Sicurezza e attacchi informatici: Chi dovrà certificare i propri prodotti?

23

11-14 Marzo, segnate queste date.

In quei 4 giorni l’europarlamento sarà riunito per la votazione finale sul Cybersecurity act, un provvedimento che spinge verso una politica comune sulla sicurezza informatica.

Qualora dovesse essere approvato, ci sarà una stretta sui tempi di applicazione, tra aprile e maggio, prima delle votazioni per l’euro parlamento, affinché sia tutto operativo per fine 2019.

sicurezza informatica

Com’è composto il Cybersecurity act?

La legge si articola in due parti che viaggiano di pari passo.

La prima parte prevede il rafforzamento di mandato all’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), dopo l’approvazione ENISA avrà il ruolo di prevenire e difendere dagli attacchi hacker lo spazio comune.

La seconda parte, invece, si occupa di tracciare degli standard su come valutare prodotti e servizi distribuiti nell’unione europea. Un prodotto certificato tramite questo standard, sarà valido in tutta l’UE e non avrà bisogno di ulteriori certificazioni per operare nello spazio comune.

La legge e le aziende

Proprio la seconda parte di questa legge per la sicurezza informatica è quella che più crea domande alle aziende.

Quali aziende dovranno sottoporsi alla certificazione? Come avviene?

Per scoprirlo, occorre capire come funziona la legge.

La legge si basa sul concetto di cybersecurity certification framework, ossia un paniere di standard specifici utili alla certificazione di un prodotto o servizio specifico.

Immaginiamo uno smartphone, ci sarà una certificazione precisa per il display, una per il processore, e così via dicendo. Tutte saranno contenute all’interno del framework.

ENISA avrà il compito di stendere le bozze, consultare gli organi certificatori già esistenti nei vari stati comunitari (in italia ricordiamo Ocsi), per poi redigere un documento finale da far esaminare a Bruxelles.

Obbligo o no?

Le aziende, però, non sono tenute obbligatoriamente a certificare i propri prodotti o servizi.

Al giorno d’oggi le aziende sarebbero costrette a certificarsi per ogni singolo stato, aumentando i tempi e i costi.

Adesso c’è più una spinta da parte di Bruxelles verso le aziende per far certificare i loro prodotti e servizi secondo quanto descritto nella nuova legge. Ciò comporterebbe un notevole risparmio di tempo, denaro e immagine. La certificazione sarebbe valida in tutti i paesi dell’unione europea.

Anche se, quella dei costi, è una voce ancora tutta da vedere.

Saranno gli Stati membri dell’unione a fare una sorta di inventario dei centri di certificazione, ed ogni laboratorio potrebbe avere costi differenti rispetto ad un altro. La certificazione, inoltre, non è permanente, né dimostra che un prodotto è sicuro. Indica solo quanto e come un prodotto è stato testato.

Una corsa doppia

Se da un lato la proposta del Cybersecurity act può far sperare in uno standard definito delle certificazioni di sicurezza, dall’altro appare evidente che l’unione europea non ha intenzione di vietare agli stati membri di definire dei propri standard.

È proprio il caso dell’Italia, che nel febbraio 2017 ha approvato il decreto Gentiloni, che tra le varie cose comprende anche una strategia per la cybersecurity.

A curare tutto l’aspetto di sicurezza e certificazioni sarà il CNVC, ovvero il Centro Nazionale di Valutazione e Certificazione, e si suppone verrà dotato di un laboratorio per testare hardware e software.

Chi dovrà certificarsi, come e tramite quali enti è quindi una domanda ampiamente irrisolta.

  • Resta aggiornato sul mondo del TECH consulta il nostro archivio CLICCA QUI

Articoli Correlati



SHARE