Legislatura 18ª - 14ª Commissione permanente - Resoconto sommario n. 309 del 14/06/2022

Copia questo link

Attiva riferimenti normativi

Azioni disponibili

Copia questo link
Attiva riferimenti normativi

La senatrice RICCIARDI (M5S) , relatrice, introduce l’esame dello schema di decreto legislativo in titolo, di adeguamento dell’ordinamento nazionale al regolamento (UE) 2019/881, relativo all’Agenzia dell’Unione europea per la cibersicurezza (ENISA) e al sistema europeo di certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione.

Ricorda, in particolare, che il predetto regolamento ha istituito un approccio comune europeo relativo alla certificazione della cibersicurezza, in cui sono stabiliti i principali requisiti orizzontali per i sistemi europei di certificazione della cibersicurezza da sviluppare e che consenta di riconoscere e utilizzare i certificati europei di cibersicurezza e le dichiarazioni UE di conformità per i prodotti TIC (tecnologie dell’informazione e delle comunicazioni), i servizi TIC o i processi TIC in tutti gli Stati membri.

Il quadro europeo si basa sui sistemi nazionali e internazionali esistenti, e sui sistemi di riconoscimento reciproco, in particolare il SOG-IS, consentendo una transizione dai sistemi esistenti, funzionanti nel loro ambito, verso sistemi basati sul nuovo quadro europeo di certificazione della cibersicurezza.

Il quadro europeo di certificazione della cibersicurezza risponde a un duplice obiettivo. In primo luogo quello di contribuire ad aumentare la fiducia nei prodotti TIC, servizi TIC e processi TIC che sono stati certificati in base a detti sistemi europei di certificazione della cibersicurezza. In secondo luogo, quello di evitare il proliferare di sistemi di certificazione nazionali della cibersicurezza confliggenti o sovrapposti, riducendo così i costi per le imprese operanti nel mercato unico digitale e evitando la scelta della certificazione nazionale più vantaggiosa in base ai diversi livelli di rigore nei vari Stati membri.

I primi effetti concreti sull’ordinamento dei singoli Stati membri si avranno con l’adozione dei singoli sistemi europei di certificazione della cibersicurezza relativi a specifici ambiti, che saranno introdotti con atti di esecuzione della Commissione europea. Attualmente sono in corso di elaborazione sistemi di certificazione per i servizi cloud e per le reti 5G, mentre nei prossimi anni si prevede lo sviluppo di sistemi specifici anche per l’IoT (Internet of Things) e per gli IACS (industrual automation and control systems).

Il regolamento, entrato in vigore il 28 giugno 2019, prevede l’applicazione di alcuni articoli solo a decorrere dal 28 giugno 2021. Si tratta degli articoli che richiedono agli Stati membri l’istituzione di una autorità nazionale di certificazione della cibersicurezza, che ha la responsabilità dell’attuazione del sistema europeo di certificazione a livello nazionale e il compito di emissione dei certificati di livello elevato. Inoltre, è richiesto agli Stati membri di stabilire un quadro sanzionatorio per far rispettare il regolamento e i sistemi di certificazione europei.

A tal fine è intervenuto il decreto-legge n. 82 del 2021, che ha istituito l’Agenzia per la cibersicurezza nazionale, quale autorità competente ai sensi del regolamento, conferendole il compito di autorità di certificazione della cibersicurezza e destinando ad essa gli introiti delle sanzioni previste.

Con tale intervento si è data attuazione a due dei criteri specifici di delega stabiliti dall’articolo 18 della legge di delegazione europea 2019-2020 (legge n. 53 del 2021).

Lo schema di decreto legislativo in esame provvede, quindi a definire, per l’autorità nazionale di certificazione, l’organizzazione e le modalità operative delle attività di vigilanza nazionale e delle attività di rilascio dei certificati. Prevede inoltre un quadro sanzionatorio, con sanzioni tra i 15.000 e i 5.000.000 di euro, come indicato nei criteri di delega.

Sempre in attuazione dei criteri di delega, lo schema di decreto prevede, infine, il potere di revocare i certificati di base e quelli sostanziali, emessi da organismi di certificazione diversi dall’Agenzia, ai fini di tutela degli interessi pubblici e dei diritti fondamentali.

Lo schema di decreto legislativo si compine di 15 articoli, suddivisi in 5 capi. Nel capo I, l’articolo 1 definisce l’oggetto e l’ambito di applicazione del decreto, da cui si escludono i settori di pubblica sicurezza, difesa, sicurezza nazionale e del diritto penale. L’articolo 2 dispone sul trattamento dei dati personali. L’articolo 3 reca la definizione dei termini utilizzati nel decreto.

Nel capo II, l’articolo 4 ribadisce l’individuazione dell’Agenzia per la cibersicurezza nazionale come autorità competente per la certificazione della cibersicurezza ai sensi del regolamento europeo e ne disciplina l’organizzazione. L’articolo 5 stabilisce il compito di vigilanza nazionale dell’Agenzia, con riferimento ai certificati, ai fornitori e fabbricanti che emettono le dichiarazioni UE di conformità e agli organismi di valutazione della conformità. Si disciplina quindi il potere di revoca dei certificati di livello di base e sostanziale. L’articolo 6 definisce le modalità per il rilascio dei certificati di livello di affidabilità elevato e di livello di base e sostanziale, ribadendo anche che la certificazione della cibersicurezza è volontaria, ma che può essere resa obbligatoria previa consultazione dei portatori di interesse. L’articolo 7 disciplina le modalità di rilascio delle dichiarazioni UE di conformità, da parte di fabbricanti e fornitori di prodotti TIC. L’articolo 8 definisce l’assetto nazionale per l’attività di accreditamento e autorizzazione degli organismi di valutazione della conformità. L’articolo 9 introduce disposizioni che consentano all’Agenzia di realizzare le riforme e gli investimenti nella ricerca e innovazione, e nella formazione e sperimentazione nell’ambito della certificazione della cibersicurezza.

Nel capo II, l’articolo 10 stabilisce il quadro sanzionatorio per la violazione del regolamento europeo e dei sistemi europei di certificazione della cibersicurezza. L’articolo 11 individua le modalità di composizione extragiudiziali per i contenziosi sorti in base alle presentazioni di reclami riguardanti l’emissione dei certificati e le dichiarazioni UE di conformità. L’articolo 12 descrive le modalità per i ricorsi giurisdizionali in relazione ai certificati europei di cibersicurezza, individuando il TAR del Lazio per i ricorsi contro l’Agenzia e i TAR locali per i ricorsi contro gli altri organismi di valutazione della conformità.

Nel capo IV, l’articolo 13 disciplina le modalità di gestione degli introiti derivanti dalle attività di vigilanza e certificazione dell’Agenzia, rinviando a un DPCM la determinazione delle relative tariffe. L’articolo 14 dispone ai fini della copertura finanziaria delle spese di funzionamento dell’Agenzia, pari a più di 600 mila euro annui, individuando a tal fine il Fondo per il recepimento della normativa europea, di cui all’articolo 41-bis della legge n. 234 del 2012.

Infine, il capo V contiene l’articolo 15 che prevede che l’Agenzia, mediante proprio provvedimento, da emanare ai sensi del regolamento di organizzazione dell’Agenzia (DPCM n. 223 del 2021), possa dare attuazione ai nuovi sistemi europei di certificazione, adottati dalla Commissione europea, che non siano direttamente applicabili nel quadro vigente.

Il seguito dell’esame è rinviato ad altra seduta.

La seduta termina alle ore 15,35.