SICUREZZA

Cyber Security Act, Faggioli: “Bene, ma servono correzioni”

L’audizione al Parlamento Europeo sul Cybersecurity Act del responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano e presidente del Clusit: “Finalmente un quadro completo di regole sui sistemi di sicurezza europei. Si previene la possibile frammentazione dei sistemi di certificazione. Ma sono necessarie alcune modifiche al testo sulla certificazione della cybersicurezza per le tecnologie Ict”

Pubblicato il 21 Dic 2017

Basare l’approccio sulla riduzione del rischio, definire precisi livelli di garanzia, chiarire le modalità per le sanzioni, prevedere attività di audit per l’Enisa, l‘agenzia europea per la sicurezza delle reti e dell’informazione ruolo. Sono questi i punti chiave per l’attuazione di alcune modifiche alla proposta di regolamento europeo sull’Enisa messi a fuoco da Gabriele Faggioli responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano e presidente del Clusit, l’associazione italiana per la sicurezza informatica.

“La proposta è lodevole – dice Faggioli – perché finalmente definisce un quadro completo di regole sui sistemi di sicurezza europei e previene la possibile frammentazione dei sistemi di certificazione. Ma sono necessarie alcune modifiche al testo sulla certificazione della cybersicurezza per le tecnologie ICT, che presenta problemi nella relazione con gli organismi nazionali di accreditamento e alcuni riferimenti inappropriati agli standard esistenti”.

Faggioli ha affrontato il tema nel corso della sua recente audizione al Parlamento Europeo sul cybersecurity act di fronte a oltre 200 fra parlamentari e membri della commissione.

La proposta di Regolamento sull’Enisa del Parlamento Europeo e del Consiglio relativo abroga il Regolamento (UE) n. 526/2013. Il nuovo testo prevede una serie di misure per evitare e prevenire la possibile frammentazione dei sistemi di certificazione della cybersicurezza nell’UE e introduce un quadro completo di regole che governano i sistemi di sicurezza informatica europei.

L’analisi di Faggioli sul sistema di certificazione parte dalla considerazione che la recente legislazione europea si basi sulla mitigazione del rischio, non solo sui livelli di garanzia, e che la sicurezza informatica oggi sia uno dei fattori considerati nella decisione di acquisto prodotti e servizi. In particolare, il rischio legato alla sicurezza IoT, sia per le aziende che per i cittadini, ha bisogno di essere affrontato a livello europeo o globale.

Ma la parte della norma inerente gli schemi di certificazione presenta alcuni limiti, che Faggioli ha evidenziato punto dopo punto. “Ritengo siano necessarie alcune modifiche al testo della proposta di Regolamento – spiega Faggioli -. In particolare, servirebbe un approccio basato sulla riduzione del rischio invece che su specifiche misure tecniche per garantire un certo livello di affidabilità. E la definizione di precisi livelli di garanzia per gli schemi di certificazione non generici, facendo riferimento a profili di rischio specifici e relativi profili di protezione. Inoltre, tra le sanzioni, sarebbe opportuno chiarire “cosa e chi” vada sanzionato, prevedendo almeno che siano indirizzati agli organismi di certificazione. Infine, è importante prevedere che l’Enisa possa svolgere attività di audit su prodotti e servizi certificati in cui far partecipare anche i soggetti per i quali è stato progettato il profilo di autorizzazione”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati