L’Agenzia per la Cybersicurezza Nazionale – ACN – si sta muovendo sul fronte delle certificazioni di cyber security di prodotto attraverso un aggiornamento interno sia a livello organizzativo che procedurale. Il decreto legislativo in discussione serve ad individuare gli adeguamenti nazionali al quadro europeo di certificazione della cyber security.
La nuova postura italiana di cyber security
La riunione di OCSI (Organismo di Certificazione della Sicurezza Informatica) e CVCN (Centro di Valutazione e di Certificazione Nazionale) sotto l’egida della ACN è un traguardo importante per la postura italiana di cyber security. Questo cambiamento contribuirà a far divenire la certificazione di prodotto lo standard di stabilizzazione e consolidamento della disciplina della cyber security, esattamente come è avvenuto in passato nel mercato in ottica di safety e di sicurezza chimica e biologica dei prodotti di qualsiasi genere. L’obbligatorietà porterà nuove abitudini e si diffonderà grazie al mercato della supply chain e delle forniture, dando vita a nuovi standard e a nuove professionalità dilaganti, diffuse e condivise, non più appannaggio di pochi eletti.
L’importanza delle certificazioni di prodotto di cyber security
Le certificazioni di prodotto di cyber security esistono in Italia da oltre vent’anni, fin dal 1995, ma erano utilizzabili esclusivamente nell’ambito della sicurezza nazionale. Nel 2003 è stato istituito un secondo Schema Nazionale idoneo a fornire servizi di certificazione a tutti i settori che non afferiscono a tale contesto, ma solamente dopo altri venti anni è nato il decreto e lo schema italiano per i prodotti commerciali.
Il decreto in itinere prevede che l’Agenzia, in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza e dell’articolo 65 del Regolamento sulla cyber security, irroghi sanzioni pecuniarie ed accessorie. Introiti che, se il decreto resta come proposto, andranno a incrementare la dotazione dei capitoli del bilancio dell’Agenzia destinati alle attività di ricerca e formazione sulla certificazione di cybersecurity di prodotti ICT. Inoltre, ove l’Agenzia accerti la non conformità di una dichiarazione UE di conformità in esito alle attività di vigilanza sarà obbligo del fabbricante o del fornitore emittente revisionare o revocare la dichiarazione UE di conformità entro trenta giorni, dandone comunicazione all’Agenzia e all’ENISA.
Il Cybersecurity Act dell’Unione Europea persegue l’obbiettivo di mettere in atto un meccanismo volto a istituire sistemi europei di certificazione della sicurezza cibernetica e ad attestare che i prodotti, servizi e processi ICT valutati nel loro ambito siano conformi a determinati requisiti di sicurezza, al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita. In pratica, l’idea sottesa alla creazione di uno schema di certificazione di un prodotto ICT è quella di controllare un insieme di requisiti basilari di sicurezza, una singola volta, e per tutti i clienti.
Oltre a seguire il regolamento europeo, è buona norma per i professionisti, le istituzioni, le aziende, i commercianti e tutti coloro che detengono dati sensibili dei propri dipendenti e clienti tutelarsi anche attraverso un’assicurazione studiata ad hoc. La Polizza Cyber Risk di Lokky offre all’assicurato la copertura delle spese e delle perdite derivanti da attacchi informatici, oltre a fornire l’intervento di un esperto per il recupero dei dati persi e per la decontaminazione da eventuali malware. Tutti servizi inclusi nella versione Smart, che prevede un massimale fino a € 25mila. Lokky presenta anche una versione Top della polizza che prevede invece un aumento del massimale fino a € 250mila e l’inserimento di numerose garanzie aggiuntive, tra cui una Diaria giornaliera per interruzione dell’attività e la copertura delle spese per il ripristino dell’immagine aziendale.
Gli imprevisti si celano dietro l’angolo, e la presenza di un broker assicurativo evoluto, in grado di assistere e consigliare l’azienda anche nella gestione del sinistro, può fare la differenza tra l’andamento positivo o negativo di un’attività che ha subito un attacco informatico.