Continuano a delinearsi il nuovo quadro normativo italiano in materia di cyber sicurezza nazionale e l’architettura operativa dell’Agenzia per la Cybersicurezza Nazionale (ACN). Lo scorso 20 agosto è stato infatti pubblicato in Gazzetta Ufficiale il Decreto Legislativo 3 agosto 2022 n. 123, il quale delinea norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019, relativo all’ENISA e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione (TIC).
Perimetro cyber, operativo il processo di certificazione: quali implicazioni
Indice degli argomenti
Le novità del decreto
Il decreto prevede:
- l’individuazione di un’autorità nazionale di certificazione della cybersicurezza in Italia, con mansioni di vigilanza in ambito nazionale e di rilascio dei certificati;
- le modalità di cooperazione di tale autorità con gli altri enti pubblici nazionali ed europei, e con l’Organismo di Accreditamento;
- la definizione di un sistema sanzionatorio applicabile in caso di violazione delle norme del quadro europeo di certificazione con sanzioni effettive, proporzionate e dissuasive. (art. 1).
Il decreto designa l’ACN come Autorità nazionale di certificazione della cybersicurezza e le conferisce la facoltà di partecipare alle attività internazionali del Gruppo Europeo di Certificazione della Cibersicurezza (ECCG). Per lo svolgimento dei compiti in questione, il decreto stanzia per il triennio 2022-2024 la somma di 1.887.500 euro (art. 4).
All’ACN è conferito il potere di:
- coadiuvare l’Organismo di Accreditamento nella vigilanza delle attività degli organismi di valutazione della conformità (art.5 co. 1, lett. a);
- monitorare il lavoro di tali enti (comma 1, lett. b);
- collaborare con le altre autorità di vigilanza italiane e degli altri Paesi UE (comma 2).
Nell’ambito dell’attività svolta, l’Agenzia può effettuare indagini ed audit nei confronti degli organismi di valutazione della conformità, dei titolari dei certificati europei e degli emittenti le dichiarazioni di conformità UE (comma 3).
Qualora l’Agenzia rilevi l’emissione di un certificato non conforme, deve chiedere all’organismo emittente di provvedere alla revoca entro cinque giorni (comma 5). Una volta accertata l’irregolarità, viene chiesto all’organismo emittente di ripetere in tutto o in parte l’attività di valutazione entro 120 giorni, o di revocare la certificazione (comma 6).
L’Agenzia, per le prove tecniche di cui al comma 1, può servirsi di esperti esterni o laboratori di prova abilitati dalla stessa ACN a effettuare le valutazioni del caso (comma 7).
Come funziona la concessione dei certificati cyber
Per quanto riguarda la concessione dei certificati di cybersicurezza, l’ACN rilascia quelli con livello di affidabilità elevato tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI) (art. 6, co. 1). Invece, per ciò che concerne la concessione dei certificati con livello di affidabilità sostanziale o di base, il loro rilascio può avvenire ad opera di un altro organismo pubblico, riconosciuto dall’Organismo di Accreditamento e monitorato dall’Agenzia (comma 2).
In questo sistema normativo, i fornitori o fabbricanti di prodotti, servizi o processi TIC possono rilasciare sotto la propria responsabilità dichiarazioni UE di conformità di livello base (art. 7 co. 1). Ove l’Agenzia accerti la non conformità di una dichiarazione, è fatto obbligo al fabbricante o fornitore emittente di revisionarla o revocarla entro trenta giorni (comma 3).
Il decreto dedica un articolo specifico all’Organismo di Accreditamento, il quale ha il compito di comunicare all’Agenzia ed all’Ufficio unico di collegamento designato per l’Italia ogni aggiornamento in merito agli organismi di valutazione della conformità accreditati quanto a nuovi rilasci, revoche, sospensioni e limitazioni dei certificati di accreditamento per la successiva notifica da parte dell’Agenzia alla Commissione Europea (art. 8).
Il decreto ha altresì il fine di garantire un aggiornamento costante riguardo gli sviluppi nel campo della sicurezza informatica. Si prevede, infatti, che l’ACN possa realizzare progetti di ricerca con varie istituzioni e che monitori le evoluzioni nel settore della certificazione della cybersicurezza, consultando i portatori di interesse nazionale del settore e scambiando informazioni con altri enti sia italiani che comunitari (art. 9).
Il nuovo quadro sanzionatorio
Infine, la nuova normativa include uno specifico quadro sanzionatorio in caso di violazioni. L’Agenzia può infatti comminare ordini o intimare diffide a coloro che operano in contrasto al quadro europeo di certificazione. Ai soggetti che non ottemperano nel termine indicato nell’ordine o nella diffida l’Agenzia commina la sanzione del pagamento di una somma da 200.000 ad 1.000.000 di euro.
Se le violazioni riguardano soggetti con fatturato pari almeno a 200.000.000 di euro, si applica una sanzione amministrativa pecuniaria non inferiore allo 0,3 per cento e non superiore all’1,5 per cento del fatturato, fermo restando il limite massimo di 5.000.000 di euro. Gli introiti derivanti da eventuali sanzioni verranno versati su apposito capitolo dell’entrata del Bilancio dello Stato per essere successivamente riassegnati con decreto del Ministro dell’Economia e delle Finanze ai capitoli del bilancio dell’Agenzia, destinati alle attività di ricerca e formazione concernenti la certificazione di cybersicurezza (art. 10).
Le misure di adeguamento normativo
Il Decreto Legislativo 123/2022, come sottolineato in precedenza, contiene una serie di misure volte ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza, dato dal Regolamento UE 2019/881.
In qualità di Regolamento, l’atto risulta essere vincolante in tutti i suoi elementi e direttamente applicabile negli Stati membri dell’Unione. Nel caso in questione, tuttavia, sono presenti alcuni aspetti per i quali il legislatore europeo ha rinviato per l’adeguamento a quello nazionale.
Le misure di armonizzazione della normativa nazionale al quadro europeo fanno riferimento alle disposizioni contenute nel Titolo III del Regolamento, finalizzato al superamento della frammentazione presente nel mercato interno dei certificati di cibersicurezza, nonché a rendere maggiormente affidabili prodotti e servizi tecnologici per il consumatore.
L’articolo 58 prevede che ogni Stato membro debba designare una o più autorità nazionali di Certificazione della Cibersicurezza, con il compito di supervisionare sull’applicazione e sul rispetto della normativa di riferimento; l’autorità nazionale dovrà, inoltre, cooperare con le autorità indicate dagli altri Stati membri, con la Commissione Europea e con l’ENISA.
All’articolo 65, infine, è previsto che gli Stati membri stabiliscano il quadro sanzionatorio applicabile in caso di violazione delle disposizioni contenute nel Titolo III del Regolamento. I singoli ordinamenti devono fare in modo che tali sanzioni vengano concretamente applicate, e che siano “effettive, proporzionate e dissuasive”.
Gli Stati membri dovranno altresì notificare senza indugio tali norme e misure alla Commissione, provvedendo a notificare ogni modifica successiva.