Solo nell’ultimo anno in Europa, secondo i dati CIRAS di ENISA, gli attacchi ad infrastrutture critiche è cresciuto del 48%. Il settore più colpito è quello della sanità; a seguire quello delle infrastrutture energetiche; quello informatico e della telecomunicazione. Sono cresciuti gli attacchi sponsorizzati da Stati, le campagne ransomware, ed è aumentato il grado di sofisticazione degli stessi, con riflessi importanti sui costi di prevenzione e resilienza ad essi associati.
In risposta alle sfide della cybersecurity, si è assistito a un rapido evolversi di politiche e strategie per il governo del rischio cyber. Si pensi al rapido susseguirsi di proposte normative, di certificazione e nuove direttive europee e degli stati membri.
A livello europeo e a cascata negli stati membri, la normativa Direttiva Network and Information Security – NIS (direttiva UE 2016/1148) è stata recentemente aggiornata e profondamente rivista (NIS 2, direttiva UE 2022/2055), con lo scopo di rafforzare le misure cybersecurity soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come ad esempio energia, trasporti e servizi finanziari, ma anche servizi digitali e sanità. La Direttiva NIS 2 si integra con normative e linee guida europee sulla protezione dei dati e la privacy, tra cui il GDPR (Regolamento UE 2016/679), il Regolamento DORA (Digital Operational Resilience Act, Regolamento UE 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario, la Direttiva CER (Critical Entity Resilience), il Cyber Resilience Act e a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
Lo scopo della regolamentazione è anzitutto quello di definire principi e regole di funzionamento in un determinato mercato, anche al fine di stabilire standard chiari per la protezione dei dati personali e aziendali. Ciò assicura che le organizzazioni mettano in atto misure ritenute adeguate a mitigare i rischi come il prevenire la perdita o la violazione di informazioni sensibili o assicurare che i prodotti e servizi digitali siano sviluppati con un livello minimo di sicurezza informatica.
In parallelo, gli schemi di certificazione e gli standard di sicurezza delle informazioni (es. NIST cybersecurity framework, ISO 27001), basati su principi di risk management, obbligano le organizzazioni a esaminare attentamente la propria infrastruttura e adottare misure proattive per identificare e affrontare le vulnerabilità. Questo processo aumenta la consapevolezza delle minacce cibernetiche e prepara le organizzazioni a rispondere in modo efficace agli attacchi, guadagnando credibilità agli occhi dei clienti. La sicurezza dei dati è una delle principali preoccupazioni dei consumatori, e sapere che un’azienda ha investito nello sviluppo di misure di sicurezza aumenta la fiducia dei clienti. Per le aziende, dunque, l’adozione di adeguate misure di contrasto ai rischi cyber rappresenta un’occasione di crescita e fidelizzazione dei clienti.
Recentemente, l’Unione Europea, attraverso il Cyber Resilience Act, si è concentrata anche sui requisiti di sicurezza informatica per prodotti con componenti digitali al fine di rafforzare le normative sulla cybersecurity e garantire prodotti hardware e software più sicuri. Lo scopo è, da un lato, quello di creare le condizioni per lo sviluppo di prodotti sicuri con elementi digitali, riducendone le vulnerabilità, dall’altro, portare i produttori a prestare una maggiore attenzione alla sicurezza durante l’intero ciclo di vita del prodotto nella consapevolezza che le scelte degli utenti vanno orientandosi sempre più verso una maggiore considerazione proprio della sicurezza informatica.
Tuttavia, un eccesso di regolamentazione, peraltro non armonizzata, rischierebbe seriamente di risultare eccessivamente onerosa per le aziende che operano in mercati globali, costrette ad implementare in maniera differente i loro presidi ai rischi cyber nei differenti contesti locali in cui operano. Allo stesso modo, le imprese medio – piccole potrebbero trovarsi in difficoltà a rimanere competitive dinnanzi ai nuovi e più stringenti requisiti di sicurezza richiesti.
Infatti, se da un lato la regolamentazione può promuovere l’innovazione, poiché incoraggia lo sviluppo di nuove soluzioni di sicurezza e la ricerca continua di metodi più efficaci per proteggere i dati, dall’altro, può rappresentare un freno, inducendo i produttori a seguire rigide linee guida anziché sperimentare nuove soluzioni.
Regole e schemi di certificazione molto analitici possono comportare costi aggiuntivi e procedure complesse, ritardando la distribuzione di prodotti sul mercato. Per questo motivo, il riconoscimento reciproco delle certificazioni basate su standard comuni può creare un ponte tra la politica di sicurezza informatica tra Paesi, massimizzando le sinergie e riducendo al minimo gli ostacoli allo sviluppo dell’innovazione.
In questa prospettiva, la sfida necessaria da intraprendere è la ricerca di un equilibrio tra validazione della conformità a regolamentazione e certificazione per la sicurezza informatica dei prodotti e loro commercializzazione, fondamentale per garantire adeguati livelli di governo del rischio cyber, senza ostacolare l’innovazione e l’accesso ai mercati.
Tra le metodologie adottate per garantire una valutazione di conformità a tempo fisso, deve segnalarsi lo standard europeo EN 17640, noto come “Metodologia di Valutazione della Sicurezza Informatica a Tempo Fisso” (FiT CEM Fixed-time cybersecurity evaluation methodology for ICT products). Il suo scopo è armonizzare diversi schemi di certificazione entro un tempo fisso, fornendo una metodologia di valutazione comune che incorpora i sistemi e le metodologie nazionali esistenti. Strumenti come questo possono aiutare a garantire un grado di sicurezza armonizzato tra organizzazioni e prodotti digitali, facilitando le capacità di innovazione delle aziende, in sicurezza.
