattamento di dati personali deve essere lecito e corretto, così come devono essere trasparenti per le persone fisiche le modalità attraverso le quali sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano, nonché la misura in cui i dati personali sono o saranno trattati[2]. I dati personali, inoltre, devono essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento[3]. Per una garanzia di sicurezza dei dati, il titolare del trattamento valuta, in ottica accountability, i rischi inerenti al trattamento e attua delle misure per limitare tali rischi, quali ad esempio la cifratura[4]. Tali misure devono assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. L’accesso non autorizzato ai dati personali trattati è uno degli eventi che il RGPD intende scongiurare, in quanto pericoloso per i diritti e le libertà dell’individuo, e che potrebbe cagionare un danno fisico, materiale o immateriale. Il RGPD, a tale scopo, dedica particolare rilevanza alle misure di sicurezza anche attraverso la lettura dell’art. 5, lì dove vengono specificati i principi applicabili al trattamento. Tale articolo, al paragrafo 1, lettera f), stabilisce che tutti i tipi di trattamento devono essere sicuri. I dati personali, dunque, devono essere trattati in maniera da garantirne un’adeguata sicurezza (dei dati personali), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). Altra norma importante ai fini della nostra analisi è l’art. 32. Le misure di sicurezza devono essere approntate, dal titolare e dal responsabile del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. In altre parole le misure di sicurezza (tecniche e organizzative), che devono essere progettate alla luce della prassi consolidata, devono garantire un livello di sicurezza adeguato al rischio (approccio basato sul rischio)[5]. Tali misure, se del caso, comprendono: la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Questa elencazione non è chiaramente esaustiva in quanto il titolare e il responsabile del trattamento devono valutare il caso concreto in base ai rischi individuati. In ossequio anche al principio di accountability del titolare, introdotto dal RGPD, una buona valutazione del rischio sui trattamenti, effettuati dalla sua organizzazione, precede l’individuazione delle misure idonee di sicurezza. L’Autorità Garante per la protezione dei dati personali ha chiarito[6] che non sussistono, con l’entrata in vigore del RGPD, obblighi generalizzati di adozione di misure “minime” di sicurezza come quelle che tutti i titolari del trattamento, sotto la vigenza del vecchio Codice[7], erano tenuti a rispettare (artt. 33 e segg. e Disciplinare tecnico in materia di misure minime di sicurezza, Allegato B). Ciò non impedisce all’Autorità di definire “linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni”[8]. Appare scontato, dunque, che il punto di partenza di qualsiasi valutazione inerente la messa in atto di misure di sicurezza, sia la prassi, scaturita anche da quella normativa. Occorre dunque valutare l’implementazione di sistemi di autorizzazioni per l’accesso a dispositivi o sistemi informatici e/o procedure di gestione delle credenziali di autenticazione informatica. In secondo luogo, l’individuazione dell’ambito del trattamento consentito ai soggetti autorizzati nonché agli addetti alla manutenzione dei dispositivi. Pertanto, sono utili allo scopo anche un antivirus e un firewall, l’adozione di procedure per la custodia di copie di sicurezza, il backup e il ripristino dei dati e dei sistemi. Risulta necessario altresì disciplinare modalità di accesso che consentano di risalire al soggetto autorizzato e procedure per la conservazione in archivio. In conclusione, è molto importante prevedere una “continuità” nel tempo della valutazione del rischio – così da essere adeguata alle situazioni congiunturali – attraverso un monitoraggio periodico (ad es. mediante sistemi di audit) ma soprattutto l’attitudine a far operare in parallelo misure organizzative e tecniche. Le prime riguardano elementi propri dell’organizzazione (ad esempio adottare procedure e policy interne nonché formare i soggetti autorizzati), le seconde mirano a preservare l’integrità, la riservatezza e disponibilità dei dati. Una breve considerazione può essere fatta a proposito delle modalità di difesa dei dati che tratta un’organizzazione. È essenziale, infatti, che il titolare del trattamento eviti di porre in essere misure di sicurezza non necessarie o sproporzionate. In questa ottica, potrebbe bastare l’approccio ENISA^[9]. Nel 2017, proprio L’Agenzia ha pubblicato un importante manuale sulla sicurezza nel trattamento dei dati personali che funge tuttora da ausilio per piccole e medie organizzazioni, chiamate a rispettare, nelle operazioni trattamento dati, alcuni criteri di sicurezza valutabili in modo oggettivo. Qualora invece la complessità e le dimensioni dell’organizzazione richiedano dei sistemi più sofisticati di difesa dei dati trattati, potrebbe venire in soccorso l’approccio della CNIL, l’Autorità francese Garante per la protezione dei dati personali. Quest’ultima ha elencato alcune misure di sicurezza che possono essere implementate dalle organizzazioni più grandi o da quelle che trattano dati particolari. Si deve tener conto però che i costi, con l’applicazione di tali misure, aumentano sensibilmente. Oltre ad agire sulla consapevolezza degli autorizzati, sulla gestione delle procedure di autenticazione, degli account utenti e dei log di accesso, sulla sicurezza della rete aziendale, dei server, delle postazioni di lavoro e degli handset, a titolo esemplificativo, la CNIL fornisce alcuni consigli importanti[10]. In primo luogo è necessario innalzare i livelli di sicurezza dei siti web gestiti dall’organizzazione, possibilmente attraverso l’adozione del protocollo TLS[11], limitando il numero di porte per applicazione installata, limitando gli account di tipo “administrator” e, in caso di gestione di cookie non tecnici (anonimizzati) o di funzionalità che prevedono l’utilizzo di dati personali, fornire debita informativa all’interessato e richiederne il consenso al trattamento. In secondo luogo, la CNIL consiglia di garantire la cosiddetta business continuity e predisporre un’adeguata politica di archiviazione dei dati trattati, sia da un punto di vista di sicurezza elettronica sia da un punto di vista di sicurezza fisica, in risposta agli incidenti possibili nel contesto aziendale di riferimento. Ancora, l’Autorità suggerisce adeguate misure di garanzia in caso di coinvolgimento di terze parti nelle attività di trattamento, a partire da accordi contrattuali specifici, fino ad includere misure di codifica in caso di scambio tra le parti di informazioni personali o protocolli che permettano di garantire confidenzialità ed autenticità delle informazioni scambiate (ad esempio, SFTP[12], HTTPS[13]). È poi necessario utilizzare tecniche di encryption dei dati, attraverso algoritmi riconosciuti, tra cui ad esempio gli SHA-256, SHA-512 o SHA-341[14] per l’hash function. Infine, è opportuno adottare il principio di privacy-by-design ogni qual volta vi è uno sviluppo di software, in quanto è necessario agire sull’architettura dello stesso sin dalle primissime fasi, per evitare, ad esempio, la presenza di zone di commento od inserimento libero, tenendo in considerazione il principio di minimizzazione dei dati, evitando l’utilizzo di dati personali in fase di test[15].

2. La Direttiva (UE) 2016/1148 (“NIS”) e il Piano Triennale per l’Informatica

Prima di analizzare il Regolamento UE 2019/881, è opportuno ripercorrere alcune importanti tappe normative percorse dall’Unione europea in tema di cybersicurezza. Nel 2004[16]è stata istituita l’ENISA[17], l’agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, un centro di expertise in materia di sicurezza informatica, allo scopo di aiutare i Paesi membri dell’UE a essere tempestivi e preparati nel prevenire, rilevare e reagire ai problemi di sicurezza dell’informazione. Scopo primario dell’ENISA è quello di contribuire attivamente a mantenere un elevato livello di sicurezza delle reti e delle informazioni all’interno dell’Unione, lavorando a stretto contatto con gli Stati membri e il settore privato. Tra i suoi compiti rientrano l’organizzazione di esercitazioni di crisi informatiche in tutta Europa, l’assistenza per lo sviluppo di strategie nazionali di sicurezza informatica, la promozione della cooperazione fra le squadre di pronto intervento informatico e lo sviluppo di capacità. L’ENISA, nel corso degli anni, ha pubblicato relazioni e studi sulle questioni di sicurezza informatica, come quelli sulla sicurezza del cloud, sulla protezione dei dati, sulle tecnologie per migliorare la tutela della vita privata e tutela della privacy con le nuove tecnologie, sull’identificazione elettronica e servizi fiduciari elettronici, sull’individuazione delle minacce informatiche. Il Regolamento 2004/460 era stato abrogato dal nuovo Regolamento (UE) 2013/526[18]. La prima strategia europea in questo settore, infatti, risale al 2013 e ha messo in campo azioni concrete per la resilienza dei sistemi contro il cybercrimine, sviluppando risorse industriali e tecnologiche. Nel 2016 era stata adottata la Direttiva 2016/1148, detta NIS (Network and Information Security), sulla sicurezza delle reti e dei sistemi informativi[19]. Si tratta di una direttiva “di armonizzazione minima”[20] e della prima legislazione orizzontale che ha affrontato in modo deciso, in ambito europeo, le nuove sfide della cybersicurezza. Tra i suoi scopi vi sono anche il miglioramento delle capacità degli Stati membri e il rafforzamento della cooperazione ma soprattutto la promozione di una cultura di gestione del rischio e di segnalazione degli incidenti tra gli operatori economici di servizi essenziali[21] (OES) e per i fornitori di servizi digitali[22] (DSP), con l’introduzione di requisiti di sicurezza obbligatori. Spetta a questi soggetti l’adozione di misure tecniche ed organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici, che devono essere notificati al Computer Security Incident Response Team (CSIRT) e alle Autorità competenti NIS[23]. Questi requisiti di sicurezza (e di notifica) sono fondamentali per la salvaguardia della business continuity e dei benefici della digitalizzazione, anche in vista dell’aumento dei servizi tramite IoT (internet delle cose[24]), e l’aumento della fiducia nel mercato unico digitale. Si deve tener presente che, con riguardo all’individuazione degli operatori di servizi essenziali, viene suggerito agli Stati membri di prendere in considerazione un’estensione dell’ambito di applicazione della direttiva NIS alle amministrazioni pubbliche, visto il ruolo che rivestono per la società e per l’economia nel complesso^[25]. A livello nazionale sono altresì da segnalare le linee guida sulla gestione dei rischi e la prevenzione, mitigazione e notifica degli incidenti, a cura delle Autorità NIS e del Dipartimento delle Informazione per la Sicurezza (DIS), che sono condivise dal luglio 2019 con i 465 operatori di servizi essenziali (OSE) individuati nel 2018, i quali avranno tra i quattro e i dodici mesi per uniformarsi ad esse. Le linee guida, basate sul framework nazionale per la cybersecurity, rappresentano un decisivo passo in avanti sul fronte della cybersicurezza, poiché l’applicazione degli strumenti e delle procedure in esso contenuti innalzano la sicurezza di reti e sistemi garantendo la resilienza dell’intero Sistema-Paese^[26]. L’intento è quello di raggruppare le conoscenze ed integrare le varie normative. Ciò per dar seguito ad un’architettura di cybersecurity europea che si fonda sull’approccio coordinato, sull’aumento della consapevolezza e sulla partnership pubblico-privato. L’aumento dei livelli di cybersicurezza e dell’armonizzazione di tali livelli nell’Unione passa per il ruolo fondamentale di coordinamento dell’ENISA che ha prodotto negli anni scorsi importanti documenti al riguardo[27], tra cui un tool sul suo sito web, utile per il monitoraggio dell’applicazione della Direttiva NIS nei Paesi dell’Unione[28], che fornisce riscontro  in ordine all’elenco degli CSIRT, delle autorità NIS, delle strategie nazionali NIS. Infine, è opportuno un breve cenno al Piano Triennale per l’Informatica nella P. A. Tale piano è un documento di indirizzo strategico ed economico di supporto operativo per la trasformazione digitale in Italia. Trattasi di un modello di riferimento per la P.A. nello sviluppo dei sistemi informativi, che fissa i principi architetturali fondamentali, le regole di usabilità e interoperabilità, la logica di classificazione delle spese ICT, nell’ottica di una rifocalizzazione delle spese e di un miglioramento dei servizi offerti a cittadini e imprese. Il Piano sostiene anche il percorso inclusivo di crescita digitale delle PA centrali e locali con un maggiore coinvolgimento della figura del Responsabile per la transizione al digitale, la cui nomina da parte delle pubbliche amministrazioni è stata richiamata anche da una Circolare del Ministro per la pubblica amministrazione[29]. Le PA saranno accompagnate in questo non semplice percorso di trasformazione digitale, dalla condivisione di strategie comuni (anche con esperienze portate da amministrazioni virtuose), da piani operativi e da buone pratiche. AGID[30], in questo panorama, ha il compito di guidare le amministrazioni nella fase di adeguamento, assicurando la piena coerenza tra attività regionali e centrali, condividendo con le singole PA le esigenze di coordinamento, il modello di governance, il monitoraggio, e assicurando, inoltre, la piena coerenza tra attività regionali e centrali. Il Piano identifica un modello per lo sviluppo del digitale secondo cui il livello nazionale definisce regole, standard e realizza piattaforme abilitanti che ottimizzano investimenti; le amministrazioni – centrali e locali – sviluppano servizi secondo le proprie specificità utilizzando competenze interne e/o di mercato; i soggetti privati (Aziende) programmano investimenti di lungo periodo e sfruttano nuove opportunità di mercato creando soluzioni che vanno ad integrarsi con le piattaforme nazionali[31]. Il Piano 2019-2021[32] segue le linee di azione e di indirizzo della versione 2017-2019 e, conseguentemente, ne aggiunge altre, aggiornando la strategia di trasformazione con alcune novità, quali il recepimento delle ultime modifiche introdotte del Codice dell’Amministrazione Digitale (CAD) e delle recenti direttive e regolamenti europei sull’innovazione digitale; il rafforzamento del paradigma Cloud della PA con l’applicazione del principio cloud first; la definizione di Modelli e strumenti per l’innovazione per la PA, con un’attenzione ai temi dell’open innovation, dell’innovation procurement e al paradigma smartlandscape[33], dunque, anche strategie per l’adozione di Blockchain e Intelligenza artificiale. In particolare, il Piano intende perseguire il completamento di attività già poste in essere, come la razionalizzazione dei data center pubblici e l’adozione del Cloud nelle amministrazioni italiane, quale tecnologia prioritaria per consentire risparmi un vantaggio in termini di ottimizzazione di spesa e, al contempo, un migliore sistema di sicurezza; stabilisce l’evoluzione e la più capillare diffusione dei servizi digitali, tra cui carta d’identità elettronica, SPID e pagoPA; punta al rafforzamento delle competenze manageriali e digitali all’interno delle pubbliche amministrazioni con iniziative concrete di sensibilizzazione e formazione. Il Piano, inoltre, delinea azioni totalmente dedicate al mondo delle imprese, per favorire l’investimento in innovazione del tessuto economico e produttivo[34]. È opportuno infine ricordare che nel Capitolo 5 del Piano[35] si individuano alcune aree di azione per la valorizzazione del patrimonio informativo pubblico: le basi di dati di interesse nazionale e i dati aperti. Definire dei piani di sviluppo e aggiornare i servizi per l’utilizzo delle basi dati, anche mediante la creazione di vocabolari controllati e modelli di dati, infatti, potrebbe facilitare il riutilizzo dei dati per settori di interesse. Con il Piano, infine, si potrà dar seguito al protocollo definito nell’ambito del gruppo di lavoro “Data e open data management” del Comitato di pilotaggio presso il Dipartimento della Funzione Pubblica per gli interventi OT11 e OT2[36], realizzati nel quadro dell’Accordo di partenariato Italia. Tale protocollo prevede, in particolare, il popolamento del Catalogo nazionale dati.gov.it, nel quale sono documentati, sulla base del profilo di metadati DCAT-AP_IT[37], i dati aperti resi disponibili dalle amministrazioni[38].

3. Il Regolamento (UE) 2019/881 

Il 27 giugno 2019 è la data che segna l’entrata in vigore[39] del nuovo Regolamento UE 2019/881[40], anche detto Cybersecurity Act, che ha rafforzato il ruolo dell’Agenzia dell’Unione europea per la cybersicurezza (ENISA) e definito un quadro UE per l’introduzione di sistemi europei di certificazione della cybersicurezza dei prodotti, dei servizi e dei processi (tecnologie dell’informazione e della comunicazione, TIC)[41]. Il Regolamento, strumento legislativo che, come è noto, ha portata generale e diretta applicabilità negli Stati membri, pone come obiettivi, allo scopo di garantire il buon funzionamento del mercato interno, quello di perseguire un elevato livello di cybersicurezza, cyberresilienza e fiducia all’interno dell’Unione rafforzando le capacità e la preparazione degli Stati membri e delle imprese e quello di migliorare la cooperazione, la condivisione di informazioni, il coordinamento tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione^[42]. Rendere sicuro il mercato unico digitale è compito precipuo della cybersicurezza. Le direttive su cui si muove la normativa europea contemplano la possibilità di affrontare le minacce alle piattaforme online, l’assistenza alle piccole e medie imprese affinché siano competitive nell’economia digitale, l’investimento nell’uso dell’intelligenza artificiale nel settore sanitario e dell’efficienza energetica. Tutto questo, però, non può prescindere da un innalzamento del livello di certificazione della cybersicurezza[43] e dalla prevenzione della possibile frammentazione dei sistemi di certificazione, che da tempo preoccupava gli “addetti ai lavori”, tanto da indurli a caldeggiare un quadro completo e unitario di regole sui sistemi di sicurezza europei. Si vuole promuovere energicamente l’«igiene informatica», vale a dire semplici misure di routine che, se attuate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche[44]. Va tenuto in debita considerazione che i moderni prodotti e sistemi TIC spesso integrano e utilizzano una o più tecnologie e componenti terzi, quali moduli software, biblioteche o interfacce per programmi applicativi («dipendenza»), che potrebbero presentare rischi supplementari. Le vulnerabilità riscontrate in componenti terzi potrebbero pregiudicare anche la sicurezza dei prodotti TIC, dei servizi TIC e processi TIC[45]. Inoltre, e qui si scorge un’analogia con il GDPR, è incoraggiata l’attuazione, da parte dei produttori di prodotti TIC, di misure nelle prime fasi di progettazione e sviluppo per tutelare il più possibile, sin dall’inizio, la sicurezza di tali prodotti, di servizi e di processi, in modo che si presuma il verificarsi di attacchi informatici e se ne anticipi, o riduca al minimo l’impatto («sicurezza fin dalla fase di progettazione»). Assicurare, da un lato, la sicurezza nell’intero ciclo di vita del prodotto TIC, servizio TIC o processo TIC e ridurre, dall’altro, il rischio di danni derivanti da un utilizzo doloso sono gli scopi di tale disciplina[46]. Ancora, il Regolamento esorta le imprese, le organizzazioni e il settore pubblico a configurare i prodotti TIC, servizi TIC o processi TIC da loro progettati in modo da garantire un livello di sicurezza che dovrebbe consentire al primo utente di ricevere una configurazione predefinita con le impostazioni più sicure possibili («sicurezza predefinita»), evitando di scaricare tale onere sull’utente finale[47]. Con riguardo all’ENISA, invece, il Regolamento 2019/881 stabilisce il suo “nuovo” mandato, vale a dire quello di conseguire un elevato livello comune di cybersicurezza nell’Unione, anche sostenendo attivamente gli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione nel miglioramento della cybersicurezza. L’ENISA funge da punto di riferimento per pareri e competenze in materia di cybersicurezza per le istituzioni, gli organi e gli organismi dell’Unione nonché per altri portatori di interessi pertinenti dell’Unione[48]. L’art. 4 del Regolamento assume ancor più rilievo poiché elenca gli “obiettivi” dell’ENISA, che opera quale centro di competenze nel campo della cybersicurezza grazie alle caratteristiche di indipendenza, alla qualità scientifica e tecnica delle consulenze e dell’assistenza fornite, alle informazioni che mette a disposizione, alla trasparenza delle procedure, ai metodi operativi utilizzati e alla diligenza nell’esecuzione dei suoi compiti. L’ENISA assiste le istituzioni, gli organi e gli organismi dell’Unione e gli Stati membri nell’elaborazione e nell’attuazione di politiche dell’Unione relative alla cybersicurezza, sostenendo lo sviluppo delle capacità e un adeguato livello di preparazione nell’Unione e promuovendo la cooperazione e il coordinamento a livello di Unione tra gli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione e i portatori di interessi del settore pubblico e privato su questioni relative alla cybersicurezza. Chiaramente un compito dell’ENISA è anche quello di rafforzare le capacità di cybersicurezza a livello di Unione per sostenere le azioni degli Stati membri nella prevenzione delle minacce informatiche e nella reazione alle stesse, in particolare in caso di incidenti transfrontalieri. Infine, la richiamata Agenzia promuove l’uso della certificazione europea della cybersicurezza, con l’obiettivo di evitare la frammentazione del mercato interno. L’ENISA, infatti, contribuisce all’istituzione e al mantenimento di un apposito quadro europeo di certificazione della cybersicurezza, al fine di aumentare la trasparenza dei prodotti TIC, dei servizi TIC e dei processi TIC in termini di cybersicurezza, rafforzando, in tal modo, la fiducia nel mercato unico digitale e la sua competitività. Da non trascurare anche l’obiettivo di promuovere un elevato livello di consapevolezza in materia di cybersicurezza, incluse l’igiene informatica e l’alfabetizzazione informatica, tra cittadini, organizzazioni e imprese. Il Regolamento pone, da una attenta lettura dell’articolo 5, particolare rilievo ai “compiti” dell’ENISA nell’ambito dello sviluppo e attuazione delle politiche e della normativa dell’Unione. Anzitutto, l’ENISA presta assistenza e consulenza nel campo della cybersicurezza fornendo un parere indipendente, che guida nell’analisi e nella fase preparatoria dei lavori. In secondo luogo, l’Agenzia assiste gli Stati membri nell’attuazione uniforme delle politiche e della normativa dell’Unione in materia di cybersicurezza, in particolare in relazione alla direttiva (UE) 2016/1148 (“NIS”), anche emanando pareri e orientamenti. L’Agenzia, inoltre, assiste gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione nello sviluppo e nella promozione di politiche sulla cybersicurezza che sostengano la disponibilità generale o l’integrità del carattere fondamentale pubblico di una rete Internet aperta. È altresì una mission dell’ENISA lo sviluppo e l’attuazione della politica dell’Unione nel settore dell’identificazione elettronica e dei servizi fiduciari, la promozione di un livello di sicurezza più elevato delle comunicazioni elettroniche, nonché gli Stati membri nell’attuazione di aspetti specifici relativi alla cybersicurezza della politica e del diritto dell’Unione in materia di protezione dei dati e della vita privata, anche fornendo, su richiesta, un parere al comitato europeo per la protezione dei dati. Infine, l’ENISA sostiene il riesame periodico delle attività politiche dell’Unione con la preparazione di una relazione annuale sullo stato di attuazione del relativo quadro giuridico per quanto riguarda le informazioni sulle notifiche degli incidenti, le sintesi delle notifiche di violazioni della sicurezza o perdita di integrità ricevute dai prestatori di servizi fiduciari e trasmesse dagli organismi di vigilanza, dai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, dalle autorità competenti, all’ENISA[49]. Il Regolamento, negli articoli da 6 a 12, disciplina, nel dettaglio, i vari compiti dell’ENISA negli ambiti di sviluppo delle capacità, di cooperazione operativa, di certificazione della cybersicurezza[50], nonché conoscenze e informazioni, sensibilizzazione e istruzione, ricerca/innovazione e cooperazione internazionale. In conclusione, è necessario che l’ENISA operi quale punto di riferimento generando fiducia nel mercato interno grazie alla propria indipendenza, alla qualità delle consulenze e delle informazioni fornite, alla trasparenza delle procedure e dei metodi operativi come pure alla diligenza nell’esecuzione dei suoi compiti[51]. Gli articoli da 13 a 45 del Regolamento sono invece dedicati alla rinnovata organizzazione interna dell’ENISA, alla formazione del Bilancio, al Personale e allo status giuridico dell’organizzazione stessa, mentre il Titolo III del Regolamento è dedicato al Quadro europeo di certificazione della sicurezza, con l’obiettivo di migliorare le condizioni di funzionamento del mercato interno, aumentando il livello di cybersicurezza all’interno dell’Unione e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cybersicurezza, allo scopo di creare un mercato unico digitale per i prodotti TIC, i servizi TIC e i processi TIC. Il ruolo fondamentale affidato a ENISA è quello di sviluppare un programma di lavoro per la certificazione europeoa della sicurezza. Per garantire la distribuzione omogenea in tutta Europa delle attività di ENISA, deve essere allestito un sito web dedicato ai sistemi europei di certificazione della cybersecurity, che illustra quali sono i sistemi di certificazione nazionale che sono stati sostituiti da un sistema europeo di certificazione della cybersecurity; ciò garantisce una omogeneità dei sistemi di certificazione. La Commissione UE pubblicherà un programma di lavoro progressivo per la certificazione, in cui saranno individuate le priorità strategiche per i futuri sistemi europei di certificazione di cybersicurezza. Il programma di lavoro dell’Unione verrà pubblicato entro il 28 giugno 2020. Il problema principale che il Regolamento dovrà risolvere risiede nelle numerose certificazioni nell’Unione che hanno validità nazionale ma non sono riconosciute negli altri Stati membri, con la conseguenza che in ogni Stato è necessario acquisire una certificazione diversa. Questo rappresenta un freno per il mercato economico interno, per questo il legislatore europeo ha inteso creare, attraverso il Regolamento 2019/881, un sistema di certificazione europeo che coincida con un sistema di sicurezza “by design”. I sistemi europei di certificazione della cybersicurezza sono, infatti, progettati per conseguire, se del caso, gli obiettivi di sicurezza (art. 51 del Regolamento) durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC. In primo luogo, proteggere i dati conservati, trasmessi o altrimenti trattati dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC; tutelare i dati conservati, trasmessi o altrimenti trattati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, oppure dalla mancanza di disponibilità durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC. In secondo luogo, nel Regolamento si precisa che i programmi o le macchine autorizzati devono poter accedere esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono dei diritti di accesso. È inoltre necessario individuare e documentare le dipendenze e vulnerabilità note; registrare a quali dati, servizi o funzioni è stato effettuato l’accesso e quali sono stati utilizzati o altrimenti trattati, in quale momento e i soggetti che ne dispongono; verificare quali sono i dati, i servizi o le funzioni a cui è stato effettuato l’accesso, che sono stati utilizzati o altrimenti trattati, in quale momento e i soggetti che ne dispongono; verificare che i prodotti TIC, i servizi TIC e i processi TIC non contengano vulnerabilità note; ripristinare la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente fisico o tecnico. Sono ritenute priorità imprescindibili: la sicurezza fin dalla fase di progettazione e per impostazione predefinita dei prodotti TIC e dei processi TIC e dei processi TIC; l’aggiornamento del software e dell’hardware dei prodotti TIC, dei servizi TIC e dei processi TIC e non contengano vulnerabilità pubblicamente note e dispongano di meccanismi per effettuare aggiornamenti protetti. Allo scopo di unificare le procedure di certificazione saranno elaborate linee guida che renderanno le certificazioni riconosciute in tutti gli Stati membri e sarà compito di ogni Stato membro designare una o più autorità nazionali di certificazione[52], il cui compito sarà di supervisionare e far applicare le nuove regole. La Commissione europea adotterà schemi di certificazione mediante atti di esecuzione e, le aziende, su base volontaria, presenteranno domanda di certificazione dei propri prodotti o servizi. Il Regolamento disciplina i livelli di affidabilità dei sistemi europei di certificazione della cybersicurezza. I sistemi europei di certificazione della cybersicurezza possono infatti specificare per i prodotti TIC, i servizi TIC e i processi TIC uno o più dei seguenti livelli di affidabilità: «di base», «sostanziale» o «elevato». Il livello di affidabilità è commisurato al livello del rischio associato al previsto uso del prodotto TIC, servizio TIC o processo TIC, in termini di probabilità e impatto di un incidente[53]. Viene previsto, infine, che in relazione a prodotti, servizi o processi che presentano un basso rischio, connesso al livello di affidabilità di base, le aziende possano sostituire la certificazione con un’autovalutazione della conformità agli standard europei (sotto responsabilità del fabbricante o del fornitore)[54]. Al fine di ottenere norme equivalenti in tutta l’Unione, relativamente ai certificati europei di cybersicurezza e alle dichiarazioni UE di conformità, le autorità nazionali di certificazione della cybersicurezza sono soggette a una valutazione inter pares, effettuata sulla base di criteri e procedure di valutazione solidi e trasparenti, in particolare per quanto riguarda i requisiti in termini strutturali, di risorse umane e procedurali, la riservatezza e i reclami[55].

Gli organismi di valutazione della conformità sono accreditati da organismi nazionali di accreditamento designati ai sensi del regolamento (CE) n. 765/2008. Tale accreditamento è rilasciato solo se l’organismo di valutazione della conformità soddisfa i requisiti indicati nell’allegato del presente regolamento[56]. Per ciascun sistema europeo di certificazione della cybersicurezza le autorità nazionali di certificazione della cybersicurezza notificano alla Commissione gli organismi di valutazione della conformità che sono stati accreditati e, se del caso, autorizzati a norma dell’art. 60, par. 3, a rilasciare certificati europei di cybersicurezza a determinati livelli di affidabilità di cui all’art. 52. Le autorità nazionali di certificazione della cybersicurezza notificano alla Commissione, senza indebito ritardo, ogni successiva modifica degli stessi[57]. Infine, è opportuno un cenno al diritto di presentare un reclamo stabilito dall’art. 63 del Regolamento. Le persone fisiche e giuridiche hanno il diritto di presentare un reclamo all’emittente di un certificato europeo di cybersicurezza o, se il reclamo riguarda un certificato europeo di cybersicurezza rilasciato da un organismo di valutazione della conformità, all’autorità nazionale di certificazione (della cybersicurezza) competente. L’autorità o l’organismo a cui è stato presentato il reclamo informa il reclamante dello stato del procedimento e della decisione adottata e del diritto a un ricorso giurisdizionale effettivo di cui all’articolo 64 che regolamenta il diritto a un ricorso giurisdizionale effettivo. Fatti salvi eventuali ricorsi amministrativi o altri ricorsi extragiudiziali, infatti, le persone fisiche e giuridiche hanno diritto a un ricorso giurisdizionale effettivo per quanto riguarda le decisioni assunte dall’autorità o dall’organismo di valutazione in caso di mancato intervento. I procedimenti sono presentati dinanzi ai tribunali dello Stato membro in cui ha sede l’autorità o l’organismo contro cui è mosso il ricorso giurisdizionale. Infine, con riguardo alle sanzioni, gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione di questo Capo del Regolamento e dei sistemi europei di certificazione della cybersicurezza e adottano tutte le misure necessarie per assicurarne l’applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive[58]. In conclusione si può affermare che molto probabilmente il Cybersecurity Act, nel medio e lungo termine, avrà effetti importanti sia sull’innalzamento dei livelli di sicurezza e resilienza dei prodotti, servizi e processi TIC – e di conseguenza sull’economia dei Paesi membri – sia sull’approccio professionale che i legislatori nazionali, gli officer della protezione dati e i tecnici ICT avranno nel loro lavoro quotidiano per contribuire a conseguire gli obiettivi posti dal legislatore europeo.

[1]Regolamento Generale sulla Protezione dei Dati (RGPD) – Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, GDPR (General Data Protection Regulation),

[2] Cfr. Considerando 39 del RGPD

[3] Ibidem

[4] Cfr. Considerando 83 del RGPD

[5] Lo stesso art. 32, par. 2, elenca alcuni tipi di rischio quali: distruzione o perdita di dati; modifica; divulgazione non autorizzata; accesso accidentale o illegale non autorizzato. Per ogni tipo di rischio è necessario individuarne la probabilità e la gravità. Al par. 3 l’art. 32 stabilisce altresì che l’adesione a un codice di condotta o a un meccanismo di certificazione può essere utilizzata come elemento per dimostrare la conformità ai requisiti appena elencati. Chiunque agisca sotto l’autorità del titolare e del responsabile del trattamento e abbia accesso a dati personali deve essere opportunamente istruito sui suoi obblighi. In definitiva il principio di sicurezza prevede l’obbligo di riservatezza, integrità e disponibilità dei dati.

[6] Guida al Regolamento in materia di protezione dei dati personali, in https://www.garanteprivacy.it/web/guest/regolamentoue/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali

[7] D. lgs. 30 giugno 2003, n.196, recante il “Codice in materia di protezione dei dati personali”, oggi modificato dal D. lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016”

[8] Guida al Regolamento in materia di protezione dei dati personali, in https://www.garanteprivacy.it/web/guest/regolamentoue/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali

[9] Acronimo di European Union Agency for Network and Information Security (si veda § successivo)

[10] Privacy by Design e GDPR, i consigli di Enisa e Cnil, Mauro Cosmi, in https://www.agendadigitale.eu/sicurezza/privacy-by-design-e-gdpr-i-consigli-di-enisa-e-cnil/

[11] Protocollo TLS: Acronimo di Transport Layer Security, garantiscono l’identità di un sito Internet, mettendo così al riparo da possibili attacchi phishing

[12] SFTP: In telecomunicazioni e informatica l’SSH File Transfer Protocol o SFTP è un protocollo di rete che prevede il trasferimento dei dati e funzionalità di manipolazione.

[13] HTTPS: HyperText Transfer Protocol over Secure Socket Layer (HTTPS), (anche noto come HTTP over TLS, HTTP over SSL e HTTP Secure) è un protocollo per la comunicazione sicura attraverso una rete di computer utilizzato su Internet.

[14] SHA-256, SHA-512 o SHA-341   Con il termine SHA (acronimo dell’inglese Secure Hash Algorithm) si indica una famiglia di cinque diverse funzioni crittografiche di hash sviluppate a partire dal 1993 dalla National Security Agency (NSA) e pubblicate dal NIST come standard federale dal governo degli USA ( FIPS PUB 180-4). Come ogni algoritmo di hash, l’SHA produce un message digest, o “impronta del messaggio”, di lunghezza fissa partendo da un messaggio di lunghezza variabile. La sicurezza di un algoritmo di hash risiede nel fatto che la funzione non sia reversibile (non sia cioè possibile risalire al messaggio originale conoscendo solo questo dato) e che non deve essere mai possibile creare intenzionalmente due messaggi diversi con lo stesso digest. Gli algoritmi della famiglia sono denominati SHA-1, SHA-224, SHA-256, SHA-384 e SHA-512: le ultime 4 varianti sono spesso indicate genericamente come SHA-2, per distinguerle dal primo. Una funzione hash è solo un algoritmo matematico che prende un input e lo trasforma in un’uscita.

[15] Ibidem

[16] Si vedano il Regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio del 10 marzo 2004 che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione e la Direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (“direttiva quadro”) e definisce le funzioni delle autorità nazionali di regolamentazione, che sono tenute tra l’altro a cooperare tra loro e con la Commissione in maniera trasparente per garantire lo sviluppo di prassi normative coerenti, a contribuire a garantire un livello elevato di protezione dei dati personali e della vita privata e a garantire il mantenimento dell’integrità e della sicurezza delle reti di comunicazione pubbliche.

[17] ENISA (https://www.enisa.europa.eu/), acronimo di European Union Agency for Network and Information Security

[18] Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio, del 21 maggio 2013, relativo all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA), che aveva abrogato il regolamento (CE) n. 460/2004

[19] Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, attuata in Italia mediante il D.lgs. 18 maggio 2018, n.65

[20] Con l’eccezione dei fornitori di servizi digitali, per i quali la Direttiva NIS è misura di “armonizzazione massima” ai sensi dell’art. 16, c. 10, che stabilisce che gli Stati membri non impongono ulteriori obblighi in materia di sicurezza o di notifica ai fornitori di servizi digitali

[21] Organizzazioni pubbliche o private operanti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile, v. Allegato II alla Direttiva

[22] E-commerce, motori di ricerca, cloudcomputing

[23] Ogni Stato deve designare uno o più CSIRT, incaricati di monitorare gli incidenti a livello nazionale. In Italia, ai sensi del D.lgs. del 18 maggio 2018 n.65, a vigilare sull’applicazione della Direttiva NIS ed irrogare sanzioni amministrative per inadempimenti, sono i Ministeri: dello Sviluppo economico, per i settori energia, infrastrutture digitali e per gli FSD; Infrastrutture e trasporti, per il settore trasporti; Economia e finanze, per i settori bancario e infrastrutture dei mercati finanziari, in collaborazione con Banca d’Italia e Consob; Salute e, infine, Ambiente. Le Regioni e Province autonome di Trento e Bolzano sono competenti per la salute e la fornitura e distribuzione di acqua potabile

[24] Entro un anno nell’UE, secondo la Commissione europea, ci saranno decine di miliardi di dispositivi digitali connessi

[25] Si veda la Com (2017) 476 final, Sfruttare al meglio le reti e i sistemi informativi – verso l’efficace attuazione della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione del 4.10.2017.

[26] Nis: al via le linee guida su gestione rischio e notifica incidenti, in http://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/nis-al-via-le-linee-guida-su-gestione-rischio-e-notifica-incidenti.html

[27] Si vedano ad es. ENISA (2017), Mapping of OES Security Requirements to SpecificSectors, ENISA (2016), Technical Guidelines for the implementation of minimum security measures for Digital Service Providers, ENISA (2018) Guidelines on assessing DSP and OES compliance to the NISD security requirements Information Security Audit and Self – Assessment/Management Frameworks

[28] https://www.enisa.europa.eu/topics/nis-directiv https://www.enisa.europa.eu/topics/nis-directive/nis-visualtool e/nis-visualtool

[29] Circolare n. 3 del 1 ottobre 2018 del Ministro per la pubblica amministrazione.

[30] Agenzia Italiana per il Digitale

[31] Si veda https://www.agid.gov.it/it/agenzia/strategia-quadro-normativo/piano-triennale

[32] Il Piano Triennale per l’informatica nella P.A. 2019-2021 è disponibile in https://www.agid.gov.it/sites/default/files/repository_files/piano_triennale_per_linformatica_nella_pubblica_amministrazione_2019_-_2021_allegati20190327.pdf

[33] Si veda https://www.agid.gov.it/en/node/100054

[34] Si veda https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2019/03/11/piano-triennale-libera-strategia-2019-21

[35] Si veda https://pianotriennale-ict.italia.it/assets/pdf/2019-2021/Piano-Triennale-ICT-2019-2021-05-dati-della-pa.pdf

[36] Gli interventi OT11 e OT2, realizzati nel quadro dell’Accordo di partenariato Italia in tema di rafforzamento della capacità istituzionale e amministrativa (Obiettivo Tematico 11) e di attuazione dell’Agenda Digitale (Obiettivo Tematico 2), istituito allo scopo di assicurare il presidio della strategia e la coerenza con i processi di riforma della Pubblica Amministrazione.

[37] In relazione alle attività istituzionali finalizzate alla promozione delle politiche di valorizzazione del patrimonio informativo pubblico nazionale e all’attuazione della Direttiva relativa al riutilizzo dell’informazione del settore pubblico, l’Agenzia per l’Italia Digitale è da tempo impegnata a favorire l’interoperabilità semantica di dati e servizi, per rendere omogenei in tutta la Pubblica Amministrazione (PA) i processi di accesso e scambio delle informazioni tra le PA stesse e tra le PA e i cittadini e le imprese, in coerenza con il relativo framework europeo. Nell’ambito di tale contesto, con la collaborazione e il supporto di un apposito Gruppo di Lavoro formato da amministrazioni centrali e locali, è stato definito il profilo nazionale dei metadati utili per descrivere i dati delle pubbliche amministrazioni, conforme alla specifica di DCAT-AP definita nell’ambito del programma ISA della Commissione Europea. Il profilo è stato oggetto di una consultazione pubblica, svoltasi tra il 28 gennaio e il 29 febbraio 2016, a cui hanno partecipato 6 organizzazioni per un totale di 49 commenti. Si consulti il link https://www.dati.gov.it/content/dcat-ap-it-v10-profilo-italiano-dcat-ap-0

[38] Ibidem

[39] Con l’eccezione di alcuni articoli (58, 60, 61, 63, 64 e 65) che attengono alle autorità nazionali di certificazione della cybersecurity, agli organismi di valutazione di conformità e all’istituzione del Gruppo Europeo per la certificazione della cybersecurity (ECCG), che entreranno in vigore il 28 giugno 2021.

[40] Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cybersicurezza»)

[41] Art. 1 Regolamento (UE) 2019/881

[42] Considerando 6 Regolamento (UE) 2019/881

[43] Il «sistema europeo di certificazione della cybersicurezza» è una serie completa, di regole, requisiti tecnici, norme e procedure stabiliti a livello di Unione e che si applicano alla certificazione o alla valutazione della conformità di specifici prodotti TIC, servizi TIC e processi TIC. Il «certificato europeo di cybersicurezza» è un documento rilasciato dall’organismo pertinente che attesta che un determinato prodotto TIC, servizio TIC o processo TIC è stato oggetto di una valutazione di conformità con i requisiti di sicurezza specifici stabiliti da un sistema europeo di certificazione della cybersicurezza. Si vedano il Considerando 7 e l’art. 2 del Regolamento (UE) 2019/881

[44] Considerando 8 Regolamento (UE) 2019/881

[45] Considerando 11 Regolamento (UE) 2019/881

[46] Considerando 12 Regolamento (UE) 2019/881

[47] La sicurezza predefinita non dovrebbe necessitare di configurazioni dettagliate né di conoscenze tecniche specifiche o di un comportamento non intuitivo da parte dell’utente, e dovrebbe funzionare in modo semplice e affidabile quando attuata. Si veda il Considerando 13 del Regolamento

[48] Art. 3 Regolamento (UE) 2019/881

[49] Ai sensi dell’articolo 40 della direttiva (UE) 2018/1972

[50] monitorando continuamente gli sviluppi nei settori di normazione connessi e raccomandando adeguate specifiche tecniche ai fini dello sviluppo di sistemi europei di certificazione della cybersicurezza secondo l’articolo 54, paragrafo 1, lettera c), in assenza di norme; b) preparando proposte di sistemi europei di certificazione della cybersicurezza («proposte di sistemi») per prodotti TIC, servizi TIC e processi TIC conformemente all’articolo 49; c) valutando i sistemi europei di certificazione della cybersicurezza adottati, conformemente all’articolo 49, paragrafo 8; d) partecipando a valutazioni inter pares a norma dell’articolo 59, paragrafo 4; e) assistendo la Commissione nel provvedere alle funzioni di segretariato dell’ECCG a norma dell’articolo 62, paragrafo 5.

[51] Considerando 20 Regolamento (UE) 2019/881

[52] Si veda art. 58 Regolamento (UE) 2019/881

[53] Art. 52 Regolamento (UE) 2019/881

[54] Art. 53 Regolamento (UE) 2019/881

[55] Art. 59 Regolamento (UE) 2019/881

[56] Art. 60 Regolamento (UE) 2019/881

[57] Art. 61 Regolamento (UE) 2019/881

[58] Art. 65 Regolamento (UE) 2019/881