Cosa prevedono le norme entrate in vigore lo scorso 28 giugno

Regolamento Europeo sulla cybersecurity
  1. Il quadro generale sul Regolamento Europeo sulla cybersecurity.

Il 27 giugno 2019 è entrato in vigore il Regolamento Europeo sulla Cybersecurity. In linea generale, tale atto normativo mira a creare una struttura e un Sistema Europeo Uniforme dedicati alla incentivazione della Cybersecurity e alla certificazione dei prodotti, delle procedure e dei servizi informatici all’interno dell’Unione. Trattandosi di un regolamento, è giuridicamente vincolante in tutti gli ordinamenti giuridici degli Stati membri; ma, come spesso accade, di alcune norme assai importanti è stata differita l’entrata in vigore: nel caso di specie, l’art.  69 ha posticipato l’entrata in servizio degli art. 58, 60, 61, 63 e 65 al 28 giungo 2021; ed è questo il motivo della pubblicazione di questo contributo oggi. 

  1. La certificazione della Cybersicurezza secondo il Regolamento.

Per comprendere il significato e la portata di quelle norme, è necessario riavvolgere brevemente il nastro e ricordare cosa prevede il Regolamento quanto alla certificazione della Cybersicurezza.

Al riguardo, l’art 56 dispone, con formula per il vero tautologica, che i prodotti, le procedure e i servizi informatici certificati mediante un Sistema Europeo uniforme di Certificazione siano considerati conformi ai requisiti posti dal medesimo; con la precisazione che detta certificazione è di natura esclusivamente volontaria: questo significa che chi offre sul mercato beni, processi e servizi informatici è libero di fare certificare il frutto del suo lavoro o, al contrario, di non farlo.

Lo schema degli enti certificatori prevede 3 livelli:

  • la Certificazione Europea della sicurezza di livello “base”, o “sostanziale” può essere resa, in accordo con le regole del Sistema Europeo di Certificazione della Sicurezza Informatica, dagli Organismi Accreditati per la Valutazione della Conformità oggetto del successivo art. 60 (una delle norme entrate in vigore lo scorso giugno appunto);
  • in deroga a quanto sopra, in “casi debitamente giustificati”, i Certificati Europei di Cybersicurezza possono essere rilasciati esclusivamente dall’Autorità Nazionale per la Certificazione della Cybersicurezza prevista dal successivo art. 58 (Autorità equivalente, per fare un esempio, al Garante della Privacy), oppure da un Organismo Pubblico Accreditato per la Valutazione della Conformità, così come previsto dal successivo art. 60;
  • qualora la certificazione di sicurezza debba essere di livello “elevato”, in terzo luogo, il relativo Certificato Europeo può e deve essere rilasciato solo dall’Autorità Nazionale per la Certificazione (art. 58), oppure da un Organismo Pubblico Accreditato per la Valutazione (art. 60): previa valutazione della stessa Autorità Nazionale per ogni singolo certificato, ovvero sul presupposto di una delega generale a suo favore, sempre da parte dell’Autorità Nazionale medesima.
  1. Le Autorità Nazionali per la Certificazione della Cybersicurezza.

Esaminiamo ora le norme di nuova e recente entrata in vigore, a partire dall’art. 58, che, a far data dal 28 giugno scorso, istituisce la figura della Autorità Nazionale per la Certificazione della Cybersicurezza, precisando che gli Stati membri possono istituirne una propria, “notificandone” l’identità alla Commissione Europea ai sensi del successivo art 61, oppure indicare l’Autorità Nazionale di un altro Stato membro, che in tal caso, sarà competente anche per tutto quel che concerne la Cybersecurity dello Stato membro designante.

Logicamente tali Autorità sono indipendenti dagli enti che le istituiscono;  la norma tuttavia va oltre, sottolineando che le attività di rilascio delle Certificazioni relative ai “casi debitamente giustificati” oggetto del precedente art. 56, e delle certificazioni di livello “elevato” devono essere “rigorosamente” tenute separate ed esercitate indipendentemente da tutte le altre attività di vigilanza per così dire, ordinarie, indicate subito dopo, sempre dall’art. 58.

Tra queste si devono ricordare:

  • supervisione e applicazione del Sistema normativo Europeo di Certificazione della Cybersicurezza;
  • controllo e applicazione degli obblighi incombenti sui produttori di beni e servizi informatici;
  • assistenza e ausilio a favore degli organismi di accreditamento nell’attività di controllo degli Organismi Accreditati per la Valutazione della conformità;
  • monitoraggio dell’attività degli Organismi Pubblici Accreditati per la Valutazione della Conformità competenti per la valutazione nei “casi debitamente giustificati”;
  • concessione e revoca dell’autorizzazione concessa agli Organismi Accreditati per la Valutazione della Conformità che violino le norme del Regolamento;
  • gestione e trattazione dei reclami proposti dalle persone fisiche e giuridiche con riferimento ai Certificati Europei rilasciati dalle medesime Autorità Nazionali, e con riferimento a quelli rilasciati dagli Organismi Pubblici Accreditati per la Valutazione della Conformità nei casi relativi alla certificazione della Cybersicurezza di livello “elevato”.

Per fare tutto questo le Autorità Nazionali devono essere dotate “almeno” di alcuni poteri specifici, tra i quali:

  • esecuzione di indagini contabili nei confronti degli Organismi Accreditati per la Valutazione della Conformità;
  • adozione di “misure appropriate” a verificare il rispetto del regolamento da parte degli Organismi Accreditati per la Valutazione della Conformità e degli operatori che ricevono la Certificazione Europea;
  • revoca dei Certificati dalle loro stesse rilasciati e dei certificati rilasciati dagli Organismi Accreditati per la Valutazione della Conformità nei casi relativi alla certificazione della sicurezza di livello “elevato”;
  • irrogazione di sanzioni e di provvedimenti inibitori nei casi di violazione delle norme.

Giunti a questo punto, una prima notazione può essere compiuta: il Regolamento precisa e dispone che le attività di certificazione siano gestite separatamente dalle attività di vigilanza; e questo verosimilmente implica, o potrebbe implicare una o più delle seguenti situazioni: impermeabilità tra le relative strutture operative e gerarchiche, personale dedicato e non fungibile, separazione delle carriere.

  1. Gli Organismi di Valutazione della Conformità.

Per ricevere l’accredito, gli Organismi per la Valutazione della Conformità, ai sensi dell’art. 60, di nuovo a far data dal 28 giugno scorso, devono essere appunto accreditati da Organismi Nazionali di Accreditamento che rispondono ai requisiti posti dal Regolamento CE n.765/2008.

In Italia, dunque, tale accreditamento proviene da ACCREDIA, che è l’Ente Nazionale designato dal Governo in applicazione di tale normativa.

Parallelamente, l’Organismo di Certificazione della nostra Autorità Nazionale, quanto alla Certificazione relativa ai “casi debitamente giustificati” e alla Certificazione di livello “elevato” deve a sua volta ricevere l’accreditamento da ACCREDIA.

Si deve precisare, che laddove siano previsti requisiti “specifici o supplementari” solo l’Autorità Nazionale di Certificazione della Cybersicurezza, non ACCREDIA, può conferire il relativo accredito speciale.

L’accreditamento degli Organismi per la Valutazione della Conformità concesso da ACCREDIA dura 5 anni e può essere rinnovato solo laddove ogni Organismo conservi i requisiti iniziali.Va da sé che è ACCREDIA a dover revocare gli accrediti concessi laddove gli Organismi perdano i requisiti necessari per l’ottenimento e il rinnovo.

Si può dunque concludere che l’accreditamento è strutturato su 2 livelli: il livello base di competenza di ACCREDIA sia per l’Autorità Nazionale, sia per gli Organismi per la Valutazione della Cybersicurezza, e il livello, per così dire, avanzato, di natura eventuale, per il quale è competente esclusivamente l’Autorità Nazionale.

Il regolamento, con l’art. 61, prevede un atto formale, col quale, dal 28 giugno scorso, ogni Autorità Nazionale comunica alla Commissione Europea l’identità degli Organismi per la Valutazione che hanno ricevuto l’accredito necessario per il rilascio dei Certificati nei casi “debitamente giustificati” e per il rilascio dei Certificati relativi al livello di sicurezza “elevato”: la Notifica. Tale atto formale è necessario anche per rendere noto alla Commissione Europea il venir meno di un accredito precedentemente concesso.

  1. Diritto di presentare un reclamo e sanzioni.

Chiudono il gruppo delle norme di recente entrata in vigore gli artt. 63 e 65, relativi ai reclami e alle sanzioni.

Quanto al primo tema, le persone fisiche e giuridiche dal 28 giugno scorso hanno diritto di proporre reclamo sia nei confronti degli emittenti di un Certificato Europeo di Cybersicurezza, davanti al medesimo organismo emittente, sia nei confronti di un Organismo per la Valutazione della Conformità quando il livello di sicurezza certificato è “elevato”, questa volta davanti all’Autorità Nazionale; con la precisazione che i soggetti davanti ai quali sono proposti i reclami devono informare i reclamanti dello stato di avanzamento del procedimento, della decisione adottata e della possibilità di proporre il ricorso di natura giurisdizionale previsto dell’art.64.

Quanto al secondo aspetto, gli Stati membri devono, a partire dal 28 giugno scorso, mettere a punto un sistema sanzionatorio caratterizzato da effettività, proporzionalità e dissuasività, predisponendo anche i relativi strumenti di applicazione.

Tale impianto normativo e le sue successive modificazioni devono essere formalmente “notificati” alla Commissione, così come previsto dal precedente art. 61.

A cura di Giovanni Ricci, avvocato specializzato in diritto della privacy nello Studio Legale Ricci e Avvocati.

Classe 1968, maturità classica, laurea in giurisprudenza presso l’Università statale di Milano, relatore prof. Alberto Santamaria (tesi sul diritto antitrust comunitario in ambito radiotelevisivo), Giovanni Ricci, iscritto all’albo degli avvocati dal 2002, è partner dello studio legale Edoardo Ricci Avvocati, fondato dall’avv. prof. Edoardo Ricci, professore emerito di diritto processuale civile all’Università statale di Milano sino al 2010. Giovanni Ricci è responsabile del dipartimento di responsabilità civile dello studio, ha approfondito la responsabilità sanitaria e i temi correlati (medical malpractice) e maturato significative competenze in tema di protezione dei dati personali, normativa e Regolamento n. 679/2016/UE (GDPR).

Articoli correlatiAltro dello stesso autore