Numerosi i richiami all’accreditamento e alle valutazioni di conformità nei recenti provvedimenti:
Legge 55/2019 – Conversione DL Sblocca Cantieri
E’ stata pubblicata il 17 giugno scorso (GU n. 140/2019) la Legge 55/2019, che ha convertito il DL 32/2019 Sblocca Cantieri, recante disposizioni urgenti per il rilancio del settore dei contratti pubblici, per l’accelerazione degli interventi infrastrutturali, di rigenerazione urbana e di ricostruzione a seguito di eventi sismici. Il provvedimento non modifica l’approccio del Codice Appalti (Legge 50/2016), che richiama il ruolo della certificazione accreditata confermando la funzione dell’accreditamento come garanzia per la selezione dei fornitori nelle gare pubbliche.
Nello Sblocca Cantieri è contenuta una revisione dell’art. 26 del D.Lgs 50/2016, che prevede la possibilità per le stazioni appaltanti di verificare autonomamente i progetti di lavori al di sotto dei 20 milioni di euro, purché abbiamo un “sistema interno di controllo di qualità”, di cui tuttavia non si indicano le caratteristiche.
Regolamento europeo 881/2019 – Cybersecurity Act
Dopo una lunga gestazione, iniziata nel 2017, il 7 giugno scorso è stato pubblicato nella Gazzetta Ufficiale UE (GUUE L 151) il Regolamento europeo 881/2019, Cybersecurity Act, che definisce la strategia dell’Unione per aumentare la sicurezza informatica e creare un mercato unico di prodotti, servizi e processi digitalmente sicuri.
Il provvedimento, esecutivo in tutti gli Stati membri dal 27 giugno, definisce una nuova struttura e nuove funzioni per l’Agenzia europea per la sicurezza informatica – ENISA (European Union Agency for Network and Information Security), e i requisiti di riferimento degli schemi di certificazione per le infrastrutture critiche per la sicurezza informatica (per ora volontari), come le reti energetiche, idriche e bancarie, ma anche per prodotti di uso personale o più circoscritto come i dispositivi medici o i sistemi di interconnessione delle attrezzature e dei processi industriali.
Lo scopo del Regolamento è creare una circolazione di prodotti con componente informatica sicura, per aumentare la resilienza dell’intero continente agli attacchi informatici. Obiettivo fondamentale, dato il crescente ricorso alle infrastrutture informatiche in ambiti critici e sempre più interconnessi, e alla luce delle statistiche sugli attacchi informatici degli ultimi anni, che hanno dimostrato quali possano essere le conseguenze di uno spazio cibernetico fragile.
Per rendere uniforme l’approccio ai problemi di sicurezza in ambito europeo, è previsto il ricorso alle certificazioni, che faciliteranno il libero scambio di prodotti informatici con un livello minimo di sicurezza concordato, trasparente e garantito. Questo sarà evidenziato da un “certificato europeo di cybersicurezza” (art. 2), un documento rilasciato dall’organismo pertinente che attesta che un determinato prodotto, servizio o processo TIC (Tecnologia dell’Informazione e della Comunicazione) è stato oggetto di una valutazione di conformità con i requisiti di sicurezza specifici stabiliti da un sistema europeo di certificazione della cybersicurezza o da una dichiarazione di conformità. Sarà l’ENISA a gestire, tramite apposito sito web, le informazioni sui sistemi europei di certificazione della cybersicurezza, sui certificati e sulle dichiarazioni UE di conformità, anche nei casi di revoca e scadenza.
La scelta della certificazione accreditata per garantire la protezione dal cyber-rischio dimostra ancora una volta la fiducia che l’infrastruttura della qualità adottata con il Regolamento CE 765/2008 riscuote presso il legislatore europeo, ponendo tuttavia sfide importanti all’infrastruttura stessa.
Gli schemi di certificazione, che dovranno essere adottati dalla Commissione europea, saranno definiti in un primo momento all’ENISA, mentre la verifica, in alcuni casi, verrà condotta da organismi di certificazione di prodotto accreditati e notificati alla Commissione. La certificazione potrà essere richiesta volontariamente dai produttori, ma entro il 2023 la Commissione potrà decidere se renderla obbligatoria. In base alla rischiosità del prodotto, le procedure di certificazione potranno essere condotte in autovalutazione dal produttore.
Si attende ora un Regolamento di esecuzione che stabilisca la data da cui cessano la propria validità i sistemi nazionali di certificazione della cybersicurezza e le procedure correlate per i prodotti, servizi e processi TIC coperti da un sistema europeo di certificazione della cybersicurezza. Restano in vigore i sistemi nazionali di certificazione non coperti da un sistema europeo di certificazione della cybersicurezza.
Regolamenti UE 945/2019 e 947/2019 – Droni per usi civili
L’utilizzo ormai diffuso dei droni, per scopi civili e militari, si è posto all’attenzione del legislatore europeo, che ha messo a punto le regole per evitare le potenziali conseguenze negative del loro uso e sostenere la competitività dell’industria aeronautica dell’UE.
La Commissione europea ha quindi adottato il Regolamento delegato UE 945/2019 relativo, tra l’altro, ai requisiti tecnici dei droni, e il Regolamento di esecuzione UE 947/2019, che disciplina sia i requisiti degli utilizzatori, sia le modalità di utilizzo. Entrambi sono stati pubblicati nella Gazzetta Ufficiale dell’Unione Europea dello scorso 11 giugno (GUUE L 152).
Per garantire la presenza dei requisiti di sicurezza negli “aeromobili senza equipaggio”, UAS (Unmanned Aircraft Systems è la definizione tecnica dei droni, così come per tutti i dispositivi che non abbiano una regolamentazione speciale), la Commissione indica il Regolamento CE 765/2008, prevedendo la marcatura CE dei prodotti, che può essere apposta dopo aver eseguito adeguati controlli affidati anche a organismi di valutazione della conformità accreditati e notificati.
Il Regolamento delegato UE 945/2019 prevede all’art.19 la possibilità di scegliere l’accreditamento come prerequisito per la notifica alla Commissione europea degli organismi di valutazione della conformità competenti. Questo in applicazione del Regolamento CE 765/2008 che indica l’accreditamento come scelta preferenziale, salvi i casi (art. 5) in cui può essere sostituita dalla cosiddetta procedura rinforzata quando le verifiche sono condotte dalle Pubbliche Amministrazioni con proprie strutture.
Nel Regolamento delegato UE 945/2019, si segnala tuttavia una contraddizione tra l’art. 19 e quanto previsto all’art. 25, dove si richiede che, ai fini della notifica, l’organismo di valutazione della conformità presenti un “certificato di accreditamento”, senza indicare le alternative che dovrebbero essere previste in applicazione dell’art. 19.
Legge 58/2019 – Conversione DL Crescita
E’ stata pubblicata lo scorso 29 giugno (GU n. 151) la Legge 58/2019 che ha convertito il DL 34/2019 cosiddetto Decreto Crescita. Nella conversione sono state confermate, all’art. 42, le disposizioni per il passaggio del controllo degli strumenti di misura operanti ai sensi del DM 93/2017 a organismi accreditati.