Cybersicurezza con il bollino blu. Sulla scia di un regolamento Ue (n. 2019/881) il pre-consiglio dei ministri ha esaminato ieri per il via libera definitivo il decreto legislativo di armonizzazione della legislazione italiana al quadro europeo sulla certificazione della cybersecurity, dedicandosi a quanto lasciato da Bruxelles alla competenza delle autorità degli stati membri: l'individuazione dell'autorità nazionale di riferimento, i compiti della stessa e il sistema sanzionatorio.
Tanto per comprendere di cosa si sta parlando, sono interessati dal provvedimento in esame, tra gli altri, i processi di cibersicurezza delle organizzazioni, i componenti dei sistemi di controllo delle automazioni industriali (IACS), che riguardano i settori energetico, trasporti e distribuzione dell'acqua, i dispositivi I.o.t. (internet delle cose), i sistemi di crittografia e l'intelligenza artificiale. Tutti processi, prodotti e servizi, sulla cui sicurezza digitale il mercato e i consumatori devono poter fare affidamento.
L'obiettivo è costruire un sistema di attestazione della conformità di questi processi, prodotti e servizi agli standard della sicurezza cibernetica. Questo significa individuare soggetti accreditati a rilasciare certificati in un sistema supervisionato da un'autorità riconosciuta.
Per realizzare tutto ciò è stato adottato il regolamento 2019/881, che è alla base del decreto legislativo in esame. Il regolamento Ue ha, infatti, introdotto nell'Unione un quadro di certificazione della cybersicurezza armonizzato, per superare la frammentazione attuale del mercato interno dei certificati di cybersicurezza e rendere maggiormente affidabili per il consumatore i prodotti e i servizi che utilizzano tecnologie dell'informazione e della comunicazione (TIC). In parallelo c'è anche lo scopo del mutuo riconoscimento dei certificati di cybersicurezza tra tutti gli stati membri.
Il regolamento Ue è direttamente applicabile, ma ci sono aspetti sui quali il legislatore Ue ha rinviato per l'adeguamento al legislatore nazionale. Nel caso specifico occorreva: individuare l'autorità nazionale di certificazione della cybersicurezza, con compiti di supervisione, di regolazione e sanzionatori; definire il sistema sanzionatorio, prescrivendo sanzioni amministrative pecuniarie non inferiori nel minimo a 15 mila euro e non superiori nel massimo a 5 milioni di euro; disciplinare il potere di revoca dei certificati emessi in Italia.
Il decreto legislativo in esame ha portato a compimento queste incombenze e, innanzi tutto, ha individuato l'Agenzia per la cybersicurezza nazionale quale autorità nazionale di certificazione della cybersicurezza.
Quanto ai compiti della stessa, il decreto in esame prescrive che l'agenzia vigila sui fornitori e fabbricanti, sui titolari di certificati europei di cybersicurezza e sugli organismi di valutazione della conformità. Inoltre l'Agenzia rilascia i certificati di cybersicurezza con livello di affidabilità elevato tramite l'Organismo di Certificazione della Sicurezza Informatica (OCSI).
Il decreto precisa che la certificazione della cybersicurezza e volontaria, salvo diversamente specificato dalla legge e diverse regolamentazioni tecniche nazionali.
All'Agenzia è anche attribuito il potere sanzionatorio per violazioni relative alle certificazioni, tra cui l'emissione di certificati di sicurezza irregolari, le false dichiarazioni del richiedente la certificazione o la violazione delle condizioni di utilizzo degli eventuali marchi o etichette previste da un sistema europeo di certificazione.
Il testo del decreto su www.italiaoggi.it/documenti-italiaoggi