Il 31 marzo 2021, l’Assemblea della Camera dei deputati ha concluso l’esame del disegno di legge di delegazione europea 2019-2020 (C. 2757), apportando alcune leggere modifiche al testo iniziale, che era già stato approvato, in una prima lettura, dal Senato.
All’interno del ddl, di particolare rilievo è l’art. 18, che si occupa di recepire il Regolamento UE 2019/881 in materia di cybersecurity e certificazione dei prodotti, servizi e processi TIC.
Nel prosieguo, una breve disamina della norma e del contesto regolamentare europeo in cui la stessa si colloca e qui sotto, in anteprima per i nostri lettori, il nuovo articolo 18. Ricordiamo che l’iter non è ancora concluso: il testo ora va in terza lettura al Senato.
Indice degli argomenti
L’art. 18 ddl. 2019-2020
All’art. 18 del disegno di legge sono contenuti i “Principi e criteri direttivi per l’adeguamento della normativa nazionale alle disposizioni del titolo III, Quadro di certificazione della cibersicurezza, del regolamento (UE) 2019/881, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione e che abroga il regolamento (UE) n.526/2013 («regolamento sulla cibersicurezza»).
Perimetro nazionale cibernetico: approvato il secondo DPCM, ma c’è ancora tanto da fare
La norma pone in capo al Governo l’obbligo, entro dodici dalla data di entrata in vigore della legge, di adottare uno o più decreti legislativi che consentano di adeguare l’attuale impianto normativo alle previsioni contenute nel citato Regolamento Europeo, sulla scorta dei seguenti principi e criteri direttivi:
- Il Ministero dello sviluppo economico sarà designato quale autorità competente ai sensi del par. 1 dell’art. 58 del Reg. UE 2019/881. Nell’ambito di tale ruolo, sarà incaricato anche di porre in essere le attività di vigilanza previste dal regolamento, secondo principi di indipendenza e terzietà rispetto ai soggetti sui quali si vigila, in termini di organizzazione, decisioni di finanziamento, struttura giuridica e processo decisionale;
- Dovranno essere individuate l’organizzazione e le modalità per lo svolgimento dei compiti e l’esercizio dei poteri da parte dell’autorità competente, che sono:
- supervisionare la conformità dei prodotti, servizi e prodotti TIC ai requisiti previsti dai certificati europei di sicurezza rilasciati;
- verificare l’applicazione, da parte dei fornitori di prodotti, servizi o prodotti TIC stabiliti in Italia che effettuano un’autovalutazione, previsti dalle certificazioni;
- assistere e sostenere gli organismi nazionali di accreditamento nel monitoraggio e nella vigilanza delle attività degli organismi di valutazione;
- autorizzare gli organismi di valutazione della conformità o limitare, sospendere o revocare l’autorizzazione esistente in caso di violazione delle prescrizioni del regolamento;
- trattare i reclami delle persone fisiche o giuridiche in relazione ai certificati europei di cibersicurezza rilasciati dalle autorità nazionali di certificazione della cibersicurezza o ai certificati europei di cibersicurezza;
- redigere una relazione sintetica annuale;
- cooperare con le altre autorità nazionali di certificazione della cibersicurezza o con altre autorità pubbliche;
- sorvegliare gli sviluppi che presentano un interesse nel campo della certificazione della cibersicurezza:
- rilasciare i certificati europei della cibersicurezza ai richiedenti (attività, questa, che dovrà essere tenuta “rigorosamente separata” dall’attività di vigilanza).
- Dovrà essere definito un sistema di sanzioni applicabili, ai sensi dell’art. 65 del Regolamento. I proventi derivanti dall’irrogazione delle sanzioni saranno versati all’entrata del bilancio dello Stato per poter essere riassegnati ad un apposito capitolo dello stato di previsione del Ministero dello sviluppo economico, a fini di “ricerca e formazione in materia di certificazione della cibersicurezza”. All’interno della norma si stabilisce anche che le sanzioni amministrative pecuniarie non potranno essere inferiori nel minimo a 15.000 € o superiori nel massimo a 5.000.000 €. Il criterio direttivo de quo attua la norma di cui all’art. 65 del Regolamento, che incarica gli Stati membri di stabilire delle sanzioni “effettive, proporzionate e dissuasive”, che dovranno altresì essere notificate alla Commissione Europea;
- Dovrà essere previsto, ai sensi di quanto indicato nell’art. 58 par. 7-8 del regolamento, il potere del Ministero dello sviluppo economico (nella sua qualità di autorità competente) di revocare i certificati rilasciati ai sensi dell’articolo 56, par. 4 e 5 lett. b) emessi sul territorio nazionale, ossia quelli eventualmente rilasciati da organismi di valutazione della conformità che corrispondono ad un livello di affidabilità “di base” o “sostanziale”, oppure quelli che, “in casi debitamente giustificati”, siano rilasciati da un organismo pubblico accreditato come organismo di valutazione della conformità.
La legge di delegazione europea 2019-2020
Per cogliere il senso complessivo di questa novità, occorre premettere che la legge delega rappresenta uno strumento di adeguamento all’ordinamento UE, al cui interno sono contenute principalmente disposizioni:
- Di attuazione delle direttive europee e delle decisioni quadro da recepire nell’ordinamento nazionale;
- Di modifica o abrogazione delle disposizioni statali vigenti, limitatamente a quanto indispensabile per garantire la conformità dell’ordinamento nazionale ai pareri motivati indirizzati all’Italia dalla Commissione europea ai sensi dell’articolo 258 del Trattato sul funzionamento dell’Unione europea o al dispositivo di sentenze di condanna per inadempimento emesse della Corte di giustizia dell’Unione europea;
- Deleghe legislative al Governo per la disciplina sanzionatoria di violazioni di atti normativi UE;
- Deleghe legislative al Governo limitatamente a quanto necessario per dare attuazione a eventuali disposizioni non direttamente applicabili contenute in regolamenti europei;
- Disposizioni che autorizzano il Governo ad emanare testi unici per il riordino e l’armonizzazione di normative di settore;
- Deleghe legislative al Governo per l’adozione di disposizioni integrative e correttive dei decreti legislativi, sulla base di specifici principi e criteri direttivi.
Il disegno di legge di delegazione europea 2019-2020 in esame contiene 29 articoli, recanti numerose disposizioni di delega per il recepimento di 38 direttive europee e l’adeguamento della normativa nazionale a 17 regolamenti europei, oltre a svariati principi e criteri direttivi per l’esercizio della delega relativa a 18 direttive.
Il Regolamento UE 2019/881
In particolare, l’art. 18 fornisce la delega al Governo per l’adeguamento della normativa nazionale al regolamento (UE) 2019/881.
La normativa, il cui scopo è quello di riordinare il quadro nazionale sulla certificazione della sicurezza informatica, prevede che il Ministero dello sviluppo economico sia designato quale «autorità nazionale di certificazione della cybersicurezza», con compiti di certificazione, di controllo della conformità dei prodotti, di rilascio e di revoca dei certificati europei, definendo anche il sistema di sanzioni applicabili per il mancato rispetto degli standard e degli obblighi connessi alla certificazione.
Tramite il Regolamento 2019/881, l’Unione Europea, allo scopo di garantire il buon funzionamento del mercato interno e perseguire, nel contempo, un elevato livello di “cibersicurezza, ciberresilienza e fiducia all’interno dell’Unione” ha da un lato, istituito la figura dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA), e previsto, dall’altro lato, un quadro per l’introduzione di sistemi europei di certificazione della cybersecurity che possano garantire adeguati e condivisi standard dei prodotti, servizi e processi TIC nell’UE.
Con prodotti, servizi e processi TIC si identificano, rispettivamente:
- Un elemento o un gruppo di elementi di una rete o di un sistema informativo;
- Un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo della rete e dei sistemi informativi;
- Un insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto o un servizio TIC.
L’ENISA viene quindi identificato come il centro delle competenze in materia di sicurezza informatica, il cui scopo primigenio è quello di aiutare l’Unione Europea e i suoi Stati Membri a prevenire, rilevare e reagire ai problemi di sicurezza dell’informazione, tramite linee guida, consigli pratici e soluzioni utili sia nel settore privato che in quello pubblico.
Come anticipato, il regolamento si occupa anche di istituire il quadro europeo di certificazione della cybersecurity, un meccanismo che consenta di attestare che i prodotti, servizi e processi TIC, valutati nel loro ambito di applicazione, siano conformi a specifici standard di sicurezza, al fine di tutelare la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati, e garantire che i servizi e le funzioni offerti da tali prodotti siano accessibili e sicuri per tutto il loro ciclo di vita.
La certificazione è su base volontaria, salvo non sia diversamente specificato dal diritto dell’Unione o degli Stati membri. I certificati sono rilasciati da organismi di valutazione della conformità operanti a livello nazionale, individuati sulla base di quanto previsto all’art. 56 par. 4 del regolamento. Ne deriva l’obbligo, per gli stati membri, di designare delle autorità nazionali di certificazione, mentre a livello europeo opera il Gruppo europeo per la certificazione della cibersicurezza, composto da rappresentanti delle singole autorità nazionali.
La legge vigente in materia di certificazioni
Ad oggi, in materia di certificazione della sicurezza informatica, vige a livello nazionale il DPCM 30.10.2003, il quale definisce lo schema per la valutazione e la certificazione della sicurezza dei sistemi e dei prodotti nel settore della tecnologia dell’informazione.
All’interno di tale schema si definiva l’insieme delle procedure e delle regole nazionali necessarie per la valutazione e la certificazione dei sistemi e dei prodotti dei richiedenti, conformemente a quanto previsti dagli standard europei ed internazionali. In particolare, all’art. 2, comma 2, si specificava che le procedure relative allo schema nazionale devono essere osservate “dall’organismo di certificazione, dai laboratori per la valutazione della sicurezza, nonché da tutti coloro, persone fisiche, giuridiche e qualsiasi altro organismo o associazione, cui competono le decisioni in ordine alla richiesta, acquisizione, progettazione, realizzazione, installazione ed impiego di sistemi e prodotti nel settore della tecnologia dell’informazione, per i quali la sicurezza costituisce uno dei requisiti e che necessitano di una certificazione di sicurezza“.
La procedura di certificazione, elargita a titolo oneroso, è svolta dall’ex Istituto superiore delle comunicazioni e delle tecnologie dell’informazione (ISCTI), che oggi opera nell’ambito del Ministero dello Sviluppo Economico quale organo tecnico-scientifico.
Un quadro che verrebbe quindi modificato dalla nuova legge, quando giungerà al termine del suo lungo iter.