Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Antonio Ostuni : 4 Giugno 2024 08:22
Europa Digitale: Il nuovo quadro normativo è sufficiente per il successo? Molti si stanno facendo questa domanda.
L’evolversi delle tecnologie ha sicuramente dato la possibilità a tutti, o alla maggioranza, di poterne fare uso a costi sempre più ridotti, digitalizzando i propri processi lavorativi con l’introduzione di soluzioni che ne efficientano la produttività.
Questa evoluzione ha però portato ad un innalzamento dei rischi legati alla sicurezza delle proprie informazioni, alla privacy dei propri dati, all’etica del lavoro ecc. e nessun settore ne è esente: chi in grande e chi in minima parte, ma siamo tutti coinvolti.
Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011 per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber
Supporta RHC attraverso:
L’Europa non è stata con le mani in mano in tutti questi anni. Anzi si può tranquillamente dire che essa è stata tra i pionieri nella costruzioni di “robusti” framework per regolamentare un panorama abbastanza complesso, facilitando così la crescita di una società sempre più orientata al digitale.
Da questi propositi nasce il “Digital Decade” dell’Europa, ovvero il decennio digitale, che va dall’anno 2020 al 2030. L’inizio di questo decennio segna il cambio di passo verso una vera e propria trasformazione digitale per garantire un’innovazione, nel rispetto dei propri principi etici, della gestione dei dati, della tecnologia e delle infrastrutture digitali.
Questo non significa che l’Europa è stata a guardare prima di questa epoca. Già nel 1996 abbiamo visto una delle prime direttive: Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Ovvero, il precursore del GDPR. Citiamo anche l’ “Accreditation and Market Surveillance” entrata in vigore il 9 Luglio del 2008 e che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93, appunto del 1993. A seguire le proposte di legge della NIS1, del European Data Act, il Data Protection, l’identità digitale 1 e il Cybersecurity Act che a partire dal 2012 da proposte sono diventate leggi ed entrate in vigore man mano negli anni fino al 2019.
Ma è con il decennio digitale che l’Europa preme sull’acceleratore e con una serie di normative ben mirate, segna una roadmap precisa ponendosi obiettivi che serviranno a migliorare il “cittadino digitale”:
Questi obiettivi saranno valutati periodicamente dalla Commissione Europea insieme agli Stati Membri per valutarne lo stato di avanzamento ed eventuali aggiustamenti. La prima relazione è stata pubblicata a settembre del 2023, la si può trovare qui, e mette in evidenza la necessità di incrementare le misure politiche e gli investimenti nelle tecnologie, nelle competenze e nelle infrastrutture digitali.
Veniamo quindi alle normative messe in campo dall’Europa che possiamo raggruppare in una serie di categorie:
Dai recenti rapporti di sicurezza digitale emerge un’intensificazione degli attacchi cibernetici che hanno una gravità alta o addirittura critica. Il tema della protezione è di fondamentale importanza nella legislazione Europea che sta facendo enormi sforzi per fornire le capacità strategiche di prevenzione e difesa.
Il CSA mira a migliorare il coordinamento degli Stati Membri e la loro cooperazione sulla cybersecurity affidando questo compito all’ENISA, ovvero l’agenzia europea per la cybersecurity, tramite un mandato permanente per prevenire o rispondere agli attacchi cyber. L’obiettivo finale è quello di avere un framework di certificazione comune per tutti gli Stati Membri. Ad oggi però questa certificazione è solo su base volontaria, ma questo non significa che determinati requisiti di tale legge non siano obbligatori per altre norme.
Ad oggi è ancora una proposta, ma a gennaio 2024 l’UE ha dato il suo primo OK, avviando così i negoziati per l’approvazione della legge. L’obiettivo principale del CSA è quello di rafforzare le capacità europee di rilevazione, preparazione e risposta alle minacce e incidenti di cybersecurity interconnettendo centri operativi di sicurezza presenti in tutta Europa che formano così un meccanismo di emergenza globale.
DORA è framework completo per la gestione dei rischi legati al mondo ICT del settore finanziario europeo. Esso mira ad aumentare la capacità di resilienza di tale settore, promuovendo una serie di regole per la protezione, il rilevamento, il contenimento, il recupero e la riparazione a fronte di incidenti ICT.
DORA sarà vincolante a partire dal 17 gennaio 2025, in modo da garantire un livello elevato di sicurezza delle reti e dei sistemi informatici all’interno dell’Unione Europea.
Per far fronte alle nuove minacce cibernetiche e alla crescita della digitalizzazione, si è introdotta la direttiva NIS 2 che, oltre ad aggiornare la precedente NIS 1, estende l’ambito di applicazione delle norme in materia di cybersicurezza a nuovi settori e entità. I quali saranno obbligati ad adottare misure di sicurezza adeguate e a notificare alle autorità nazionali competenti gli incidenti gravi. L’obiettivo è quello di migliorare oltre la sicurezza dei propri sistemi e dei dati contenuti, anche la capacità di assorbimento e quindi di risposta agli incidenti di enti pubblici e privati.
La NIS2 entrerà in vigore il 17 ottobre 2024 e come già detto, sarà obbligatoria per gli enti definiti dalla direttiva.
Questa categoria comprende una serie di legislazioni che regolano l’introduzione di prodotti nel mercato sia in termini di sicurezza cyber che quella declinata ai vari domini di applicazione. Alla base di queste legislazioni c’è il NLF, New Legislative Framework, già adottato nel 2008, ma ora con l’intenzione di aggiornarlo sulla base della nuova realtà digitale visto il crescente progresso tecnologico in termini di hardware che software.
Il CRA pone i requisiti di sicurezza per la progettazione di hardware e software dei prodotti digitali di massa, oggi sempre più obiettivo di attacchi cyber. Inoltre setta gli standard che i fabbricanti di questi prodotti devono obbligatoriamente adottare per la produzione. Questa norma introdurrà l’obbligatorietà di dimostrare la conformità di tali prodotti oltre che a degli schemi di certificazione per la conformità delle aziende produttrici.
Ci si aspetta che il CRA entri in vigore entro la fine del 2024.
La legge sull’IA mira a fornire agli sviluppatori e agli operatori di IA requisiti e obblighi chiari per quanto riguarda gli usi specifici dell’IA. Alla base essa cerca di trovare un bilanciamento tra l’innovazione e la salvaguardia dei diritti fondamentali incoraggiando lo sviluppo di un AI responsabile.
Tutti i produttori di AI dovranno attenersi a questo framework e dimostrare la conformità a tale regolamento. Ci si aspetta l’entrata in vigore entro la fine del 2024.
RED sta per “Radio Equipment Directive” va ad essere di supplemento alla già esistente direttiva 2014/53/EU.
Questa norma definisce i criteri essenziali riguardanti la sicurezza, la salute, la compatibilità elettromagnetica e l’utilizzo ottimale delle risorse dello spectrum radio per le nuove attrezzature radio introdotte nel mercato europeo. Viene istituita una nuova standardizzazione M/585, che dovranno adottare le attrezzature obbligatoriamente.
Ci si aspetta che i nuovi standard entrino in vigore nel terzo trimestre del 2024.
La PLD è una direttiva del 1985, ma questa nuova proposta vuole rivedere la vecchia PLD sulla base delle nuove tecnologie in modo da garantire che il nuovo regime di obblighi legislativi sia conforme ai nuovi tipi di prodotti per il beneficio sia dei business che dei consumatori. Uno dei maggiori aggiornamenti di questa revisione riguarda l’inclusione del software come prodotto, vista la sua crescente importanza all’interno dei prodotti di consumo, con i rischi annessi.
Per questa revisione non c’è ancora una data di entrata in vigore che sarà comunque 20 giorni dopo la pubblicazione sulla Gazzetta Ufficiale, ma sarà obbligatoria la conformità da parte dei produttori.
Da non confondere con il GDPR, la GPSR è una norma sulla sicurezza dei prodotti di consumo che vengono introdotti nei mercati europei e stabilisce dei specifici requisiti obbligatori, ai produttori, per assicurare tale sicurezza. Questa norma va a sostituire la precedente 2001/95/EC e si applica a tutti i prodotti NO-CIBO e a tutti i canali di vendita. Questa norma serve a garantire che prodotti provenienti da paesi extra-UE, mantengano gli standard imposti dalla Comunità ora e per sempre.
La norma è in vigore da giugno 2023 ed è obbligatoria per tutti i prodotti coinvolti.
Il panorama dei dati è in continuo cambiamento, ma la cosa certa è che questi saranno sempre di più, serviranno sempre più spazio per archiviarli, tecnologie sempre più performanti per analizzarli, elaborarli, trasformarli e mostrarli a piacimento.
Il mondo dei dati comprende qualsiasi tipologia di informazione arrivando sino a quelle più personali e sensibili. Per questo l’Europa è stata una delle principali “istituzioni” per la regolamentazione dell’utilizzo dei dati arrivando nel 2018, ad uno dei punti cardini di tali regolamenti con il GDPR che ha portato, e ancora porta, continue evoluzioni e aggiornamenti della legislatura in merito alla protezione di tale fonte di informazioni.
Anche se fuori dal decennio digitale, è importante citare tale normativa in quanto è stata una milestone per la protezione dei diritti individuali in riguardo al trattamento dei dati personali all’interno dell’EU, assicurando un approccio unificato per tutti gli Stati Membri.
Senza entrare nel dettaglio, la norma è in vigore da maggio 2018 ed è obbligatoria per tutti gli individui, enti privati e pubblici che trattano dati personali.
Ad oggi la Commissione sta riesaminando la norma, come richiesto dall’art. 97 della stessa, valutando possibili aggiornamenti e/o modifiche per eventualmente adeguarla ai nuovi scenari.
O semplicemente Data Act, mira a migliorare l’accessibilità e l’utilizzo dei dati (in particolare i dati industriali) all’interno della Comunità Europea garantendo coerenza e regolarità tra gli operatori. L’EDA fornisce principi e linee guida che si applicano a tutti i settori. Chiarisce chi può utilizzare quali dati e a quali condizioni e definisce i requisiti di interoperabilità dei dati e i meccanismi di condivisione tra imprese e proteggendo queste ultime da clausole contrattuali abusive proprio sulla condivisione.
La legge sui dati è stata pubblicata nella Gazzetta ufficiale dell’UE il 22 dicembre 2023 e tutti gli operatori coinvolti dovranno conformarsi entro il 12 settembre 2025.
Questa legge facilita lo scambio transfrontaliero di dati e accelera la trasformazione digitale del settore pubblico tramite una governance condivisa. Tale norma assicura l’erogazione continua di servizi pubblici a livello transfrontaliero e prevede misure di sostegno che promuovano l’innovazione e favoriscano lo scambio di competenze e conoscenze.
La legge è entrata in vigore l’ 11 aprile 2024 e non ha nessun obbligo da onorare.
La norma mira a rendere disponibili quei dati, che ad oggi, sono bloccati nel settore pubblico per vari motivi e non messi a disposizione per il riutilizzo, cercando di facilitare la condivisione di questi tra i settori e i paesi dell’UE al fine di sfruttare il potenziale dei dati a vantaggio dei cittadini e delle imprese europei. Sia i dati personali che non, rientrano nel DGA, ma nel primo caso si applica il GDPR. La norma fornisce una serie di linee guida per poter condividere in tutta sicurezza i dati richiesti ad un’amministrazione pubblica.
Il DGA è entrato in vigore il 23 giugno 2022 e le amministrazioni pubbliche sono spronate all’utilizzo di tale norma.
La direttiva ePrivacy, cioè la 2002/58/CE, è una direttiva del 2002 e riguarda il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche). Ad oggi sono state effettuate diverse considerazioni e l’EDPB ha rilasciato delle linee guida (documento a questo link) che affrontano l’applicabilità dell’articolo 5, al paragrafo 3, della direttiva ePrivacy in ordine a diverse soluzioni tecniche, questo perché l’EDPB ha espressamente dichiarato che: “Non è un segreto che il tracciamento delle attività online degli utenti possa danneggiare gravemente la privacy delle persone” e aggiunge “Le ambiguità relative all’ambito di applicazione dell’ePrivacy e l’emergere di nuove tecniche in aggiunta o in alternativa ai cookie tradizionali ha dato origine a nuovi rischi per la privacy”.
Ad oggi però ancora non si conosce l’entrata in vigore.
In uno scenario digitale in forte espansione, dove providers di contenuti e servizi competono a volte in maniera scorretta, per emergere agli occhi dei consumatori, l’Europa cerca di mettere delle regole per garantire la salvaguardia di un utilizzo chiaro e corretto dei mercati e una trasparenza verso tutti gli utilizzatori di servizi e contenuti. Il DMA e il DSA è il pacchetto legislativo che l’Europa ha messo in pratica per ottenere questi risultati.
La norma sui mercati digitali serve a regolamentare le piattaforme online di grandi dimensioni e a qualificarle come “gatekeeper” (controllo dell’accesso ai mercati digitali), e ad assicurare che questi operino online in maniera corretta. Il DMA fornisce chiare regole per prevenire l’abuso di predominanza dei mercati creando un’ambiente trasparente e competitivo all’interno dell’UE.
Entrato in vigore nel maggio del 2023, questa norma obbliga tutti i gatekeeper a conformarsi alle regole.
Il DSA va a modificare l’esistente direttiva 200/31/EC(e-commerce) in modo da adeguarla allo scenario digitale attuale e alle nuove sfide della società. L’obiettivo principale del DSA è quello di creare un’ambiente online più sicuro e fidato cercando di combattere la dispersione di attività e contenuti illegali. Inoltre attribuisce le giuste responsabilità alle piattaforme digitale accrescendo anche la loro trasparenza.
La norma è entrata in vigore a novembre del 2022 è le piattaforme online sono obbligate a rispettare le regole che la compongono
L’identità digitale europea è un’iniziativa volta a creare un sistema sicuro e interoperabile per l’identificazione e l’autenticazione dei cittadini online in tutta l’UE.
L’obiettivo è quello di consentire ai cittadini di utilizzare un’unica identità digitale per accedere a una vasta gamma di servizi online, sia pubblici che privati, in modo semplice, sicuro e senza dover creare più account o inserire ripetutamente i propri dati personali tramite l’utilizzo di un portafoglio digitale europeo dove il cittadino potrà salvare i propri dati di identità in modo sicuro. Un progetto che era agli albori con la direttiva 1999/93/EC, chiamata “eSignature Directive” e poi meglio implementato con le EU no. 910/2014 ovvero la eIDAS 1.
La eIDAS 2 riprende il suo predecessore e irrobustisce il framework per l’identità digitale migliorando la sicurezza e la validità dell’identificazione elettronica. Uno dei cambiamenti sostanziali è che questa norma obbliga gli Stati Membri a creare una ID nazionale digitale e renderla interoperabile con gli altri Stati. L’obiettivo è quello di poter usufruire di tutti i servizi pubblici chiave entro il 2030 online. Ovviamente il focus è tutto incentrato sulla sicurezza per la quale sono state introdotte regole molto stringenti per proteggere l’accesso ma soprattutto i propri dati personali da eventuali esfiltrazioni.
La norma è entrata in vigore a maggio del 2024. Per fine 2024, inizio del 2025 ci si aspetta una serie di standard, procedure, requisiti per l’implementazione del ID Wallet dalla Commissione. Infine, verso la metà del 2026 ci si aspetta che ogni Stato Membro fornisca il proprio EU-ID Wallet.
La DIP o in italiano Politica Industriale Digitale Europea (PID) è un’iniziativa di carattere strategico per l’Unione Europea, in quanto mira a rafforzare la competitività dell’industria europea nell’era digitale. L’obiettivo principale è quello di colmare il divario tecnologico con i principali attori globali, come gli Stati Uniti e la Cina, e di promuovere l’innovazione in settori chiave come l’intelligenza artificiale, il cloud computing, il 5G e la cybersecurity. Con questo l’Europa si prefigge quattro importanti priorità che riguardano lo sviluppo di tecnologie chiave, la creazione di un ecosistema digitale e competitivo, lo sviluppo di competenze e la promozione dell’adozione delle tecnologie da parte delle imprese.
Una delle prime leggi che fanno parte della Digital Industrial Policy è l’European Chips Act che rientra nel regolamento (EU) 2023/1781. Questa legge è un elemento chiave per raggiungere gli obiettivi di autonomia tecnologica e competitività digitale della DIP.
L’ECA è un framework che ha come obiettivo l’aumento della produzione di chip in Europa: infatti attraverso sovvenzioni, incentivi fiscali e ricerca e sviluppo, incoraggia le aziende a costruire fabbriche di chip in Europa. Inoltre rafforza la sicurezza della catena di approvvigionamento, riducendo la dipendenza dell’Europa dalle importazioni di chip. Infine stimola l’innovazione: infatti il Chips Act sostiene la ricerca e lo sviluppo di tecnologie avanzate di semiconduttori, che è fondamentale per la leadership tecnologica europea.
L’ECA è entrato in vigore a settembre del 2023 è la sua applicazione è su base volontaria.
La Digital Decade rappresenta un’opportunità unica per l’Europa di costruire un futuro più prospero, sostenibile e inclusivo per tutti i cittadini europei. L’Europa dovrà mantenere alta l’attenzione per rimanere così un player attivo in uno scenario di concorrenza globale. Quindi bisogna continuare a:
Per questi motivi, la legislazione europea deve avere un ruolo fondamentale da svolgere per plasmare il futuro digitale dell’Europa. Un quadro normativo solido, combinato con un impegno da parte di tutti gli attori, può consentire all’Europa di raggiungere gli ambiziosi obiettivi.
Antonio Ostuni
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009