Cybersecurity by design: cosa cambia con il D.lgs. 123/2022

Il D.lgs. 123/2022, approvato lo scorso 20 agosto ed entrato in vigore il 4 settembre, rappresenta un ulteriore tassello aggiunto al quadro della normativa nazionale in materia di cybersicurezza. Il decreto, infatti, delinea le norme di adeguamento alle disposizioni del Titolo III “Quadro di certificazione della cybersicurezza” del Regolamento UE 2019/881 (di seguito, il “Regolamento”) relativo all’ENISA, l’Agenzia dell’Unione Europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione (di seguito, “TIC”).

Il contesto normativo

Il D.lgs. 123/2022 si inserisce in un quadro normativo che già da anni mira a delineare una solida architettura istituzionale deputata alla tutela della sicurezza nazionale, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica, anche su impulso dell’Unione europea. Già nel 2013, infatti, mentre il Governo italiano attribuiva le principali competenze in materia di cybersicurezza alle agenzie di intelligence¹; l’Unione europea promuoveva la cosiddetta “Cybersecurity Strategy“, finalizzata a garantire uno spazio cibernetico “open, safe and secure“.

Nell’ultimo decennio l’incremento inarrestabile della digitalizzazione e della connettività ha spinto l’Unione a adottare nel 2016 il primo atto giuridico nel campo della cybersicurezza, ossia la Direttiva UE 2016/1148 recante “misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione” (c.d. Direttiva NIS – Network and Information Security), il cui aggiornamento è, al momento, in attesa di approvazione formale. La Direttiva ha delineato per la prima volta un framework sovranazionale di regole sulla sicurezza informatica ed ha istituito i primi meccanismi volti ad a rafforzare la cooperazione strategica e operativa tra gli Stati membri. Nelle more del suo completo recepimento, l’Italia ha istituito presso il ministero dello sviluppo economico il centro di valutazione e certificazione nazionale (CVCN) per la verifica degli standard di sicurezza dei prodotti tecnologici destinati a essere impiegati nelle infrastrutture critiche del paese².

Sulla scia della Direttiva NIS, tanto l’Unione europea che le istituzioni nazionali hanno adottato numerosi provvedimenti per garantire livelli adeguati di cybersicurezza nei diversi settori della società. In particolare, in ambito italiano si richiamano il d.l. 105/2019 recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”³, nonché il d.l. 82/2021 che ha istituito l’Agenzia per la Cybersicurezza nazione (ACN, di seguito l’“Agenzia”), che ha incorporato la maggior parte delle competenze precedentemente attribuite ad altri organi.

Il sistema di certificazione della cybersicurezza

All’interno del contesto normativo richiamato il Regolamento UE 2019/881 ha istituito un quadro europeo di certificazione della sicurezza informatica per attestare il possesso da parte di prodotti, servizi e processi TIC di requisiti di sicurezza corrispondenti ad un livello di affidabilità “di base”, “sostanziale” o “elevato” ai sensi dell’art. 52 del Regolamento medesimo. Lo scopo è di proteggere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati, trasmessi o trattati tramite tali prodotti, servizi e processi per l’intero ciclo vita degli stessi.

Pertanto, in ottemperanza a quanto disposto dal Regolamento, il D.lgs. 123/2022 prevede:

1. la designazione dell’Agenzia come Autorità nazionale di certificazione della cybersicurezza dei prodotti, processi e servizi TIC nel rispetto dell’art. 58 par. 1 del Regolamento (art. 4); nonché l’individuazione dei compiti e dei poteri di vigilanza (art. 5) e di rilascio dei certificati di cybersicurezza (artt. 6 e 7);

2. l’indicazione delle modalità di cooperazione dell’Agenzia con le altre autorità pubbliche nazionali ed europee e con l’Organismo di Accreditamento (art. 8);

3. la definizione di sanzioni effettive, proporzionate e dissuasive applicabili in caso di violazione delle norme del quadro europeo di certificazione (art. 10).

In particolare, il sistema di certificazione prevede due modalità per attestare il livello di affidabilità del prodotto, servizio o processo TIC commisurato al livello di rischio:

1. il rilascio dei certificati di cybersicurezza (art. 6): l’Agenzia tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI) rilascia i certificati di cybersicurezza con livello di affidabilità elevato (co. 1); invece, per ciò che concerne la concessione dei certificati con livello di affidabilità sostanziale o di base, il loro rilascio può avvenire ad opera di un altro organismo pubblico, riconosciuto dall’Organismo di Accreditamento e monitorato dall’Agenzia (co. 2);

2. la Dichiarazione UE di conformità (art. 7): come previsto dall’art. 54 par. 1, lett. e) del Regolamento, il decreto autorizza i fornitori o produttori di prodotti, servizi e processi TIC all’autovalutazione di conformità di livello base per dimostrare il rispetto dei requisiti tecnici previsti dal sistema mediante apposita dichiarazione. Successivamente, l’Agenzia riceverà e analizzerà i documenti trasmessi per valutare la conformità dell’autodichiarazione.

Entrambe le modalità di attestazione della conformità ai requisiti di cybersicurezza sono di natura volontaria, salvo diversamente specificato dal diritto dell’Unione o dal diritto nazionale oppure, in assenza di un’armonizzazione normativa a livello europeo, dall’Agenzia. Inoltre, sia le dichiarazioni di conformità che le certificazioni sono reciprocamente riconosciute da tutti gli Stati membri. Tra gli obiettivi del quadro di certificazione europea, infatti, vi è proprio quello di evitare il proliferare di sistemi di certificazione nazionali, confliggenti e talvolta sovrapposti, garantendo così un livello standard di sicurezza informatica condiviso da tutti gli Stati membri e riducendo conseguentemente i costi per le imprese operanti nel mercato unico digitale.

Infine, gli artt. 11 e 12 riconoscono il diritto del produttore o fornitori di prodotti, servizi e processi TIC di proporre reclamo avverso le decisioni relative alle certificazioni e di proporre ricorso giurisdizionale ai tribunali amministrativi regionali competenti.

Conclusioni

La certificazione di cybersicurezza riveste un ruolo fondamentale nel rafforzare l’affidabilità dei prodotti, servizi e processi TIC e nell’accrescere la fiducia negli stessi, grazie anche ad una maggiore trasparenza circa la qualità dei prodotti immessi nel mercato. Oltre che nel settore di applicazione del Regolamento, la certificazione è già ampiamente presente (o sarà probabilmente utilizzata in un prossimo futuro) in altri ambiti, quali, ad esempio, quello delle automobili connesse e automatizzate, dei dispositivi medici elettronici, dei sistemi di controllo per l’automazione industriale e delle reti elettriche intelligenti. È auspicabile, dunque, che organizzazioni, fabbricanti e i fornitori coinvolti nella progettazione e sviluppo di prodotti, servizi e processi TIC guardino alla normativa in commento non come un oneroso “aggravio burocratico”, ma, in una prospettiva più lungimirante, come un’occasione privilegiata che può determinare vantaggi sia in termini di affidabilità che di sicurezza: adottare un approccio preventivo ai rischi connessi al digitale, mediante l’attuazione di misure di sicurezza informatica sin dalle prime fasi di progettazione (cybersecurity by design), è oggi fondamentale per essere davvero competitivi nel mercato digitale.

Paola Patriarca