Ecco come cambia la normativa italiana ed europea in tema di minacce cyber per l’anno che verrà.
Le minacce cyber crescono in maniera esponenziale mentre le politiche in ambito di cybersecurity sembrano ferme al 2000 per quanto ne sappiamo.
Fortunatamente a suon di brecce, attacchi e violazioni (soprattutto quelle viste negli ultimi anni a PA, amministrazioni, big companies e servizi) l’urgenza di intervenire comincia a farsi sentire e iniziano a spuntare alcune nuove iniziative importanti a livello normativo.
Le minacce viste nel 2022 sono diventate man mano sempre più complesse e non hanno interessato solo imprese e cittadini ma si sono aggiunti alla lunga lista anche enti pubblici e privati e questo ha portato al tentativo di rafforzare il più possibile il quadro normativo nazionale ed europeo.
Tra gli interventi più attesi ci sono l’adozione della Strategia Nazionale di cybersicurezza 2022-2026 e l’inizio dell’operatività del Centro di Valutazione e Certificazione Nazionale (CVCN).
Come ricorderete, con il decreto del Presidente del Consiglio dei ministri del 17 maggio 2022 è stata adottata la Strategia nazionale di Cybersicurezza 2022-2026 insieme al suo Piano di implementazione.
La strategia prevede il raggiungimento di 82 misure entro il 2026 che includono la messa in sicurezza di asset strategici nazionali attraverso un approccio risk based e un quadro normativo (più) efficiente. Le nuove disposizioni vogliono porre le basi per rispondere alle minacce e crisi cyber nazionali attraverso sistemi di monitoraggio, rilevamento, analisi e processi di sicurezza e vogliono sviluppare tecnologie digitali sicure attraverso strumenti e iniziative che supportino attività di ricerca, centri di eccellenza e imprese del settore.
Gli obiettivi della strategia sono molti, dall’assicurare la transizione digitale della PA e del settore produttivo al contrastare la disinformazione online e garantire l’esercizio delle libertà fondamentali. Ma il piano è nato soprattutto per garantire autonomia strategica nazionale ed europea nel settore digitale.
C’è poi il DPCM n.92 del 18 maggio 2022 per il Perimetro di sicurezza nazionale cibernetico che definisce procedure, requisiti e termini per la convalida dei laboratori accreditati di prova (LAP) a sostegno del Centro di Valutazione e Certificazione Nazionale (CVCN).
Il passaggio per il CVCN sarà obbligatorio per gli acquisti di reti, sistemi e servizi ICT da parte di operatori del 5G e del cloud e di tutti gli operatori appartenenti al Perimetro di Sicurezza Nazionale Cibernetica.
Non sono stati però ancora pubblicati gli schemi di valutazione e certificazione che verranno prescelti dell’ACN (questi in attesa dell’adozione da parte dell’Europa degli schemi di certificazione europei avviati dal Cyber Security Act che sono ancora in lavorazione).
A livello europeo è già stato proposto uno schema generale di certificazione basato sui Common criteria e uno per il cloud ma non sono ancora note le date in cui diventeranno effettivi.
A partire da questo mese dovrebbero cominciare ad essere sbloccati anche alcuni fondi per finanziare gli interventi in materia di cyber security e resilienza dei sistemi informatici nazionali.
Il Ministero dell’Economia e delle Finanze (MEF) ha istituito un fondo per gli investimenti che andranno a implementare il conseguimento dell’autonomia tecnologica in ambito digitale e l’innalzamento dei livelli di cybersicurezza dei sistemi informativi. Ci dovrebbe poi esser un secondo fondo destinato a finanziare la gestione operativa dei progetti di cybersicurezza.
Per scoprire cosa cambia a livello europeo non vi resta che aspettare la seconda parte di questo articolo!
https://www.agendadigitale.eu/sicurezza/la-cyber-security-che-verra-levoluzione-normativa-in-italia-e-ue/