Saluto romano: reato di pericolo concreto e presunto Annamaria Villafrate - 21/04/24  |  Inadempimento obbligo vaccinale: illegittima la detrazione di anzianità di grado United Lawyers for Freedom - ALI Avvocati Liberi - 19/04/24  |  La scienza smascherata United Lawyers for Freedom - ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom - ALI Avvocati Liberi - 26/03/23  |  

Cyber security: compiti e funzioni dell'Enisa

Linee guida per prevenire ed individuare le minacce informatiche. Pubblicato il Regolamento UE 881/2019 sui compiti e funzioni dell'ENISA, l'Agenzia europea per la cyber security


di Monia Vasta - In data 7 giugno 2019 in Gazzetta Ufficiale è stato pubblicato il Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, in merito ai compiti e funzioni dell'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, ed alle relative certificazioni per le tecnologie dell'informazione e della comunicazione, in vigore dal 27 giugno p.v. che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).

Cos'è la cyber security

La cybersecurity è l'insieme di tutte le tecniche, tecnologie e strumenti che consentono di proteggere un sistema informatico da attacchi malevoli che provengono dall'esterno, effettuati con il solo scopo di acquisire dati od informazioni di ogni genere, sia per compromettere il funzionamento dei sistemi informatici sia per la sottrazione di dati al fine di rivenderli ai criminali informatici.
La cibersicurezza non costituisce soltanto una questione relativa alla tecnologia, ma anche una in cui il comportamento umano è di pari importanza. Di conseguenza, è opportuno promuovere energicamente l'«igiene informatica», vale a dire semplici misure di routine che, se attuate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche.

Il regolamento Ue per la cyber sicurezza la ciberresilienza

Il regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio ha istituito l'ENISA[1], Agenzia dell'Unione Europea per la cibersicurezza, al fine di contribuire ad assicurare un livello di sicurezza elevato ed efficace delle reti e dell'informazione nell'ambito dell'Unione e di sviluppare una cultura in materia di sicurezza delle reti e dell'informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle amministrazioni pubbliche. Di conseguenza il compito di base dell'ENISA è promuovere l'attuazione coerente del pertinente quadro normativo, in particolare l'effettiva attuazione della direttiva (UE) 2016/1148 e degli altri strumenti giuridici che presentano aspetti relativi alla cibersicurezza, che è essenziale per rafforzare la ciberresilienza. In considerazione del panorama delle minacce informatiche in rapida evoluzione, è chiaro che gli Stati membri devono essere sostenuti da un approccio trasversale più ampio allo sviluppo della ciberresilienza.

La strategia dell'Ue per contrastare le minacce informatiche

Nel 2013 è stata adottata la Strategia dell'Unione europea per la cibersicurezza per orientare la risposta politica dell'Unione alle minacce e ai rischi informatici. Nell'intento di proteggere maggiormente i cittadini online, nel 2016 è stato adottato il primo atto giuridico in quest'ambito con la direttiva (UE) 2016/1148.
Quest'ultima ha:
- stabilito obblighi concernenti le capacità nazionali nel campo della cibersicurezza;
- istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri;
- introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l'economia e la società, quali l'energia, i trasporti, fornitura e distribuzione di acqua potabile, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online).

Il ruolo dell'Enisa

L'ENISA, quindi, dovrebbe assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell'Unione nei loro sforzi volti a sviluppare e consolidare le capacità e la preparazione per prevenire e individuare le minacce e gli incidenti e relativi alla sicurezza delle reti e dei sistemi informativi e per reagirvi. In particolare, dovrebbe sostenere lo sviluppo e il potenziamento dei gruppi di intervento per la sicurezza informatica in caso di incidente (computer security incident response teams — «CSIRT») nazionali e dell'Unione previsti dalla direttiva (UE) 2016/1148, perché siano in grado di raggiungere un livello comune elevato di maturità nell'Unione. Le attività svolte dall'ENISA in relazione alle capacità operative degli Stati membri dovrebbero sostenere attivamente le azioni intraprese dagli Stati membri per adempiere agli obblighi derivanti dalla direttiva (UE) 2016/1148 e non dovrebbero pertanto sostituirsi a esse.

Il regolamento provvede a fornire le seguenti definizioni:

1)«cibersicurezza»: l'insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche;

2) «rete e sistema informativo»: una rete e un sistema informativo quale definito all'articolo 4, punto 1), della direttiva (UE) 2016/1148;

3) «strategia nazionale per la sicurezza della rete e dei sistemi informativi»: una strategia nazionale per la sicurezza della rete e dei sistemi informativi quale definita all'articolo 4, punto 3), della direttiva (UE) 2016/1148;

4) «operatore di servizi essenziali»: un operatore di servizi essenziali quale definito all'articolo 4, punto 4), della direttiva (UE) 2016/1148;

5) «fornitore di servizio digitale»: un fornitore di servizio digitale quale definito all'articolo 4, punto 6), della direttiva (UE) 2016/1148;

6) «incidente»: un incidente quale definito all'articolo 4, punto 7), della direttiva (UE) 2016/1148;

7) «trattamento dell'incidente»: qualsiasi trattamento dell'incidente quale definito all'articolo 4, punto 8), della direttiva (UE) 2016/1148;

8) «minaccia informatica»: qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e altre persone;

9) «sistema europeo di certificazione della cibersicurezza»: una serie completa, di regole, requisiti tecnici, norme e procedure stabiliti a livello di Unione e che si applicano alla certificazione o alla valutazione della conformità di specifici prodotti TIC, servizi TIC e processi TIC;

10) «sistema nazionale di certificazione della cibersicurezza»: una serie completa di regole, requisiti tecnici, norme e procedure elaborati e adottati da un'autorità pubblica nazionale e che si applicano alla certificazione o alla valutazione della conformità dei prodotti TIC, servizi TIC e processi TIC che rientrano nell'ambito di applicazione del sistema specifico;

11) «certificato europeo di cibersicurezza»: un documento rilasciato dall'organismo pertinente che attesta che un determinato prodotto TIC, servizio TIC o processo TIC è stato oggetto di una valutazione di conformità con i requisiti di sicurezza specifici stabiliti da un sistema europeo di certificazione della cibersicurezza;

12) «prodotto TIC»: un elemento o un gruppo di elementi di una rete o di un sistema informativo;

13) «servizio TIC»: un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo della rete e dei sistemi informativi;

14) «processo TIC»: un insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto TIC o servizio TIC;

15) «accreditamento»: l'accreditamento quale definito all'articolo 2, punto 10), del regolamento (CE) n. 765/2008;

16) «organismo nazionale di accreditamento»: un organismo nazionale di accreditamento quale definito all'articolo 2, punto 11), del regolamento (CE) n. 765/2008;

17) «valutazione della conformità»: una valutazione della conformità ai sensi dell'articolo 2, punto 12), del regolamento (CE) n. 765/2008;

18) «organismo di valutazione della conformità»: un organismo di valutazione della conformità quale definito all'articolo 2, punto 13), del regolamento (CE) n. 765/2008;

19) «norma»: una norma quale definita all'articolo 2, punto 1), del regolamento (UE) n. 1025/2012;

20) «specifica tecnica»: un documento che prescrive i requisiti tecnici che un prodotto TIC, un servizio TIC o un processo TIC deve soddisfare o le relative procedure di valutazione della conformità;

21) «livello di affidabilità»: base per la fiducia nel fatto che un prodotto TIC, servizio TIC o processo TIC soddisfa i requisiti di sicurezza di uno specifico sistema europeo di certificazione della cibersicurezza e indica il livello al quale un prodotto TIC, servizio TIC o processo TIC è stato valutato, ma di per sé non misura la sicurezza del prodotto TIC, servizio TIC o processo TIC interessato;

22) «autovalutazione di conformità»: un'azione effettuata da un fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC che valuta se tali prodotti TIC, servizi TIC e processi TIC soddisfino i requisiti di uno specifico sistema europeo di certificazione della cibersicurezza.

Obiettivi dell'Enisa

Data: 17/06/2019 16:00:00
Autore: Monia Vasta