L’impegno dell’Europa per sviluppare un framework legislativo unificato in materia di cyber security e data protection continua a rafforzarsi ed evolvere, soprattutto alla luce dei progressi nel panorama ICT. Le tecnologie emergenti, come ad esempio i servizi cloud e le reti cellulari 5G, rappresentano un’opportunità di innovazione importante per imprese e cittadini, a patto che vengano adeguatamente regolamentate.
Perché l’Unione Europea possa beneficiare in sicurezza delle soluzioni digitali traendone valore competitivo, occorre lo sforzo congiunto dell’ecosistema, con la partecipazione di tutti gli stakeholder e gli attori del mercato.
Bob Xie, Cyber Security & Privacy Protection Officer for the Western European Region, Huawei, commenta diversi aspetti della strategia di sicurezza comunitaria, dall’adozione dei Common Criteria alla Direttiva NIS (Network and Information System Security), spiegando l’approccio della multinazionale nel favorire la digitalizzazione del Vecchio Continente.
Indice degli argomenti
EUCC, il sistema di certificazioni unico in Europa
Xie esordisce con alcune considerazioni sul processo di certificazione che permette di validare la sicurezza dei prodotti ICT in territorio UE.
«L’EU Cybersecurity Act – afferma Xie – rappresenta una componente fondamentale per la Cybersecurity Strategy europea. È stato introdotto nel 2019 con l’obiettivo di creare un nuovo sistema di certificazioni uniforme in tutta Europa, ma attualmente si trova ancora nella fase iniziale di sviluppo. Come Huawei, accogliamo con favore questa iniziativa perché contribuisce a garantire ai consumatori del Vecchio Continente che i prodotti digitali, sia hardware sia software, siano più sicuri e resilienti».
Come spiega Xie, il primo passo per l’istituzione di un modello unico di certificazioni all’interno dell’Unione Europea è stato la stesura dello schema EUCC (Common Criteria based European candidate cybersecurity certification), a partire dai Common Criteria esistenti (ovvero lo standard internazionale che permette di verificare e validare l’affidabilità delle tecnologie IT).
L’incarico di promuovere e gestire il framework EUCC è stato affidato al SOGIS (Senior Officials Group Information Systems Security), che ha emanato un accordo di mutuo riconoscimento (MRA – Mutual Recognition Agreement) relativo alle certificazioni per la cyber sicurezza. «Ritengo quindi – commenta Xie – che lo schema EUCC definisca un processo di certificazione chiaro, coerente ed efficace, perché si basa su un approccio standardizzato pre-esistente, consolidato ormai da diversi anni».
La certificazione per le tecnologie emergenti
Lo sforzo di sviluppare un sistema di certificazioni unico in Europa si rivela vincente solo se concepito come impegno condiviso e al patto di seguire tempestivamente le evoluzioni del mercato IT, perché siano supportate tutte le novità di prodotto.
«La definizione degli schemi per certificare le soluzioni cloud e le tecnologie 5G – dichiara Xie – sono attualmente in corso, ma il processo di elaborazione è piuttosto lento. La lungaggine non sorprende perché la cyber security è una responsabilità condivisa: quando si elabora uno schema di certificazione, infatti, bisogna coinvolgere tutti i soggetti interessati e assicurarsi che ciascuno abbia un ruolo assegnato. Ad esempio, quando si elaborano gli schemi di certificazione per i sistemi 5G, vanno considerati non solo i produttori di tecnologie come Huawei, ma anche i carrier che possiedono e gestiscono le reti, nonché i provider che erogano servizi ai consumatori utilizzando le connessioni 5G. Anche se estendere la collaborazione significa allungare inevitabilmente le tempistiche, è davvero molto importante che tutti gli attori vengano inclusi nel processo; così le certificazioni potranno avere una validità a più lungo termine».
Per le soluzioni as-a-service si prospetta uno scenario analogo. «Ci sono – prosegue Xie – molti soggetti da tenere in considerazione anche quando si definiscono gli schemi di certificazione per il cloud. Allo stato attuale, è già stata pubblicata una bozza dell’EUCS (European Cybersecurity Certification Scheme for Cloud Services) che sarà finalizzata l’anno prossimo».
La necessità di un quadro normativo uniforme
Secondo Xie, i progressi normativi compiuti all’interno dell’Unione Europea in materia di cybersecurity hanno un impatto e un valore significativi. «Indipendentemente dal framework di certificazione che verrà infine approvato – commenta il manager di Huawei – il fattore positivo è che sarà riconosciuto uniformemente in tutti gli Stati membri, secondo le linee guida del Cybersecurity Act. Per noi e gli altri produttori di soluzioni IT, ciò ha un’importanza decisiva perché significa che dovremo validare le nostre tecnologie una sola volta, con un unico schema accettato in tutta Europa». Così il carico di lavoro e il costo per il processo di certificazione si riducono sostanzialmente, soprattutto per i fornitori che operano a livello globale.
«A mio avviso – aggiunge Xie -, nella fase successiva, sarà importante assicurare l’uniformità degli schemi di certificazione su scala globale e non soltanto in territorio europeo».
La convenienza di un modello di certificazione armonizzato in tutto il mondo è evidente, soprattutto per società come Huawei che opera in oltre 170 Paesi. «Probabilmente – sostiene Xie – qualsiasi player internazionale concorda nell’utilità di un sistema di certifica per la cyber security su scala worldwide. In particolare, le Piccole e Medie Imprese dovrebbero essere le più interessate, perché spesso non hanno risorse sufficienti per certificare i prodotti più volte, a seconda della regione».
Direttiva NIS 2, serve equilibrio tra sicurezza e innovazione
Xie conferma l’impegno di Huawei nell’appoggiare la diffusione dello schema EUCC e passa in disamina anche le altre normative che compongono attualmente il quadro legislativo europeo in materia di cyber security e data protection.
«Il Cybersecurity Act – suggerisce Xie – si rivela una risorsa estremamente preziosa perché, imponendo agli Stati membri una base comune per il processo di validazione delle tecnologie IT, offre una soluzione concreta per ridurre il numero di certificazioni necessarie a produttori o altri operatori che desiderano lavorare in zona EU. Come Huawei, accogliamo con favore questa iniziativa. Infatti, cyber security e protezione della privacy rappresentano per noi una priorità assoluta: lavoriamo duramente per fornire ai nostri clienti prodotti quanto più sicuri e resilienti, quindi daremo il nostro contributo per preservare la cyber security in Europa secondo il nuovo piano normativo».
Per quanto riguarda la Direttiva NIS 2, approvata lo scorso 10 novembre, invece, Xie nutre qualche riserbo. Il nuovo quadro normativo rappresenta l’evoluzione della precedente disposizione NIS 2016/1148, promulgata dalla Commissione Europea con l’obiettivo di disciplinare gli aspetti essenziali della cyber security nei 27 Stati membri, creando una base di garanzie condivise per sviluppare un ecosistema di fiducia. Di fatto, la seconda direttiva introduce ulteriori obblighi in materia di data protection e maggiori responsabilità per i soggetti interessati.
«Poiché si tratta di una Direttiva – argomenta Xie -, la NIS 2 fornisce soltanto le linee guida per la gestione della sicurezza informatica a livello comunitario, ma ciascun Stato membro può adattare le indicazioni secondo la legislazione locale, introducendo delle variazioni».
Come suggerisce Xie, è uno scenario molto diverso rispetto alla GDPR (General Data Protection Regulation), il framework legislativo europeo che disciplina il trattamento delle informazioni e della privacy, e che, in quanto Regolamento, impartisce normative identiche per qualsiasi giurisdizione nazionale, da recepire integralmente.
«In futuro – puntualizza Xie – le divergenze nazionali nel recepire le indicazioni della Direttiva NIS 2 potrebbero comportare costi aggiuntivi da affrontare o un’ulteriore complessità da gestire per i produttori di tecnologia, gli operatori di rete o i provider di servizi che hanno una presenza trasversale all’interno dell’Unione Europea».
Il carico di lavoro maggiore che i fornitori devono svolgere per raggiungere la conformità normativa in ciascun Sistema Paese, va chiaramente a discapito della velocità con cui le aziende possono adottare nuove soluzioni e beneficiare dei progressi tecnologici.
«Come produttori – sostiene Xie – incoraggiamo le autorità regolamentatrici a sostenere un corretto equilibrio tra le esigenze di mantenere la sicurezza e la necessità di promuovere l’innovazione, perché l’Europa ha bisogno di essere protetta ma anche competitiva».
Lavorare in sinergia per preservare sicurezza e competitività
Secondo Xie, le opportunità di innovazione passano soprattutto attraverso le tecnologie emergenti, a partire dalle soluzioni 5G e dai servizi cloud. Tuttavia serve la capacità di adattarsi rapidamente ai progressi del mondo ICT e al conseguente quadro normativo in continuo aggiornamento, facendo squadra con gli attori coinvolti nel processo di avanzamento tecnologico.
«La nuvola e le reti cellulari di ultima generazione – precisa Xie – sono fattori chiave per la trasformazione digitale delle imprese ma portano importanti benefici anche ai consumatori finali. Tuttavia, contemporaneamente, nascondono svariati rischi. Ad esempio, analizzando lo scenario cloud, si nota come la virtualizzazione delle componenti tecnologiche permetta di ottenere vantaggi in termini di flessibilità e ottimizzazione delle risorse, ma allo stesso tempo introduca un ulteriore livello di complessità e una serie unica di sfide relative alla sicurezza».
Con l’innovazione digitale che corre senza sosta e precedenti, il panorama della cyber security muta continuamente e a ritmo serrato.
«Poiché i cambiamenti tecnologici e normativi sono all’ordine del giorno – conclude Xie -, come produttori dobbiamo essere in grado di adottare rapidamente le nuove regole. Ciò diventa possibile solo grazie alla capacità di essere flessibili e di lavorare in sinergia con i partner. La collaborazione diventa pertanto l’unica chiave per affrontare con successo le sfide di mercato attuali, rimanendo preparati e competitivi. Come già detto, la cyber security è una responsabilità condivisa e tutte le parti devono lavorare insieme per affrontare le sfide globali associate alla sicurezza e protezione dei dati».
Contributo editoriale sviluppato in collaborazione con Huawei
