:
La trasformazione digitale della società mondiale, intensificata dalla crisi COVID-19, ha ampliato il panorama delle minacce reali e potenziali e sta ponendo l’Europa davanti a nuove sfide che richiedono risposte immediate, adeguate e innovative. Il numero di attacchi informatici continua ad aumentare, con metodi sempre più sofisticati sia all'interno, sia all'esterno dell'UE.
1. Una definizione
L’espressione “cyber security” indica l’insieme dei mezzi, delle procedure e delle tecnologie volte a proteggere i sistemi informatici e dell’informazione digitale da attacchi interni ed esterni. Il termine italiano “sicurezza” racchiude due concetti molto diversitra loro, che in inglese si traducono in:
· “security”, ovvero la protezione dagli attacchi;
· “safety”, ovvero la protezione dagli incidenti e dai guasti.
La differenza principale tra i due concetti risiede nelle modalità e negli strumenti che si utilizzano per affrontare i problemi che le coinvolgono.
La Commissione europea e l'Alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza hanno presentato una nuova strategia di sicurezza informatica dell'UE alla fine del 2020. Essa nasce allo scopo di garantire contemporaneamente la sicurezza dei servizi essenziali (ospedali, reti energetiche le ferrovie) e di tutti i dispositivi elettronici presenti nelle case, negli uffici e nelle fabbriche. La costruzione di capacità collettive per rispondere ai grandi attacchi informatici e la formazione di un’unità informatica congiunta possono garantire e mantenere alto il livello di sicurezza internazionale e di stabilità nel cyberspazio.
La strategia vuole assicurare che i cittadini e le imprese traggano vantaggio da tecnologie digitali affidabili attraverso la resilienza alle minacce informatiche.
La strategia descrive come l'UE sia in grado di sfruttare e rafforzare i propri strumenti e le proprie risorse al fine di essere tecnologicamente sovrana e di intensificare la cooperazione con i partner di tutto il mondo che ne condividono i valori di democrazia, stato di diritto e diritti umani. Le quattro le comunità informatiche, ovvero il mercato interno, l’applicazione della legge, della diplomazia e della difesa, devono lavorare insieme in direzione di una consapevolezza condivisa delle minacce. La strategia delinea come un'unità informatica congiunta possa garantire la risposta più efficace alle minacce informatiche utilizzando le risorse e le competenze collettive a disposizione degli Stati membri e dell'UE.
La nuova strategia propone tre strumenti principali ovvero la regolamentazione, l’investimento e la policy. Essi affronteranno tre aree di azione dell'UE:
L'UE è impegnata a sostenere questa strategia attraverso un livello senza precedenti di investimenti nella propria transizione digitale, quattro volte più intenso rispetto al passato.
La nuova strategia di sicurezza informatica dell'UE per il decennio digitale costituisce una componente chiave dello Shaping Europe's Digital Future, il piano di ripresa per l’Europa e della Security Union Strategy 2020-2025.
Le minacce alla sicurezza informatica sono quasi sempre transfrontaliere e un attacco informatico alle strutture critiche di un paese può colpire l'intera UE. Gli Stati membri hanno dunque bisogno di organi governativi forti che supervisionino la sicurezza informatica europea e che lavorino insieme alle loro controparti in altri Stati membri, condividendo le informazioni. Ciò è particolarmente importante per i settori cosiddetti critici.
La direttiva sulla sicurezza dei sistemi di rete e d'informazione (NIS), che tutti i paesi hanno ora implementato, assicura la creazione e la cooperazione di tali organismi governativi. Il processo di revisione avvenuto alla fine dell’anno 2020 ha portato come risultato alla proposta di direttiva sulle misure per un elevato livello comune di sicurezza informatica in tutta l'Unione (direttiva NIS2), presentata dalla Commissione il 16 dicembre 2020.
La direttiva NIS fornisce misure legali per aumentare il livello generale di sicurezza informatica nell'UE garantendo:
I fornitori di servizi digitali chiave, come i motori di ricerca, i servizi di cloud computing e i marketplace online, dovranno rispettare i requisiti di sicurezza e di notifica previsti dalla nuova direttiva.
Come risultato del processo di revisione, la nuova proposta legislativa è stata presentata il 16 dicembre 2020. Essa fa parte di un pacchetto di misure volte a migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell'Unione nel suo complesso. Copre il settore della sicurezza informatica e della protezione delle infrastrutture critiche. La proposta si basa sull'attuale direttiva NIS e modernizza il quadro giuridico esistente tenendo conto della crescente digitalizzazione del mercato interno negli ultimi anni e di un panorama di minacce alla sicurezza informatica in evoluzione. La proposta di revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi è stata accompagnata da una valutazione d'impatto, che è stata presentata al comitato per il controllo regolamentare (RSB) il 23 ottobre 2020 e ha ricevuto un parere positivo con osservazioni da parte dell'RSB il 20 novembre 2020.
Il Cybersecurity Act rafforza il ruolo dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), l'agenzia dell'UE che si occupa di sicurezza informatica e che fornisce un supporto agli Stati membri. Essa ha ora un mandato permanente ed è autorizzata a contribuire a rafforzare sia la cooperazione operativa, sia la gestione delle crisi in tutta l'UE. Possiede anche più risorse finanziarie e umane rispetto a prima.
Il Cybersecurity Act rafforza quindi l'ENISA conferendole un mandato permanente, fornendole più risorse e un ruolo chiave nel:
L'EU Cybersecurity Act introduce un quadro di certificazione di cybersecurity a livello europeo per prodotti, servizi e processi ICT. Le aziende che fanno affari nell'UE beneficeranno di dover certificare i loro prodotti, processi e servizi ICT solo una volta e vedranno i loro certificati riconosciuti in tutta l'Unione Europea.
Il quadro di certificazione fornirà schemi di certificazione a livello UE come un insieme completo di regole, requisiti tecnici, standard e procedure. Il quadro sarà basato su un accordo a livello UE sulla valutazione delle proprietà di sicurezza di uno specifico prodotto o servizio basato sulle TIC. Attesterà che i prodotti e i servizi ICT che sono stati certificati in conformità con tale schema sono conformi ai requisiti specificati.
In particolare, ogni schema europeo dovrebbe specificare:
Il certificato risultante sarà riconosciuto in tutti gli Stati membri dell'UE, rendendo più facile per le imprese il commercio transfrontaliero e per gli acquirenti capire le caratteristiche di sicurezza del prodotto o servizio.
La crisi causata dalla pandemia da coronavirus ha visto un significativo incremento degli attacchi informatici. Il piano di ripresa per l'Europa include quindi ulteriori investimenti nella sicurezza informatica. La ricerca sulla sicurezza digitale è essenziale per raggiungere soluzioni innovative che possano proteggere gli Stati membri dalle più recenti e avanzate minacce informatiche. Ecco perché la sicurezza informatica è una parte importante di Horizon 2020 e di Horizon Europe (cluster "Civil Security for Society").
Per rafforzare la capacità europea di cybersecurity, la Commissione ha proposto la creazione di un nuovo centro di competenza industriale, tecnologico e di ricerca europeo sulla cybersecurity e una rete di centri di coordinamento nazionali. Il centro proposto mette in comune le competenze e allinea lo sviluppo e lo spiegamento europeo della tecnologia della sicurezza informatica. Lavora con l'industria e la comunità accademica per costruire un'agenda comune per gli investimenti nella cybersecurity, e decidere le priorità di finanziamento per la ricerca, lo sviluppo e la diffusione delle soluzioni di cybersecurity (attraverso i programmi Horizon Europe e Digital Europe).
Il progetto della Commissione per una risposta rapida alle emergenze fornisce un piano nel caso di un incidente o di una crisi informatica transfrontaliera su larga scala. Stabilisce gli obiettivi e le modalità di cooperazione tra gli Stati membri e le istituzioni dell'UE nel rispondere a tali incidenti e crisi.
La presidente della Commissione europea Ursula von der Leyen ha annunciato una proposta per un'unità congiunta per la cibernetica a livello UE. Questa iniziativa avrà lo scopo di coordinare ulteriormente le capacità operative di sicurezza informatica europea.
Le reti 5G sono pianificate per essere distribuite in tutta l'Europa e offriranno enormi vantaggi. Esse sono potenzialmente più soggette ad attacchi informatici poiché possiedono un maggior numero di punti di ingresso in quanto necessitano di un alto numero di antenne e di una maggiore dipendenza da software. Il Toolbox UE sul 5G stabilisce misure per rafforzare i requisiti di sicurezza per queste reti: applicare restrizioni per i fornitori considerati ad alto rischio e garantirne la diversificazione.
Le democrazie europee sono diventate sempre più digitali: le campagne politiche si svolgono online e le elezioni stesse avvengono attraverso il voto elettronico in molti paesi.
La Commissione ha pubblicato delle raccomandazioni per la sicurezza informatica delle elezioni per il Parlamento europeo, come parte di un più ampio pacchetto di raccomandazioni per sostenere elezioni europee libere ed eque. Un mese prima delle elezioni europee del 2019, il Parlamento europeo, gli Stati membri dell'UE, la Commissione e l'ENISA hanno effettuato un test dal vivo della loro preparazione.
La Commissione ha preparato una richiesta di un quadro coerente per l'insegnamento delle competenze in materia di sicurezza informatica nell'istruzione universitaria e professionale. I quattro progetti pilota che preparano il centro di competenza di cybersecurity e la rete di ECSO stanno attualmente lavorando per ovviare a tale questione; inoltre vi sono molte iniziative ricorrenti destinate direttamente agli studenti, come l'annuale European Cyber Security Challenge. Le competenze di sicurezza informatica rientrano nell'agenda generale della Commissione sulle competenze digitali. Sono anche parte degli sforzi di finanziamento sotto Horizon 2020, Horizon Europe e il programma Digital Europe. Un esempio è il finanziamento per i "cyber range", ambienti di simulazione dal vivo di minacce informatiche per la formazione.
ENISA - l'agenzia dell'UE per la sicurezza informatica
ENISA è l'agenzia di consulenza per la sicurezza informatica dell’UE. Istituita nel 2004, fornisce supporto agli Stati membri, alle istituzioni dell'UE e alle imprese, come ad esempio l'attuazione della direttiva NIS.
Fra le sua attività rientrano:
1) l'organizzazione di esercitazioni di crisi informatiche in tutta Europa;
2) l'assistenza per lo sviluppo di strategie nazionali di sicurezza informatica;
3) la promozione della cooperazione fra le squadre di pronto intervento informatico e lo sviluppo di capacità.
ISACs - information Sharing and Analysis Centres
Gli Information Sharing and Analysis Centres (ISACs) favoriscono la collaborazione tra la comunità della cybersecurity in diversi settori dell'economia. Sviluppare ulteriormente gli ISAC sia a livello UE che a livello nazionale è una priorità per la Commissione. In collaborazione con ENISA, la Commissione promuove anche la creazione di nuovi ISAC in settori che non sono coperti. Il "consorzio empowering EU ISACs", supervisionato dalla Commissione, fornisce supporto legale, tecnico e organizzativo agli ISAC.
Tipi di organizzazioni che fanno parte di ISAC
JRC - Centro comune di ricerca
Il Centro comune di ricerca (JRC) della Commissione sta contribuendo attivamente alla sicurezza informatica nell'UE. Ha ad esempio sviluppato una tassonomia della Cybersecurity al fine di avere una panoramica più chiara delle capacità di cybersecurity nell'UE.
Il JRC ha anche recentemente pubblicato un rapporto che fornisce approfondimenti sull'attuale panorama della cybersecurity dell'UE e sulla sua storia, intitolato “Cybersecurity - our digital anchor”[1].
CSIRTs/CERTs - team di risposta agli incidenti di sicurezza informatica
Ai sensi della direttiva NIS, gli Stati membri dell'UE sono tenuti a davere dei team di risposta agli Incidenti di Sicurezza Informatica ("CSIRT") ben funzionanti, noti anche come Computer Emergency Response Team ("CERT"). Queste squadre si occupano della risoluzione degli incidenti e della riduzione dei rischi legati alla sicurezza informatica. Cooperano tra di loro a livello UE e lavorano con il settore privato. Tutti i tipi di operatori di servizi essenziali e fornitori di servizi digitali devono essere coperti da CSIRT designati.
I compiti principali dei CSIRT sono:
ECSO - Organizzazione europea per la sicurezza informatica
L'Organizzazione europea per la sicurezza informatica (ECSO) è stata creata nel 2016 per agire come controparte della Commissione in un partenariato contrattuale pubblico-privato che copre Horizon 2020 negli anni dal 2016 al 2020. La maggior parte dei 250 membri dell'ECSO appartengono o all'industria della Cybersecurity o a istituzioni di ricerca e accademiche del settore. Oltre a formulare raccomandazioni su Horizon 2020, ECSO svolge varie attività che mirano alla costruzione della comunità e allo sviluppo industriale a livello europeo.
Women4Cyber
È importante sottolineare il ruolo delle donne, sottorappresentate nella comunità della cybersecurity. Ecco perché la Commissione ha istituito il registro Women4Cyber, in collaborazione con l'iniziativa Women4Cyber di ECSO. Tale registro rende più rapida la ricerca delle molte donne di talento che lavorano nella sicurezza informatica, in modo da aumentarne la visibilità e la presenza nella comunità informatica e nel dibattito pubblico.
Cibercriminalità
Il dipartimento Migrazione e affari interni della Commissione controlla e aggiorna la legislazione dell'UE sulla criminalità informatica e sostiene la capacità di applicazione della legge. La Commissione collabora anche con il Centro europeo per la criminalità informatica di Europol.
Diplomazia informatica
La Commissione lavora insieme al Servizio europeo per l'azione esterna e agli Stati membri sull'attuazione di una risposta diplomatica congiunta alle attività informatiche dannose. Questa risposta include la cooperazione e il dialogo diplomatico, misure preventive contro i cyberattacchi e le sanzioni.
Difesa
L'UE coopera sulla difesa nel cyberspazio attraverso le attività dell'Agenzia europea per la difesa, così come ENISA, Europol e la direzione generale della Commissione responsabile dell'industria della difesa.
Sviluppo delle capacità informatiche nei paesi terzi
L'UE coopera con altri paesi per aiutarli a costruire la propria capacità di difendersi dalle minacce alla sicurezza informatica. La Commissione sostiene vari programmi di cybersecurity nei Balcani occidentali e nei sei paesi del partenariato orientale nelle immediate vicinanze dell'UE, così come in altri paesi del mondo attraverso il suo dipartimento di cooperazione internazionale e sviluppo.
[1] https://publications.jrc.ec.europa.eu/repository/handle/JRC121051
Login