Il testo definitivo del cosiddetto Cybersecurity Act è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea L 151/15 del 7 giugno scorso: la nuova legge si chiama ufficialmente Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019.
Il provvedimento entra in vigore il 27 giugno e, in quanto Regolamento, sarà immediatamente esecutivo in tutti gli Stati membri senza necessità di interventi attuativi da parte dei legislatori nazionali.
Si
è giunti finalmente alla conclusione di un iter
approvativo iniziato nel 2017 con la presentazione del testo iniziale
del Cybersecurity Act da parte della Commissione europea.
Lo scorso 12 marzo quando, in seduta plenaria,
il Parlamento Europeo ha definitivamente adottato con 586 voti
favorevoli, 44 contrari e 36 astensioni il sistema di certificazione per la sicurezza informatica europea, noto per l’appunto come Cybersecurity Act.
Quindi i sistemi di controllo industriali, i dispositivi medici e i nuovi
veicoli a guida autonoma sono solo alcuni degli esempi per i quali sarà disponibile il nuovo
schema europeo di certificazione.
Sarà quindi la Commissione
a valutare, entro il 2023, se tali nuovi sistemi volontari per i vari
Stati Membri debbano essere resi obbligatori.
Si tratta di un passaggio fondamentale anche per il ruolo della stessa Enisa.
Enisa, acronimo di European Union Agency for Network and
Information Security, è un centro di expertise per la cybersecurity in
Europa, con sede ad Atene e un distaccamento ad Heraklion, Creta.
Questa agenzia lavora con le
istituzioni europee, con gli Stati membri e con il settore privato, allo
scopo di garantire un livello elevato di network and information security (NIS) e di contribuire a sviluppare una cultura della sicurezza.
L'Enisa d'ora in poi sarà conosciuta come Agenzia dell’Unione Europea per la cybersecurity (EU Agency for Cybersecurity) e riceverà un mandato permanente.
Si teme che le infrastrutture per le reti 5G potrebbero avere delle “backdoor” incorporate
che consentirebbero ai fornitori e alle autorità cinesi di avere un
accesso non autorizzato ai dati personali e alle telecomunicazioni
nell’UE.
Il timore, è che i fornitori di dispositivi
di paesi terzi possano presentare un rischio per la sicurezza
informatica dell’UE a causa delle leggi del loro paese che obbligano le
imprese a cooperare con lo Stato grazie a una definizione molto ampia
della sicurezza nazionale.
Maggiori informazioni sull’Enisa consultando questo link.
Il Cybersecurity Act è consultabile a questo link.
