Cyber Security: approvato il disegno di legge

Il disegno di legge prevede, tra l’altro:
•la definizione delle finalità del perimetro e delle modalità di individuazione dei soggetti pubblici e privati che ne fanno parte, nonché delle rispettive reti, dei sistemi informativi e dei servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica per i quali si applicano le misure di sicurezza e le procedure introdotte;
•l’istituzione di un meccanismo teso ad assicurare un procurement più sicuro per i soggetti inclusi nel perimetro che intendano procedere all’affidamento di forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti;
•l’individuazione delle competenze del Ministero dello sviluppo economico – per i soggetti privati inclusi nel perimetro – e dell’Agenzia per l’Italia Digitale (AgID) – per le amministrazioni pubbliche;
•l’istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti;
•lo svolgimento delle attività di ispezione e verifica da parte delle strutture specializzate in tema di protezione di reti e sistemi nonché, per quanto riguarda la prevenzione e il contrasto del crimine informatico, delle Amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti.

Cybersecurity Act – Pubblicato in Gazzetta Ufficiale Ue il testo del provvedimento.

Dopo l’approvazione della Direttiva NIS nel 2016 – trasposta in Italia dal D.Lgs. 65/2018 – le istituzioni europee continuano a adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione europea.
Il 7 giugno 2019 è stato infatti pubblicato sulla Gazzetta ufficiale dell’Unione europea il testo definitivo del cosiddetto Cybersecurity Act. Questo atto normativo, formalmente identificato come Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019, entrerà ufficialmente in vigore il prossimo 27 giugno e, essendo un Regolamento e non una Direttiva, avrà effetto immediato in tutti gli Stati membri.

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali. Lo strumento normativo in questione si affianca, ed è in parte complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.

Il Regolamento si compone di due parti: nella prima vengono specificati il ruolo e il mandato dell’Enisa, mentre nella seconda viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali.
Lo schema prevede tre livelli di certificazione, caratterizzati da livelli di affidabilità commisurati al livello di rischio associato al prodotto o servizio.
L’onere di sviluppare lo schema di certificazione è stato assegnato ad ENISA, mentre tutti gli Stati membri dovranno curare la costituzione di Centri nazionali di valutazione che, sotto la sorveglianza dell’esistente circuito di Enti di accreditamento (per l’Italia, Accredia) potranno svolgere le opportune verifiche tecniche e rilasciare gli attestati di conformità.

CR.AA.M. – Nuovi Moduli di Audit per la Cyber Security

Implementati due nuovi moduli per le attività di verifica (Compliance e Audit) nell’ambito della Cyber Security:

  • Cybersecurity Framework NIST
  • Framework Nazionale per la Cybersecurity e la Data Protection

Il servizio di valutazione e monitoraggio del rischio di compliance in architettura web, garantirà quindi:

  • l’archiviazione e la consultazione dei Framework,
  • la storicizzazione delle verifiche svolte (check-up),
  • la gestione dei check-up di conformità e audit sui singoli moduli normativi,
  • la produzione di report di sintesi e analitici tipo grafico e tabellare,
  • la produzione di un executive summary in formato editabile.