L’Europa e l’Italia hanno già varie leggi e organi per promuovere la sicurezza informatica, in particolare a difesa delle persone e dei loro dati personali. Negli ultimi anni, i legislatori si sono mossi per unificare questi sforzi e creare dei riferimenti comuni. Da questa necessità è scaturito il decreto del 30 giugno che ha fuso il Centro di Valutazione e Certificazione Nazionale (CVCN) con l’Organismo di Certificazione della Sicurezza Informatica (OCSI), inglobandolo nell’ambito della più ampia Agenzia per la cybersicurezza nazionale (ACN).
Questi erano i nomi degli enti coinvolti, per iniziare a orientarsi nel panorama normativo un po’ complesso delle certificazioni in materia di sicurezza cibernetica. Tuttavia, la vera notizia è che al CVCN è stato assegnato il compito di creare e applicare certificazioni di cybersecurity a tutte le organizzazioni che forniscono prodotti o servizi ICT necessari alle infrastrutture critiche.
Detto in altri termini, tutte le aziende pubbliche e private che offrono servizi e prodotti informatici fondamentali per le persone e lo Stato dovranno ottenere queste certificazioni o non potranno continuare a operare. Andiamo a vedere più nel dettaglio di cosa si tratta!
Il CVCN dovrà ideare le verifiche che certificheranno l’idoneità di prodotti e servizi rispetto agli standard di sicurezza.
Cosa sono le certificazioni?
Il CVCN dovrà ideare una serie di verifiche che certifichino l’idoneità di prodotti e servizi rispetto a standard di sicurezza. Questi standard saranno la nuova versione dei Common Criteria, un quadro di riferimento europeo già in uso, molto buono, ma un po’ vecchio e che infatti è in via di aggiornamento. A questi si aggiungeranno le norme ideate direttamente dal centro nazionale.
Attualmente, queste sono le categorie di prodotti e servizi principali:
- Componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione).
- Componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati.
- Componenti hardware e software per acquisizione di dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali.
- Applicativi software per l’implementazione di meccanismi di sicurezza.
Chi dovrà ottenere le certificazioni?
Tutti i fornitori di servizi e prodotti necessari per il corretto funzionamento delle infrastrutture critiche e che danno vita a ciò che è stato chiamato il Perimetro Nazionale di Sicurezza Cibernetica. In maniera molto sintetica e generale, può rientrare nel Perimetro di Sicurezza Nazionale Cibernetica qualunque soggetto pubblico o privato che fornisce un “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”, ovvero:
- Attività strumentali all’esercizio di funzioni essenziali dello Stato.
- Attività necessarie per l’esercizio e il godimento dei diritti fondamentali.
- Attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica.
- Attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore di rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.
Per cui, le categorie di organizzazioni individuate finora sono: spazio e aerospazio, energia, telecomunicazioni, trasporti, interno, difesa, economia e finanza, servizi digitali, tecnologie critiche, enti sanitari e previdenziali.
LEGGI ANCHE: Sai cos’è il killware?
Come si ottengono le certificazioni e come funzionano?
Il CVCN è operativo dal 30 giugno 2022, per cui non sappiamo ancora nel dettaglio quali saranno esattamente le certificazioni, gli standard e le procedure. Sappiamo invece che il centro avrà diritto di effettuare verifiche, richiedere dichiarazioni, revocare autorizzazioni e anche di richiamare all’ordine e multare chi non rispetta le norme.
Per ora, anche in Italia vengono usati i Common Criteria, mentre aspettiamo che l’Europa crei una versione aggiornata e più esaustiva, che prenderà il nome di European Common Criteria. Più in generale, queste saranno le funzioni del CVCN da cui dipenderanno le certificazioni:
- Contribuire all’elaborazione delle misure di sicurezza relative a forniture di beni, sistemi e servizi ICT.
- Definire le metodologie di verifica e i test da svolgere, dettando eventuali prescrizioni di utilizzo al committente.
- Elaborare e adottare schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell’Unione europea, quando gli schemi di certificazione esistenti non sono ritenuti adeguati per motivi di sicurezza nazionale.
Servono leggi moderne e normative europee più severe rispetto a quelle di altri paesi.
Perché sono necessarie e importanti le certificazioni?
I tanti sforzi dell’UE per potenziare la sicurezza informatica sono la risposta alle nuove sfide della digitalizzazione e della globalizzazione. Da un lato servono delle leggi moderne che tutelino davvero le persone e i loro diritti fondamentali, soprattutto in materia di privacy, trattamento dei dati personali e uso di servizi digitali. Dall’altro, è importante contare su normative europee e nazionali che abbiano la precedenza rispetto a quelle di altri paesi, magari troppo permissive, e che possono creare dei vuoti legali nocivi per il mercato e per gli utenti finali.
Per fare un esempio, pochi anni fa l’UE ha multato Google per l’abuso di una posizione dominante nei servizi di comparazione dei prodotti. È importante che queste azioni rientrino nella giurisdizione dell’UE e degli stati membri, così come le nuove certificazioni di sicurezza cibernetica.
Di fatto, gli ultimi attacchi a infrastrutture critiche nazionali, come quelli alle Regioni o all’Università di Pisa, dimostrano quanto sia importante creare un riferimento comune per tutte le aziende da cui dipende la vita digitale e la sicurezza delle persone. Le nuove certificazioni obbligheranno queste organizzazioni a prendersi la responsabilità della sicurezza dei servizi che offrono.
Concludiamo ricordando che, nonostante l’Italia abbia intrapreso molte iniziative all’avanguardia per la cybersecurity, la sicurezza dello spazio digitale in cui viviamo dipende anche da ognuno di noi, come singoli utenti. Per questo, ti invitiamo a informarti regolarmente seguendo il nostro blog e a provare il nostro antivirus gratis per proteggere i tuoi dispositivi e i tuoi dati personali.
CONTINUA A LEGGERE: Perché l’igiene digitale è un dovere civico
Buona navigazione e buon utilizzo dei servizi digitali certificati!