Linee guida per prevenire ed individuare le minacce informatiche. Pubblicato il Regolamento UE 881/2019 sui compiti e funzioni dell'ENISA, l'Agenzia europea per la cyber security

di Monia Vasta - In data 7 giugno 2019 in Gazzetta Ufficiale è stato pubblicato il Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, in merito ai compiti e funzioni dell'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, ed alle relative certificazioni per le tecnologie dell'informazione e della comunicazione, in vigore dal 27 giugno p.v. che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).

Cos'è la cyber security

La cybersecurity è l'insieme di tutte le tecniche, tecnologie e strumenti che consentono di proteggere un sistema informatico da attacchi malevoli che provengono dall'esterno, effettuati con il solo scopo di acquisire dati od informazioni di ogni genere, sia per compromettere il funzionamento dei sistemi informatici sia per la sottrazione di dati al fine di rivenderli ai criminali informatici.

La cibersicurezza non costituisce soltanto una questione relativa alla tecnologia, ma anche una in cui il comportamento umano è di pari importanza. Di conseguenza, è opportuno promuovere energicamente l'«igiene informatica», vale a dire semplici misure di routine che, se attuate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche.

Il regolamento Ue per la cyber sicurezza la ciberresilienza

Il regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio ha istituito l'ENISA[1], Agenzia dell'Unione Europea per la cibersicurezza, al fine di contribuire ad assicurare un livello di sicurezza elevato ed efficace delle reti e dell'informazione nell'ambito dell'Unione e di sviluppare una cultura in materia di sicurezza delle reti e dell'informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle amministrazioni pubbliche. Di conseguenza il

compito di base dell'ENISA è promuovere l'attuazione coerente del pertinente quadro normativo, in particolare l'effettiva attuazione della direttiva (UE) 2016/1148 e degli altri strumenti giuridici che presentano aspetti relativi alla cibersicurezza, che è essenziale per rafforzare la ciberresilienza. In considerazione del panorama delle minacce informatiche in rapida evoluzione, è chiaro che gli Stati membri devono essere sostenuti da un approccio trasversale più ampio allo sviluppo della ciberresilienza.

La strategia dell'Ue per contrastare le minacce informatiche

Nel 2013 è stata adottata la Strategia dell'Unione europea per la cibersicurezza per orientare la risposta politica dell'Unione alle minacce e ai rischi informatici. Nell'intento di proteggere maggiormente i cittadini online, nel 2016 è stato adottato il primo atto giuridico in quest'ambito con la direttiva (UE) 2016/1148.

Quest'ultima ha:

- stabilito obblighi concernenti le capacità nazionali nel campo della cibersicurezza;

- istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri;

- introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l'economia e la società, quali l'energia, i trasporti, fornitura e distribuzione di acqua potabile, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online).

Il ruolo dell'Enisa

L'ENISA, quindi, dovrebbe assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell'Unione nei loro sforzi volti a sviluppare e consolidare le capacità e la preparazione per prevenire e individuare le minacce e gli incidenti e relativi alla sicurezza delle reti e dei sistemi informativi e per reagirvi. In particolare, dovrebbe sostenere lo sviluppo e il potenziamento dei gruppi di intervento per la sicurezza informatica in caso di incidente (computer security incident response teams — «CSIRT») nazionali e dell'Unione previsti dalla direttiva (UE) 2016/1148, perché siano in grado di raggiungere un livello comune elevato di maturità nell'Unione. Le attività svolte dall'ENISA in relazione alle capacità operative degli Stati membri dovrebbero sostenere attivamente le azioni intraprese dagli Stati membri per adempiere agli obblighi derivanti dalla direttiva (UE) 2016/1148 e non dovrebbero pertanto sostituirsi a esse.

Il regolamento provvede a fornire le seguenti definizioni:

1)«cibersicurezza»: l'insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche;

2) «rete e sistema informativo»: una rete e un sistema informativo quale definito all'articolo 4, punto 1), della direttiva (UE) 2016/1148;

3) «strategia nazionale per la sicurezza della rete e dei sistemi informativi»: una strategia nazionale per la sicurezza della rete e dei sistemi informativi quale definita all'articolo 4, punto 3), della direttiva (UE) 2016/1148;

4) «operatore di servizi essenziali»: un operatore di servizi essenziali quale definito all'articolo 4, punto 4), della direttiva (UE) 2016/1148;

5) «fornitore di servizio digitale»: un fornitore di servizio digitale quale definito all'articolo 4, punto 6), della direttiva (UE) 2016/1148;

6) «incidente»: un incidente quale definito all'articolo 4, punto 7), della direttiva (UE) 2016/1148;

7) «trattamento dell'incidente»: qualsiasi trattamento dell'incidente quale definito all'articolo 4, punto 8), della direttiva (UE) 2016/1148;

8) «minaccia informatica»: qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e altre persone;

9) «sistema europeo di certificazione della cibersicurezza»: una serie completa, di regole, requisiti tecnici, norme e procedure stabiliti a livello di Unione e che si applicano alla certificazione o alla valutazione della conformità di specifici prodotti TIC, servizi TIC e processi TIC;

10) «sistema nazionale di certificazione della cibersicurezza»: una serie completa di regole, requisiti tecnici, norme e procedure elaborati e adottati da un'autorità pubblica nazionale e che si applicano alla certificazione o alla valutazione della conformità dei prodotti TIC, servizi TIC e processi TIC che rientrano nell'ambito di applicazione del sistema specifico;

11) «certificato europeo di cibersicurezza»: un documento rilasciato dall'organismo pertinente che attesta che un determinato prodotto TIC, servizio TIC o processo TIC è stato oggetto di una valutazione di conformità con i requisiti di sicurezza specifici stabiliti da un sistema europeo di certificazione della cibersicurezza;

12) «prodotto TIC»: un elemento o un gruppo di elementi di una rete o di un sistema informativo;

13) «servizio TIC»: un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo della rete e dei sistemi informativi;

14) «processo TIC»: un insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto TIC o servizio TIC;

15) «accreditamento»: l'accreditamento quale definito all'articolo 2, punto 10), del regolamento (CE) n. 765/2008;

16) «organismo nazionale di accreditamento»: un organismo nazionale di accreditamento quale definito all'articolo 2, punto 11), del regolamento (CE) n. 765/2008;

17) «valutazione della conformità»: una valutazione della conformità ai sensi dell'articolo 2, punto 12), del regolamento (CE) n. 765/2008;

18) «organismo di valutazione della conformità»: un organismo di valutazione della conformità quale definito all'articolo 2, punto 13), del regolamento (CE) n. 765/2008;

19) «norma»: una norma quale definita all'articolo 2, punto 1), del regolamento (UE) n. 1025/2012;

20) «specifica tecnica»: un documento che prescrive i requisiti tecnici che un prodotto TIC, un servizio TIC o un processo TIC deve soddisfare o le relative procedure di valutazione della conformità;

21) «livello di affidabilità»: base per la fiducia nel fatto che un prodotto TIC, servizio TIC o processo TIC soddisfa i requisiti di sicurezza di uno specifico sistema europeo di certificazione della cibersicurezza e indica il livello al quale un prodotto TIC, servizio TIC o processo TIC è stato valutato, ma di per sé non misura la sicurezza del prodotto TIC, servizio TIC o processo TIC interessato;

22) «autovalutazione di conformità»: un'azione effettuata da un fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC che valuta se tali prodotti TIC, servizi TIC e processi TIC soddisfino i requisiti di uno specifico sistema europeo di certificazione della cibersicurezza.

Obiettivi dell'Enisa

Gli obbiettivi dell'ENISA sono:
  • assiste le istituzioni, gli organi e gli organismi dell'Unione, come pure gli Stati membri, nell'elaborazione e nell'attuazione di politiche dell'Unione relative alla cibersicurezza;
  • sostenere lo sviluppo delle capacità e la preparazione nell'Unione, assistendo le istituzioni, gli organi e gli organismi dell'Unione, nonché gli Stati membri e i portatori di interessi del settore pubblico e privato nel miglioramento della protezione delle loro reti e dei loro sistemi informativi, nello sviluppo e nel miglioramento delle capacità di ciberresilienza e di risposta, nonché nello sviluppo di abilità e competenze nel campo della cibersicurezza;
  • promuove la cooperazione, inclusa la condivisione di informazioni, e il coordinamento a livello di Unione tra gli Stati membri, le istituzioni, gli organi e gli organismi dell'Unione e i portatori di interessi del settore pubblico e privato su questioni relative alla cibersicurezza;
  • contribuire a rafforzare le capacità di cibersicurezza a livello di Unione, per sostenere le azioni degli Stati membri nella prevenzione delle minacce informatiche e nella reazione alle stesse, in particolare in caso di incidenti transfrontalieri;
  • promuovere l'uso della certificazione europea della cibersicurezza, con l'obiettivo di evitare la frammentazione del mercato interno,
  • promuove un elevato livello di consapevolezza in materia di cibersicurezza, incluse l'igiene informatica e l'alfabetizzazione informatica, tra cittadini, organizzazioni e imprese.

I compiti dell'Enisa

I compiti dell'ente sono:
  • lo sviluppo e l'attuazione delle politiche e della normativa Dell'unione;
  • lo sviluppo delle capacità degli stati membri, delle istituzioni e degli organismi dell'unione;
  • cooperazione operativa a livello di Unione;
  • promuovere e sostenere lo sviluppo e l'attuazione della politica dell'unione in materia di certificazione della cibersicurezza dei prodotti TIC, dei servizi TIC e dei processi TIC;
  • sensibilizzare ed istruire l'opinione pubblica sui rischi connessi alla cibersicurezza, fornendo guide pratiche destinate a singoli utenti, cittadini, organizzazioni ed imprese;
  • ricerca e innovazione;
  • cooperazione internazionale.
Vai alla guida Cyber security



[1] Il regolamento (CE) n. 1007/2008 ha prorogato il mandato dell'ENISA fino a marzo 2012. Il successivo regolamento (EU) n. 580/2011 ha prorogato ulteriormente il mandato dell'ENISA fino al 13 settembre 2013. Il regolamento (UE) n. 526/2013 ha prorogato il mandato dell'ENISA fino al 19 giugno 2020.

Scarica pdf regolamento Ue 2019/881
Vedi allegato
Vedi allegato

Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: