(por Davide Maniscalco, coordinador regional de Aidr para Sicilia, director de asuntos públicos de Swascan - Tinexta Group) "La confianza" es la estrella que guía a los responsables políticos en la configuración de un mercado digital único europeo que los usuarios perciben como "seguro" digital, en un escenario cada vez más interconectado.
En esta dirección, el artículo 8 de la Ley de ciberseguridad ha otorgado a la Agencia de la Unión Europea para la seguridad de las tecnologías de la información, en el mandato permanente recientemente introducido, la supervisión de la evolución en el sector de la normalización, también en vista de la próxima "aplicación completa", en junio de 2021, de la certificación europea de productos y procesos.
Por tanto, el trabajo de Enisa se centró en apoyar las actividades de normalización aún en curso de las organizaciones europeas de normalización CEN, CENELEC, ETSI, así como del grupo de coordinación de seguridad de TI y también con la adecuada colaboración con organizaciones de desarrollo. ) así como con la Comisión Europea y otras partes interesadas.
Así se debatió en la jornada anual sobre normalización en relación a la directiva de equipos radioeléctricos (RED) y certificación según lo establecido en la Ley de Ciberseguridad (CSA) organizada por Enisa que finalizó el pasado 4 de febrero tras una intensa "tres días" de trabajos con más de 2000 participantes de la UE y de todo el mundo.
La construcción del mercado único digital implica inevitablemente tres líneas de acción importantes:
- Fomentar una confrontación constructiva entre el nivel político, la industria, la investigación y las organizaciones de normalización y certificación.
- extender el diálogo también a todos los sujetos involucrados en diversas capacidades en el desarrollo del marco de certificación de TIC en Europa;
- Hacer efectiva la implementación de la Ley de Ciberseguridad.
Mientras tanto, el reciente inicio del proceso de revisión de la Directiva europea NIS, a través del NIS2 incluido en el marco más amplio de la Estrategia de Ciberseguridad de la UE para la próxima década digital, lanzada el pasado mes de diciembre, ha sentado las condiciones para un relanzamiento convencido de lo público privado. como herramienta para el intercambio de información eficaz y, en última instancia, para la mejora general de la protección y la resiliencia dentro del quinto dominio a escala europea.
Además, el 24 de julio de 2020, se adoptó la nueva estrategia de seguridad de la UE 2020-2025 sobre protección y resiliencia de las infraestructuras que va en la dirección de una importante revisión de la Directiva europea 2008/114 / CE de 8 de diciembre de 2008 relativa a Infraestructuras críticas.
Es por tanto intuitivo que en este escenario las leyes y normativas vigentes en materia de seguridad de redes y sistemas se conviertan en un punto de referencia para todas las empresas que pretenden incrementar su nivel de seguridad y conciencia ante ciberamenazas y riesgos y, por tanto, se torna imprescindible para configurar un enfoque eficaz para la mitigación de riesgos y la resiliencia de los procesos comerciales primarios.
Sin embargo, si, por un lado, la estrategia europea sobre ciberseguridad tiene como objetivo fortalecer la soberanía digital y el liderazgo en las normas y estándares internacionales relacionados con el dominio cibernético, por el otro, plantea una cuestión importante sobre la que puede ser útil estimular un debate. : ¿Cómo promover el desarrollo (cibernético) concreto de las PYME?
Es cierto que la estrategia europea pretende potenciar las PYME en el contexto de polos de innovación digital diseñados para mejorar las habilidades para estimular la innovación y la competitividad.
También es cierto que Europa ha presentado un presupuesto sin precedentes entre el programa Europa Digital, Horizonte Europa y el plan para la recuperación de Europa, también en lo que respecta al desarrollo del Centro de Competencia en Ciberseguridad y la red de centros de coordinación.
Sin embargo, parece necesario que la estrategia de apoyo económico a las inversiones se inserte adecuadamente en un marco de responsabilidad, especialmente para los operadores de PYME.
Esto puede ser particularmente estratégico para mejorar los estándares de seguridad de las PYME italianas y, de manera más general, sus vulnerabilidades, cuando están involucradas en las cadenas de suministro, con las consiguientes externalidades negativas para toda la cadena de suministro de referencia.
Es bien sabido, de hecho, que una de las principales vulnerabilidades de las cadenas de suministro está representada por la presencia de pymes poco sensibles al tema cibernético.
La estrategia que pretende conseguir el aumento de los presupuestos de las pymes en seguridad de la información con un aumento de la conciencia, ha demostrado no ser del todo eficaz a lo largo del tiempo.
En esta perspectiva, ¿tiene sentido incrementar hipertróficamente la oferta de tecnologías y estándares si las PyMEs aún no poseen las habilidades necesarias para dirigir sus inversiones deseables en términos de costo-efectividad?
Más bien, puede ser más eficaz identificar y seleccionar las mejores palancas a activar para crear primero una demanda "calificada" y luego dirigirla hacia la oferta más adecuada y coherente para, en última instancia, favorecer el crecimiento equilibrado de la seguridad y, en general, la confiabilidad. de la cadena de suministro.