Fibre ottiche: le attività del CT86

CAMPO DI APPLICAZIONE

Il Tavolo di Confronto ha l’obiettivo di coordinare i diversi attori intorno al tema della sicurezza informatica, al fine di identificare le diverse necessità in chiave normativa. Lo scopo di qualsiasi strategia di sicurezza informatica è proteggere il maggior numero di risorse possibili e, soprattutto, le più importanti.
La Cybersecurity costituisce una tematica chiave in un mondo sempre più interconnesso in cui la
trasformazione digitale ha un impatto sulle attività quotidiane di cittadini ed imprese. In quanto tematica
orizzontale la normazione relativa alla sicurezza informatica è strutturata a più livelli. Diversi Comitati Tecnici (TC) e SottoComitati (SC) preparano standard internazionali che proteggono domini specifici e mantengono al sicuro le risorse del settore e delle infrastrutture critiche.
Il TdC 2 è collegato ai seguenti Comitati Tecnici CEI:

• CT 9 “Sistemi e componenti elettrici ed elettronici per trazione”;
• CT 45 “Strumentazione nucleare”;
• CT 57 “Scambio informativo associato alla gestione dei sistemi elettrici di potenza”;
• SC 62A “Aspetti comuni delle apparecchiature elettriche per uso medico”;
• CT 65 “Misura, controllo e automazione nei processi industriali”;
• CT 18/80 “Impianti elettrici di navi e offshore e sistemi per la navigazione e radiocomunicazioni marittime”;
• CT 313 “Smart Energy”.
  

Inoltre il Tavolo di Confronto ha come obiettivo la creazione di un collegamento strutturato con:
• gli enti di normazione internazionali (IEC, CENELEC ETSI );
• le Istituzioni (Ministeri, Commissione Europea – DG Grow);
• le principali Associazioni del settore.

STRUTTURA

Il TdC crea Gruppi di lavoro su tematiche specifiche.

COLLEGAMENTI

ISO/IEC JTC1
IEC TC 65

Technical Officer CEI: Ing. Simone GERMANI (simone.germani@ceinorme.it)

Simone GERMANI

Coordinatore TdC 2 “Cybersecurity”

In quale contesto si è formato il TdC 2 e in quali campi di applicazione si sviluppa la relativa attività normativa?

La “cybersecurity” o sicurezza informatica è una tematica che ormai dall’inizio del nuovo millennio ha ricoperto un ruolo sempre più importante nella vita lavorativa e quotidiana di ognuno.
La digitalizzazione che il mondo sta affrontando in ogni settore e l’integrazione delle reti e dei sistemi, dai sistemi bancari, ai servizi della pubblica amministrazione, alle telecomunicazioni, ai sistemi industriali di 4^a generazione, ai trasporti e alla distribuzione dell’energia, alla domotica e in molti altri settori, dimostrano la reale necessità di garantire la massima mitigazione dei rischi derivanti dalle minacce informatiche.

Qual è il quadro regolatorio europeo in cui si inserisce la cybersecurity e con quali conseguenze per il mercato e per la normativa?

La Commissione Europea ha creato nel 2004 l’ENISA con lo scopo specifico di raggiungere un elevato livello comune di sicurezza informatica in tutta Europa. Tale agenzia e i relativi obiettivi sono definiti dal regolamento Regulation (EU) 2019/881 del Parlamento che abroga e sostituisce il Regolamento (UE) n. 526/2013. Le leggi che governano in Europa la libera circolazione di beni e persone non possono quindi prescindere da tale requisito di sicurezza. Il regolamento definisce cybersicurezza: “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”, e al contempo definisce la minaccia informatica “una qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e altre persone”. Il regolamento stabilisce inoltre la necessità di creare e regolamentare un sistema europeo di certificazione della cybersicurezza che sia costituito da una serie completa, di regole, requisiti tecnici, norme e procedure stabiliti a livello di Unione e che si applicano alla certificazione o alla valutazione della conformità di specifici prodotti, servizi e processi ICT (Tecnologie dell’Informazione e della Comunicazione).

Tale contesto regolatorio ha dato chiaramente un impulso fondamentale all’apparato normativo che gli organismi internazionali stanno sviluppando ormai da molti anni, con l’intento di affiancare alle consolidate norme per la protezione dei dati e delle informazioni della rete, ulteriori norme per l’hardware e il software di controllo dei sistemi industriali e professionali e anche in ambito consumer.

Quali argomenti di lavoro specifici sono stati individuati all’interno del TdC 2 nel vasto spettro della cybersecurity?

Il TdC 2 “Cybersecurity” riunisce gli esperti dei differenti Comitati Tecnici che si trovano ad affrontare l’ampio spettro della sicurezza informatica per confrontarsi e condividere in un contesto pre-normativo gli aspetti che le norme di settore implicano.

Il TdC 2, che è stato creato in luglio del 2021, ha svolto lo scorso 26 giugno la sua terza riunione. A seguito degli incontri svolti tra esperti in questo primo anno di lavoro, si sono delineati tre ambiti di discussione:

• Ambito Industriale: si pone come obiettivo lo sviluppo della funzione orizzontale del CT 65 nel coordinamento tra la serie di Norme IEC 62443 sulla Cybersecurity in ambito industriale e le norme applicate nei differenti settori tecnologici quali, ad esempio, il ferroviario, il nucleare, il medicale, la gestione delle reti e altri (CT 9, CT 45, CT 57, CT 62). In questo ambito il TdC 2 favorisce la diffusione e lo scambio di informazioni tra differenti Comitati che riportano l’evoluzione normativa nei rispettivi Comitati internazionali, mettendo a fattor comune esperienze, expertise, gap analysis, approcci applicativi al fine di favorire l’allineamento dei sistemi di Cybersecurity nei vari settori;
• Dispositivi Radio: riguarda il monitoraggio dei requisiti regolatori e normativi relativi alla Cybersecurity, in particolare in relazione alle implicazioni che essi hanno sui dispositivi in ambito consumer. Il TdC 2 mantiene uno stretto rapporto con esperti che partecipano alle attività in essere nei principali organi normatori (tra cui anche ETSI) e sta sviluppando una discussione a seguito della pubblicazione del Regolamento Delegato (UE) 2022/30 che stabilisce l’applicabilità dei requisiti essenziali di cybersicurezza della Direttiva RED e che si applicherà a partire dal 1 agosto 2024;
• Conformity Assessment: intende presidiare e condividere i metodi di assessment per la qualifica e la certificazione dei sistemi conformi alle normative di Cybersecurity partendo dalla corretta definizione e valutazione del risk assessment applicato a componenti e sistemi. L’obiettivo è condividere le metodologie per poter applicare in modo corretto le valutazioni di risk assessment per poi procedere alla valutazione delle misure di mitigazione intraprese, fino ad arrivare alla condivisione di metodologie ed approcci per la valutazione della conformità di sistemi e componenti (hardware e software) ai requisiti definiti nella normativa ed in particolare la rispondenza ai requisiti richiesti per lo specifico livello di sicurezza richiesto.