Il commento di Davide Maniscalco, Legal, Privacy Officer & Head of Public Affairs (Swascan – Tinexta Group): “Il documento appena pubblicato si innesta del quadro di un progressivo aumento del trust e della sicurezza per i consumatori e le imprese europei, utenti tutti del mercato unico digitale”.
L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) ha sviluppato la metodologia per la valutazione della sicurezza informatica settoriale. Sono inclusi: reti mobili/5G, identità elettronica (eID), eHealth, pagamenti, Mobility as a Service (MaaS) e automotive.
L’obiettivo
La metodologia “SCSA” (Sectoral Cyber Security Assessment) è stata sviluppata per consentire la preparazione di schemi di certificazione della sicurezza informatica dell’UE per le infrastrutture e gli ecosistemi ICT settoriali.
La metodologia si rivolge a un pubblico di livello esperto, in particolare esperti ICT, esperti di sicurezza ICT e decisori responsabili di sistemi multi-stakeholder settoriali, nonché fornitori.
Davide Maniscalco, Legal, Privacy Officer & Head of Public Affairs (Swascan – Tinexta Group): “Il documento appena pubblicato si innesta del quadro di un progressivo aumento del trust e della sicurezza per i consumatori e le imprese europei, utenti tutti del mercato unico digitale”
“Il documento recante la metodologia per le valutazioni settoriali della sicurezza informatica (SCSA) costituisce un ulteriore ed importante strumento che ENISA ha rilasciato nell’ambito del suo nuovo e particolarmente prolifico mandato permanente, con il precipuo obiettivo di consentire la preparazione di schemi di certificazione della sicurezza informatica dell’UE per le infrastrutture e gli ecosistemi ICT settoriali, giungendo così, in modo strutturato, alla definizione, attuazione e mantenimento degli schemi di certificazione i cui requisiti fondamentali sono stati introdotti, seppur su base volontaria, dal Cybersecurity Act“, spiega a Cybersecurity Italia Davide Maniscalco, Legal, Privacy Officer & Head of Public Affairs (Swascan – Tinexta Group).
“La Metodologia SCSA infatti”, aggiunge, “attraverso gli obiettivi, funzioni e proprietà declinati, intende supportare i requisiti specifici che il CSA ritiene funzionali all’efficienza e alla coerenza tra gli schemi del proprio quadro di certificazione della sicurezza informatica”.
“Ciò evidentemente”, osserva Maniscalco, “richiede che vengano affrontati tutti i livelli rilevanti del mercato ICT, dai servizi e sistemi ICT settoriali attraverso le infrastrutture ICT ai prodotti ICT e ai processi ICT, e che i relativi schemi di certificazione della sicurezza informatica siano ben accettati dal mercato. Del resto, il requisito della previa accettazione degli schemi di certificazione da parte dell’industria ICT e dei consumatori costituisce il logico risvolto del principio di volontarietà nella loro adozione”.
“In questa prospettiva”, conclude Davide Maniscalco, “il documento appena pubblicato si innesta del quadro di un progressivo aumento del trust e della sicurezza per i consumatori e le imprese europei, utenti tutti del mercato unico digitale”.
SCSA mira all’accettazione da parte del mercato delle implementazioni di certificazione della sicurezza informatica e supporta i requisiti delle parti interessate del mercato e la legge sulla sicurezza informatica dell’UE: il Cybersecurity Act, il nuovo strumento normativo europeo per una sicurezza informatica più coesa e comunitaria. Si tratta di un Regolamento che ha lo scopo di creare un quadro europeo ben definito sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali.
In particolare, la metodologia per le valutazioni settoriali della sicurezza informatica sostiene:
- l’identificazione dei requisiti di sicurezza e certificazione basati sui rischi associati all’“uso previsto” di specifici prodotti, servizi e processi ICT.
La Metodologia SCSA mette a disposizione delle parti interessate dell’ENISA uno strumento completo di valutazione della sicurezza ICT che include tutti gli aspetti pertinenti ai sistemi ICT settoriali e fornisce contenuti approfonditi per l’implementazione della sicurezza ICT e della certificazione della sicurezza informatica.
Vantaggi della metodologia SCSA
La valutazione della sicurezza informatica settoriale fornisce un approccio completo agli aspetti multiformi presentati da complessi sistemi ICT multi-stakeholder e presenta i seguenti vantaggi, indicati dall’Enisa:
- La sicurezza di un sistema settoriale richiede la sincronizzazione tra tutte le parti interessate partecipanti. La metodologia SCSA introduce la comparabilità dei livelli di sicurezza e garanzia tra i diversi sistemi e componenti di sistema delle parti interessate. Inoltre, consente di costruire ecosistemi aperti multi-stakeholder anche tra concorrenti a vantaggio di fornitori e clienti.
- L’approccio basato sul rischio supporta la trasparenza e un sano equilibrio tra il costo per la sicurezza e la certificazione e il vantaggio di mitigare i rischi aziendali legati alla sicurezza delle TIC per ciascuna delle parti interessate.
- Le misure di sicurezza possono concentrarsi sui componenti critici, ottimizzando l’architettura di sicurezza del sistema settoriale, riducendo quindi al minimo i costi della sicurezza.
- SCSA genera informazioni accurate e coerenti sui requisiti di sicurezza e livello di certificazione per tutti i sottosistemi, componenti o processi ICT rilevanti. Su questa base, i fornitori possono abbinare i loro prodotti alle esigenze dei loro clienti.
- La metodologia supporta l’integrazione degli strumenti di gestione dei rischi esistenti e dei sistemi di gestione della sicurezza delle informazioni (ISMS).
- Grazie a una definizione coerente dei livelli di garanzia, è supportato il riutilizzo di certificati di altri schemi di certificazione della sicurezza informatica.
Scarica la metodologia SCSA
Scarica – la Metodologia per una valutazione settoriale della sicurezza informatica