La “sicurezza” connessa alla rete telematica può essere considerata una disciplina mediante la quale ogni organizzazione che possiede un insieme di beni, cerca di proteggerne il valore adottando misure che contrastino il verificarsi di eventi accidentali o intenzionali che possano produrre un danneggiamento parziale o totale dei beni stessi o una violazione dei diritti ad essi associati. Un bene può essere un’informazione, un servizio, una risorsa hardware o software e può avere diversi modi possibili di interazione con un soggetto (persona o processo). Se, ad esempio, il bene è un’informazione, ha senso considerare la lettura e la scrittura (intesa anche come modifica e cancellazione); se invece il bene è un servizio, l’interazione consiste nella fruizione delle funzioni offerte dal servizio stesso.
Nell’ottica del Regolamento europeo n. 2016/679 (GDPR) questo concetto di sicurezza informatica ha assunto un significato più attuale alla luce anche dei sempre più numerosi attacchi ed incidenti di natura informatica che lasciano intuire una preoccupante tendenza alla crescita di tale fenomeno.
In particolare negli ultimi tempi si è assistito ad una rapida evoluzione della minaccia che possiamo definire “cibernetica” che è divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi.
Per sicurezza delle reti e dell’informazione, quindi, oggi bisogna intendere la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi (vedi l’art. 32 del GDPR).
Cybersecurity, una sfida per i DPO
Indubbiamente chi intende svolgere la funzione di DPO (Data Protection Officer) ormai deve conoscere bene questi aspetti della cybersecurity ed anche il giurista deve iniziare ad acquisire una buona conoscenza di una materia che rappresenta sempre più l’altra faccia della medaglia della protezione dei dati personali.
La materia ha assunto una tale rilevanza che proprio di recente è stato emanato il Regolamento UE 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019 denominato Regolamento sulla cibersicurezza (o cybersecurity), entrato in vigore il 27 giugno scorso.
Un Regolamento molto importante poiché oltre a disciplinare l’ENISA (Agenzia per l’Unione Europea per la cibersicurezza), rafforzandone competenze e attività, introduce agli artt. 46 e seguenti il quadro europeo di certificazione della cibersicurezza al fine di migliorare le condizioni di funzionamento del mercato interno aumentando il livello di cibersicurezza all’interno dell’Unione e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza dei prodotti IT allo scopo di creare un mercato unico digitale per i prodotti e processi ICT.
In particolare il quadro europeo di certificazione della cibersicurezza prevede un meccanismo volto a istituire sistemi europei di certificazione della cibersicurezza e ad attestare che i prodotti, servizi e processi ICT valutati nel loro ambito siano conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita.