(door Davide Maniscalco, Aidr regionaal coördinator voor Sicilië, hoofd public affairs van Swascan - Tinexta Group) "Vertrouwen" is de leidende ster die beleidsmakers begeleidt bij de configuratie van een enkele Europese digitale markt die door gebruikers als "veilig" wordt beschouwd digitaal, in een steeds meer onderling verbonden scenario.
In deze richting heeft artikel 8 van de cyberbeveiligingswet het Agentschap van de Europese Unie voor IT-beveiliging in het onlangs geïntroduceerde permanente mandaat gegeven om de ontwikkelingen in de normalisatiesector te volgen, ook met het oog op de aanstaande "volledige implementatie", in juni 2021, van de Europese certificering van producten en processen.
Enisa's werk was daarom gericht op het ondersteunen van de nog lopende normalisatieactiviteiten van de Europese normalisatieorganisaties CEN, CENELEC, ETSI, evenals de IT-beveiligingscoördinatiegroep en ook met de juiste samenwerking met ontwikkelingsorganisaties. Standaarden (SDO) zoals ISO SC27 (Liaison ) evenals met de Europese Commissie en andere belanghebbenden.
Dit werd besproken tijdens de jaarlijkse conferentie over standaardisatie in relatie tot de radioapparatuurrichtlijn (RED) en certificering volgens de bepalingen van de Cybersecurity Act (CSA), georganiseerd door Enisa, die afgelopen 4 februari eindigde na een intensieve "drie dagen" van werken met meer dan 2000 deelnemers uit de EU en de rest van de wereld.
De totstandbrenging van de digitale eengemaakte markt omvat onvermijdelijk drie belangrijke actielijnen:
- een constructieve confrontatie bevorderen tussen het politieke niveau, de industrie, het onderzoek en de normalisatie- en certificeringsorganisaties
- de dialoog ook uitbreiden tot alle onderwerpen die in verschillende capaciteiten betrokken zijn bij de ontwikkeling van het ICT-certificeringskader in Europa;
- de uitvoering van de cyberbeveiligingsverordening effectief maken.
Ondertussen heeft de recente start van het herzieningsproces van de Europese NIS-richtlijn, via de NIS2 die is opgenomen in het bredere kader van de EU-cyberbeveiligingsstrategie voor het volgende digitale decennium, die afgelopen december werd gepubliceerd, de voorwaarden geschapen voor een overtuigde herlancering van de publiek-private partnerschap als instrument voor het effectief delen van informatie en, uiteindelijk, voor de algehele verbetering van de bescherming en veerkracht binnen het vijfde domein op Europese schaal.
Daarnaast werd op 24 juli 2020 de nieuwe EU-veiligheidsstrategie 2020-2025 inzake de bescherming en veerkracht van infrastructuren aangenomen, die in de richting gaat van een belangrijke herziening van de Europese Richtlijn 2008/114 / EG van 8 december 2008 met betrekking tot Europese kritieke infrastructuren.
Het is daarom intuïtief dat in dit scenario de bestaande wet- en regelgeving met betrekking tot de beveiliging van netwerken en systemen een referentiepunt worden voor alle bedrijven die hun beveiligingsniveau en bewustzijn met betrekking tot cyberdreigingen en -risico's willen verhogen en daarom essentieel wordt. een effectieve aanpak van risicobeperking en de veerkracht van primaire bedrijfsprocessen configureren.
Als de Europese cyberbeveiligingsstrategie enerzijds echter gericht is op het versterken van digitale soevereiniteit en leiderschap op het gebied van internationale normen en standaarden met betrekking tot het cyberdomein, roept dit anderzijds een belangrijke vraag op waarover het nuttig kan zijn om een debat te stimuleren : hoe bevorder je de concrete (cyber) ontwikkeling van het MKB?
Het is waar dat de Europese strategie bedoeld is om het MKB te versterken in de context van digitale innovatiepolen die zijn ontworpen om vaardigheden te verbeteren om innovatie en concurrentievermogen te stimuleren.
Het is ook waar dat Europa een ongekend budget heeft vrijgemaakt tussen het programma Digitaal Europa, Horizon Europa en het plan voor het herstel van Europa, ook met betrekking tot de ontwikkeling van het Cybersecurity Competence Center en het netwerk van coördinatiecentra.
Het lijkt echter noodzakelijk dat de strategie van economische steun voor investeringen op passende wijze wordt geënt in een kader van verantwoording, met name voor MKB-exploitanten.
Dit kan met name strategisch zijn voor het verbeteren van de veiligheidsnormen van Italiaanse KMO's en, meer in het algemeen, hun kwetsbaarheden, indien betrokken bij de toeleveringsketens, met de daaruit voortvloeiende negatieve externe effecten voor de gehele referentietoeleveringsketen.
Het is in feite algemeen bekend dat een van de grootste kwetsbaarheden van toeleveringsketens wordt vertegenwoordigd door de aanwezigheid van kleine en middelgrote ondernemingen met weinig gevoeligheid voor cyberproblematiek.
De strategie die beweert de verhoging van de budgetten van het MKB op het gebied van informatiebeveiliging te bewerkstelligen met een groeiend bewustzijn, is in de loop van de tijd niet geheel effectief gebleken.
Is het in dit perspectief zinvol om het aanbod van technologieën en standaarden hypertrofisch uit te breiden als het MKB nog niet over de nodige vaardigheden beschikt om hun gewenste investeringen in termen van kosteneffectiviteit te richten?
Het kan eerder effectiever zijn om de beste hefbomen te identificeren en te selecteren om eerst een 'gekwalificeerde' vraag te creëren en deze vervolgens te richten op het meest geschikte en samenhangende aanbod om uiteindelijk de evenwichtige groei van veiligheid en, in het algemeen, betrouwbaarheid te bevorderen. van de toeleveringsketen.