"Tanto più notaio, tanto meno giudice"

Location
Le nostre sedi

Via V. Gioberti n.54 - Toscolano Maderno (BS)
Viale E. Andreis n.74 - Desenzano del Garda (BS)

NOTAIO CANZANO MARIA

STUDIO NOTARILE LAGO DI GARDA

Contatti
Contatti

Tel: +39 0365 38 80 95
info@studionotarilecanzano.it

DECRETO CYBERSICUREZZA IN G.U.: LE CERTIFICAZIONI EUROPEE RECEPITE DAL D.LGS. 123/2022

È stato pubblicato in Gazzetta il D.Lgs. n. 123/2022, e entrerà in vigore il prossimo 4 settembre 2022, il decreto legislativo di attuazione del Reg. UE 2019/881 che prevede un quadro di certificazione di cybersicurezza europeo.

Il D.Lgs. n. 123/2022 stabilisce misure volte ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza, introdotto mediante le disposizioni del Titolo III del Regolamento (UE) 2019/881. Il Regolamento de quo c.d. Cyber Act pubblicato in Gazzetta Ufficiale il 7 giugno 2019 ed entrato in vigore il 27 giugno del 2019 si prefigge due principali finalità: in primis, rafforzare il ruolo dell’agenzia ENISA; ulteriormente, individuare una cornice normativa europea per la certificazione della sicurezza di prodotti, servizi e processi informatici (d’ora in avanti TIC, Tecnologie dell’Informazione e della Comunicazione).

Il Regolamento intende istituire un quadro di certificazione sulla sicurezza informatica per attestare che i prodotti, servizi e processi TIC siano dotati di requisiti di certificazione. Lo scopo vuole essere quello di salvaguardare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati che vengono conservati, trasmessi o trattati, come pure proteggere le loro funzioni o i servizi che sono offerti o resi accessibili tramite tali prodotti, servizi e processi per l’intero ciclo vita degli stessi.

Il decreto individua nell’Agenzia Nazionale di Cybersecurity, l’Autorità preposta al rilascio delle certificazioni di cui all’art. 58 paragrafo 1 del Regolamento. L’Agenzia avrà, altresì, il compito di collaborare con le altre Autorità europee e di vigilare i fini della corretta applicazione delle regole previste dai sistemi europei di certificazione della cybersicurezza, con riferimento ai certificati di cybersicurezza e alle dichiarazioni UE di conformità emessi nel territorio dello Stato.

Le certificazioni di cybersicurezza vengono rilasciate sulla base del grado di conformità valutato sulla base del livello di rischio ai sensi dell’art. 52 del Regolamento.

I livelli di affidabilità sono tre: affidabilità di base, affidabilità sostanziale ed infine affidabilità elevata.

Nel primo caso il certificato ha lo scopo di assicurare che i prodotti, servizi e processi TIC siano stati valutati ad un livello sufficiente a ridurre i rischi informatici derivanti da noti di incidenti o attacchi informatici; il livello di affidabilità sostanziale, invece, certifica standard più elevati, comprese le funzionalità di sicurezza e ad un livello inteso a limitare i rischi noti di attacchi informatici causati da soggetti dotati di abilità e risorse limitate. In questo caso, le attività di valutazione aumentano e diventa necessario procedere con un riesame per dimostrare il perdurare dell’assenza di vulnerabilità pubblicamente note. Infine, il certificato di livello elevato assicura che i prodotti, i servizi e i processi TIC rispettino i requisiti di sicurezza e siano stati valutati per ridurre al minimo i rischi derivanti da attacchi informatici; in questo caso le attività di valutazione ricomprendono: il riesame per dimostrare l’assenza di vulnerabilità pubblicamente note e un test specifico per dimostrare che i prodotti, servizi e processi TIC attuino correttamente le necessarie funzionalità di sicurezza allo stato tecnologico più avanzato, unitamente ad una valutazione della loro resistenza agli attacchi commessi da soggetti qualificati mediante test di penetrazione.

Come anzidetto, viene previsto e richiamato dal D.lgs. 123/2022 un meccanismo di autovalutazione a carico del produttore o del servizio o del processo TIC. Lo stesso viene disciplinato dall’ art. 7 del D.Lgs. n. 123/2022 e prevede il rispetto delle prescrizioni fissate dall’art. 54 del Regolamento per procedere ad una autovalutazione del livello di affidabilità. In particolare, l’art. 7 del decreto in parola affida all’Autorità nazionale il compito di ricevere e analizzare i documenti trasmessi per analizzare la conformità dell’autodichiarazione.

Come per la certificazione, anche la dichiarazione è di natura volontaria, non è quindi obbligatoria, a meno che il processo di certificazione – e non anche l’autodichiarazione – sia imposta dalla legge degli Stati membri. Le dichiarazioni di conformità e le certificazioni sono riconosciute da tutti gli Stati membri. Invero, proprio una delle ragioni che hanno portato il Legislatore europeo alla regolazione delle certificazioni di sicurezza informatica è quello di ovviare alle problematiche strettamente connesse alla disomogeneità delle certificazioni tra i vari Paesi ed evitare, così, un dispendio di risorse per avviare i vari processi di certificazione differenti tra i Paesi membri. Peraltro, la certificazione a livello europeo costituisce un elemento di competitività rispetto ai produttori o fornitori extra UE.

Il decreto disciplina il meccanismo di interazione tra l’Autorità nazionale e gli organismi di accreditamento. Inoltre, l’Autorità è tenuta a svolgere un’attività di monitoraggio sull’andamento delle certificazioni e può promuovere attività di ricerca e formazione specifica sulla cybersicurezza allo scopo di promuovere la cultura della sicurezza informatica.

Infine, l’art. 10 del decreto prevede un apposito regime sanzionatorio e il riconoscimento all’Autorità nazionale di infliggere sanzioni pecuniarie. Gli artt. 11 e 12 riconoscono il diritto del produttore o fornitori di prodotti, servizi e processi TIC di proporre reclamo avverso le decisioni relative alle certificazioni e di proporre ricorso giurisdizionale ai tribunali amministrativi regionali competenti.