Accredia ha pubblicato nel proprio sito, un articolo sul “Quadro di certificazione della cybersicurezza”- Schema del D.Lgs. di attuazione del titolo III del Regolamento UE 2019/881 (Cybersecurity Act), disposizione che interessa l’Infrastruttura per la Qualità in relazione anche alla Certificazione dei Sistemi di gestione per la sicurezza delle informazioni come ad es. la norma ISO 27001.
Dando seguito all’art. 18 della Legge di delegazione europea 2019-2020, il Governo ha predisposto uno schema di D.Lgs. l’Atto Governo n. 388, per l’attuazione del Titolo III del Regolamento UE 2019/881 (Cybersecurity Act): “Quadro di certificazione della cybersicurezza”. Attualmente lo schema è all’esame del Parlamento per i pareri, che potranno o meno essere accolti dal Governo prima della stesura del provvedimento definitivo.
Il provvedimento si inserisce nel quadro delle misure di attuazione della Strategia nazionale di cybersicurezza 2022-2026, varata il 18 maggio dal Comitato Interministeriale per la Cybersicurezza (CSIRT), che prevede di sviluppare un ambiente digitale sicuro anche grazie alla partnership tra imprese pubbliche e private, guidate da una strategia unitaria che permetta di rendere sinergici gli sforzi di tutti gli attori e di spendere al meglio le risorse del Piano Nazionale di Ripresa e Resilienza (PNRR). La strategia ha tre obiettivi fondamentali: la protezione dagli attacchi, la risposta alle crisi e lo sviluppo di tecnologie e attitudini che rendano la sicurezza cibernetica una caratteristica intrinseca degli ambienti digitali. I fattori abilitanti per raggiungere questi obiettivi sono: la cooperazione, la formazione e la cultura della sicurezza.
Lo schema di provvedimento:
- individua nella neo costituita Agenzia per la Cybersicurezza Nazionale (ACN) l’Autorità nazionale di certificazione della cybersicurezza in Italia
- individua in Accredia l’Ente per l’accreditamento degli organismi di certificazione e i laboratori coinvolti nel sistema di verifiche della cybersicurezza dei prodotti, sistemi e processi ICT
- definisce l’organizzazione dell’Agenzia in base ai compiti e ai poteri a essa attribuiti in materia di vigilanza in ambito nazionale e di rilascio dei certificati di cybersicurezza, con riferimento al quadro europeo di certificazione
- definisce le modalità di svolgimento delle attività di vigilanza dell’Agenzia
- definisce le modalità di cooperazione dell’Autorità con le altre Autorità pubbliche nazionali ed europee e con l’Organismo di accreditamento
- definisce un sistema sanzionatorio applicabile in caso di violazione delle norme del quadro europeo di certificazione con sanzioni effettive, proporzionate e dissuasive
Il provvedimento non interviene laddove sono state emanate disposizioni specifiche per le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e per le attività dello Stato nell’ambito del diritto penale. Lo schema integra il contenuto del Titolo III del Regolamento, richiedendo perciò una lettura congiunta con il Regolamento stesso, e rinvia a un successivo provvedimento dell’Agenzia la definizione dell’organizzazione e le procedure per lo svolgimento dei compiti quale Autorità nazionale di certificazione della cybersicurezza.
Lo schema di D.Lgs. e il Regolamento prevedono tre livelli di affidabilità dei sistemi ICT: “di base”, “sostanziale” o “elevato”. Il livello di affidabilità è commisurato al livello del rischio associato al previsto uso del prodotto, servizio o processo ICT, in termini di probabilità e impatto di un incidente:
- Rischio basso: il produttore deve dimostrare le misure prese per garantire la cybersicurezza per il livello di rischio basso
- Rischio sostanziale: la certificazione, svolta da organismi accreditati, interviene a garanzia della cybersicurezza per i prodotti, servizi e sistemi ICT che presentano un livello di rischio sostanziale
- Rischio elevato: l’Agenzia per la Cybersicurezza Nazionale deve intervenire direttamente nell’accertamento delle garanzie di cybersicurezza per prodotti, servizi e processi ICT con rischio elevato. L’Autorità interviene anche, in determinati casi giustificati, in certificazioni in cui il livello di affidabilità richiesto per l’oggetto della certificazione sia sostanziale.
L’organismo che, all’interno della struttura di Agenzia per la Cybersicurezza Nazionale, si occuperà delle certificazioni di competenza dell’Agenzia, dovrà avere completa autonomia rispetto alle strutture dell’Agenzia che si occupano di vigilanza e dovrà essere accreditato da Accredia.
La protezione dagli attacchi e la risposta alle crisi, così come la formazione, potranno dunque trovare supporto negli strumenti dell’Infrastruttura per la Qualità, a partire dall’accreditamento. Le prove accreditate per la sicurezza cibernetica e le certificazioni accreditate dei sistemi di gestione per la sicurezza delle informazioni (ISO 27001) e dei professionisti in campo ICT, sono validi esempi della capacità dell’IQ di soddisfare la domanda di un mercato in rapida evoluzione e dare risposte affidabili alle esigenze del Paese.
Sito internet: Accredia
Documentazione