Sinossi: Il crescente ricorso, da parte degli operatori pubblici e privati, ai servizi di sicurezza gestiti (SSG) rappresenta una risposta strategica alla complessità e moltiplicazione delle minacce informatiche. Il mercato europeo degli SSG è in rapida espansione, sostenuto da esigenze operative e pressioni regolatorie. In questo contesto, le recenti modifiche al Reg. (UE) 2019/881 mirano a integrare i SSG nei sistemi europei di certificazione della cibersicurezza, valorizzandone il ruolo nell’ambito del mercato interno. Tale indirizzo si colloca nel più ampio disegno di rilancio della sovranità digitale dell’Unione, in sinergia con altri strumenti normativi emanati nell’ambito della strategia europea di cibersicurezza. Resterà cruciale valutarne l’efficacia attuativa a fronte delle ambiziose finalità dichiarate.
Le “inesorabili vulnerabilità” (B. Carotti, Sicurezza cibernetica: avanguardia o tradizione?, in questo Osservatorio) che si associano all’impiego delle tecnologie dell’informazione hanno alimentato, negli ultimi decenni, l’accrescimento esponenziale degli attacchi ai sistemi informatici e alla connessa rete di infrastrutture portanti (si vedano il Global Cybersecurity Outlook 2025 del WEF e il Rapporto CLUSIT 2025). A causa della peculiare natura del dominio digitale, gli apparati di cibersicurezza chiamati a fare fronte alle nuove minacce scontano un triplo ordine di criticità, aventi immediate ricadute sulle capacità operative di contrasto: la rapida obsolescenza dell’ambiente tecnologico, la quale costringe tanto gli attaccanti quanto i difensori a una costante opera di aggiornamento; la necessità organizzativa di inquadrare una funzione di cibersicurezza all’interno di enti pubblici e privati non sempre dotati di adeguate capacità di assorbimento; più in generale, l’obiettiva difficoltà ‘epistemica’ di riconoscere natura ed estensione delle vulnerabilità in un sistema informatico complesso.
A queste esigenze risponde con sempre maggiore frequenza il ricorso, da parte dei soggetti pubblici e privati esposti ad attacchi informatici, ai c.d. servizi di sicurezza gestiti o SSG (Managed Security Services – MSS), comprensivi di pacchetti organici di funzionalità aggiornate (cfr. M. Negreiro, Managed Security Services, EPRS) e variamente realizzate, da remoto o in loco. L’attività di implementazione e gestione delle misure protettive è così trasferita a fornitori specializzati, la cui dotazione di risorse umane, strumentali e finanziarie consente il migliore sfruttamento di economie di scala nel settore, proponendo servizi di protezione più efficaci a costi sensibilmente ridotti. In questo senso, il fenomeno può ricondursi ai naturali processi di specializzazione e divisione del lavoro che interessano il dominio cibernetico come ogni altro ambito dell’attività sociale (E. Durkheim, De la division du travail social).
Il mercato europeo degli SSG è in continua espansione e copre oramai un’ampia gamma di attività che vanno dall’apprestamento di soluzioni tecniche (tra cui gestione degli accessi e dei dati anche in cloud, rilevamento e trattamento delle minacce, assistenza) a varie forme di consulenza e formazione del personale all’interno delle organizzazioni clienti. I vantaggi di tale approccio sono molteplici, potendo trarre giovamento da una comprensione, per così dire, ‘genetica’ dei sistemi di sicurezza (che sono messi a punto e gestiti dai fornitori medesimi) e, pertanto, dalla possibilità di integrarvi a priori le soluzioni più idonee, secondo il paradigma della cybersecurity by design. Benché finisca per rendere gli stessi fornitori di SSG bersagli ad alto rischio di attacchi mirati (v. ENISA, EU Managed Security Services Certification to drive the cybersecurity market), l’esternalizzazione dei servizi consente una virtuosa concentrazione di risorse in capo a soggetti altamente qualificati, facendo fronte alla sempiterna carenza di competenze digitali sul mercato europeo (v. la comunicazione della Commissione Colmare il divario di talenti nel settore della cibersicurezza per rafforzare la competitività, la crescita e la resilienza dell’UE) e allontanando, stante la maggiore consapevolezza circa natura e limiti dei sistemi informatici trattati, la prospettiva dell’“apprendista stregone” (E. Nardelli, L’impatto sociale della trasformazione digitale, in questo Osservatorio).
Come da ultimo evidenziato da ENISA, che ha prodotto un’analisi di mercato dedicata (ENISA, MSS MARKET ANALYSIS. An Analysis of the Managed Security Service Market), la maggior parte degli utilizzatori di SSG nell’Unione dedica all’acquisizione di tali servizi il 10% del proprio fatturato annuale, spesso sotto la spinta delle pressanti esigenze di compliance regolatoria. Notevole, rispetto alle ambizioni strategiche di sovranità digitale, è l’elevata percentuale di fornitori con sede in Europa (89%), a fronte tuttavia della, pur limitata, prevalenza di imprese sottoposta a forme di controllo societario da parte di soggetti extra-UE (51%). Ne risulta, inter alia, una notevole variabilità nei servizi offerti e nelle connesse capacità di copertura della domanda da parte degli operatori presenti sul mercato.
Consapevole della potenzialità dei servizi in esame, ma anche dei rischi connessi alla loro diffusione in assenza di standard minimi e di un “common approach” (ENISA, EU Managed Security Services Certification to drive the cybersecurity market) nell’implementazione, il legislatore europeo ha promosso, nell’ambito dell’ultimo pacchetto sulla cibersicurezza, di una modifica mirata del Reg. (UE) 2019/881 (in attesa dei risultati della complessiva valutazione condotta ai sensi dell’art. 67 del regolamento stesso), volta a consentire l’adozione di appositi schemi europei di certificazione per i servizi di sicurezza gestiti. Prendendo a riferimento il regolamento del 2019 quale quadro comune per i sistemi di certificazione nel dominio cyber, rispondente ad esigenze di tutela del mercato interno, il nuovo Reg. (UE) 2025/37 è inteso ad integrare la disciplina orizzontale circa i requisiti globali di cibersicurezza per i prodotti con elementi digitali (Considerando 2). In particolare, l’art. 1 racchiude una serie di interventi, più o meno ‘chirurgici’, per l’integrazione dei SSG tra i fattori TIC certificabili, in aggiunta a prodotti, servizi e processi informatici, per i quali un ‘sistema europeo di certificazione della cibersicurezza’ traduce “una serie completa di regole, requisiti tecnici, norme e procedure” applicati alla certificazione e alla relativa valutazione di conformità (art. 1 del Reg. 2019/881).
Di rilevanza generale risultano poi una serie di modifiche la cui portata va oltre l’ambito dei SSG, mirando piuttosto ad un complessivo affinamento del sistema europeo di certificazione della cibersicurezza. È così aggiunta, tra le motivazioni idonee a fondare l’inclusione di fattori TIC nell’apposito programma di lavoro progressivo dell’Unione, un’elastica clausola di rinvio agli sviluppi tecnologici nonché alla disponibilità di sistemi internazionali di certificazione e di norme internazionali o utilizzate dall’industria (art. 1, n. 6, b), iii)): una sorta di ‘trasformatore permanente’ (secondo la formula di T. Perassi, La Costituzione italiana e l’ordinamento internazionale), ancorché ad attivazione opzionale, capace di sollecitare un meccanismo di regolazione altrimenti potenzialmente farraginoso. È inoltre precisata la composizione dei gruppi di lavoro ad hoc istituiti dall’ENISA per fornire consulenza sulle proposte di sistema di certificazione, comprendenti esperti delle amministrazioni statali, delle istituzioni, organi e organismi dell’Unione, nonché del settore privato (art. 1, n. 7).
Del tutto inedito è il meccanismo di informazione e consultazione disciplinato dal nuovo art. 49 bis del Regolamento sulla cibersicurezza. Tra le misure introdotte, è prevista la pubblicizzazione, da parte della Commissione, delle informazioni concernenti la richiesta di preparazione della proposta di sistema ad ENISA e la facoltà, riconosciuta al Parlamento e al Consiglio, di domandare informazioni nel corso della procedura, nonché di invitare la Commissione e l’ENISA stessa a discutere questioni relative al funzionamento di detti sistemi. Il risultato è una sorta di meccanismo di compensazione politica che, perseguendo la maggiore apertura di un processo decisionale dalle ingenti ricadute economiche e di ordine pubblico, valorizza la funzione di controllo dei co-legislatori rispetto ad un ambito di regolazione in cui si registra la netta prevalenza dell’esecutivo dell’Unione e della relativa agenzia di settore.
Nonostante l’apparente eterogenesi di funzioni, che si rispecchia anche nella diversa base giuridica (in questo caso, l’art. 114 TFUE, riguardante l’instaurazione e il funzionamento del mercato interno; in quello, gli articoli 173 e 322 TFUE), evidenti restano le potenziali interazioni tra le modifiche in esame e il coevo regolamento (UE) 2025/38 (su cui F. Galli, Un dispositivo strategico per la cibersolidarietà: il regolamento (UE) 2025/38, in questo Osservatorio), che ha introdotto alcuni meccanismi di c.d. cibersolidarietà nell’ordinamento dell’Unione. Nell’ambito di questi ultimi, con particolare riferimento alla c.d. riserva dell’UE per la cibersicurezza, la certificazione dei servizi di sicurezza gestiti potrebbe svolgere un ruolo essenziale ai fini della corretta selezione degli operatori privati, prestandosi a criterio orientativo per i soggetti interessati all’acquisizione di tali servizi (considerando 6 e 7 del Regolamento).
Si propone, in generale, il tema dell’inquadramento degli SSG ‘certificati’ nell’ambito della più vasta strategia di cibersicurezza e ciberdifesa dell’Unione, quale da ultimo declinata con l’approvazione di un nuovo Programma dell’UE per la gestione delle crisi informatiche (Raccomandazione del Consiglio C/2025/3445). In questo contesto, le modifiche apportate al Regolamento sulla cibersicurezza, ove conducano all’effettiva approvazione di schemi di certificazione dedicati, potranno proporsi come soluzione alla perdurante carenza di standard condivisi per il dominio cyber, collocandosi al centro dei programmi di politica industriale per la digitalizzazione degli operatori continentali (come Europa Digitale e il Programma strategico per il decennio digitale).
Le presenti considerazioni non possono del resto ignorare che, al netto delle apprezzabili modifiche al quadro normativo, l’effettiva capacità di implementare uno schema di certificazione per i SSG, nonché la qualità del medesimo, potrà apprezzarsi solo a valle della relativa procedura di adozione, avviata lo scorso aprile dall’ENISA su richiesta della Commissione. L’Agenzia si è proposta di sviluppare un modello bidimensionale, atto a coniugare requisiti minimi per tutti i sistemi con più precise specifiche tecniche da ritagliarsi sulle finalità operative di volta in volta perseguite (ENISA, EU Managed Security Services Certification to drive the cybersecurity market). Il risultato dovrà inevitabilmente confrontarsi con l’ambizioso precedente dello schema EUCC (EU Cybersecurity Certification Scheme on Common Criteria), varato nel 2024 e basato sullo standard internazionale ISO/IEC 15408.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
