Settori critici quali trasporti, energia, sanità o finanza dipendono sempre di più dalle tecnologie digitali. L’UE punta a raggiungere un elevato livello di cybersecurity attraverso innovazione, cooperazione e sostegno agli attori pubblici e privati.

A termine della riunione del Consiglio europeo del 16 dicembre 2021, i capi di Stato e di governo hanno invitato il Consiglio a portare avanti i lavori sullo Strategic Compass che definisca una visione strategica comune per il prossimo decennio e utilizzi al meglio l’insieme di strumenti civili e militari dell’UE[1]. Questo tema, che ricomprende quello della ciberdifesa e del ciberspazio, era già stato richiamato dalla Presidente della Commissione von der Leyen durante il suo discorso sullo Stato dell’Unione, in cui sottolineava la necessità di una politica europea della ciberdifesa, compresa una nuova legge europea sulla ciberresilienza[2].

Il tema della cyber defence ha assunto negli ultimi anni una rilevanza crescente a livello nazionale ed internazionale, a fronte di un costante aumento degli attacchi informatici sia in termini di quantità che di sofisticazione. Il moltiplicarsi dei tentativi di sottrazione dei dati, interruzione dei servizi, compromissione delle infrastrutture tecnologiche, desta ancora più preoccupazione se consideriamo che a condurre gli attacchi è una varietà sempre più numerosa di attori, che vede ugualmente coinvolti attori statali e non statali. Oltretutto, la pandemia ha impresso un’accelerazione al processo di digitalizzazione della nostra società, facendo emergere ancora più chiaramente tutti i rischi legati alla cybersecurity.
Attualmente, gli obiettivi primari della sicurezza informatica – a livello nazionale, europeo e internazionale – sono il contenimento del cybercrime, la protezione delle infrastrutture critiche informatizzate e la protezione delle informazioni personali in forma digitale. Il raggiungimento di questi obiettivi si basa sull’azione di governo dei singoli Stati, in quanto principali attori responsabili della sicurezza nazionale e della crescita economica, ma dipende anche in modo cruciale dall’attuazione della cooperazione europea e internazionale e dalla necessaria istituzionalizzazione dei partenariati pubblico-privato.

Il quadro legislativo e istituzionale europeo

L’UE ha iniziato a lavorare sulla sicurezza informatica nei primi anni 2000. I primi documenti tentano di identificare aree prioritarie per la sicurezza della rete e rimangono significativi proprio per l’idea che danno dell’approccio originale e delle priorità dell’Unione. È degno di nota il fatto che il termine specifico ‘cybersecurity’ non compaia in questi primi documenti e non apparirà fino al rapporto del 2008 sull’attuazione della strategia europea in materia di sicurezza del 2003. Fino ad allora, i termini ‘cybercrime’ e ‘protection of personal data and critical infrastructures’ saranno usati, senza un riferimento esplicito al concetto più ampio di cybersecurity.
Un anno molto importante per l’avanzamento della cybersecurity in Europa è stato il 2004, poiché l’Unione ha approvato il regolamento (CE) 460/2004 che istituisce l’Agenzia europea di sicurezza delle reti e dell’informazione – meglio conosciuta con l’acronimo inglese ENISA – “[a]l fine di assicurare un alto ed efficace livello di sicurezza delle reti e dell’informazione nell’ambito della Comunità e di sviluppare una cultura in materia di sicurezza delle reti e dell’informazione”[3]. L’agenzia ha il compito di assistere la Commissione e gli Stati membri, accrescendone le capacità di prevenire e affrontare i problemi di sicurezza delle reti e delle informazioni e di reagirvi, fornendo loro assistenza e consulenza e contribuendo allo sviluppo generale di un alto livello di competenze. Infine, l’agenzia contribuisce a promuovere e diffondere una nuova cultura della sicurezza, affinché la questione della cybersecurity venga adeguatamente affrontata a livello europeo e soprattutto nazionale, tramite la predisposizione degli strumenti giuridici opportuni. L’attività principale dell’ENISA è quella di coordinare l’operato degli Stati membri e favorire il dialogo intra-europeo, attraverso l’elaborazione di linee guida e l’individuazione di best practices. Compito dell’ENISA è quello di promuovere un vero e proprio cambio di mentalità, che diffonda una nuova cultura della sicurezza delle reti e delle informazioni, basata sulla fiducia, la trasparenza e l’information sharing. Obiettivo dell’ENISA è anche quello di aumentare le competenze in campo tecnologico, attraverso l’organizzazione di esercitazioni che consentano di riunire tutto il know-how dei maggiori esperti a livello europeo e non solo, così da accrescere le possibilità di fronteggiare adeguatamente i rischi dello spazio cibernetico.
Nel 2013 si arriva all’approvazione della prima Strategia dell’Unione europea per la cybersecurity[4]. Il documento è frutto del lavoro congiunto della Commissione e dell’Alto Rappresentante ed illustra la visione dell’UE sul tema della cybersecurity e le azioni necessarie da intraprendere, per garantire la sicurezza di tutti i cittadini e degli Stati. Nella sua parte iniziale, la strategia cerca di mettere in evidenza il peso del fattore ICT nell’era moderna, il quale costituisce ormai un aspetto fondamentale della vita sociale e della crescita economica dei paesi europei, nonché una risorsa critica sulla quale poggia gran parte del settore industriale. La dipendenza di quest’ultimo e di molte delle infrastrutture critiche nazionali dai sistemi digitalizzati e da internet in generale cresce sempre più; e così crescono anche i rischi. Pertanto, è dichiarato per l’Europa l’obiettivo di dotarsi degli strumenti necessari per poter prevenire ed eventualmente reagire a possibili attacchi di natura cibernetica, in grado di recare notevoli danni e di attentare alla sicurezza dei paesi. Scopo principale della strategia, come indicato anche nel titolo, è quello di garantire uno spazio cibernetico “aperto e sicuro”, che sia accessibile a tutti e, allo stesso tempo, dotato degli strumenti adeguati ad assicurare la riservatezza dei dati e delle informazioni in esso contenuti. Compito dell’Unione è promuovere l’applicazione di principi, norme e valori che sono già validi nella dimensione fisica, anche in quella digitale. Diritti fondamentali, democrazia e stato di diritto dovrebbero essere tutelati anche nel cyber spazio. Il documento delinea cinque priorità fondamentali per poter fronteggiare le minacce provenienti dal cyber spazio: raggiungere la ciberresilienza; ridurre drasticamente il cybercrime; sviluppare una politica e capacità di ciberdifesa connesse alla Politica di sicurezza e di difesa comune (PSDC); sviluppare le risorse industriali e tecnologiche per la cybersecurity in Ue; creare una politica internazionale coerente dell’Unione europea sul ciberspazio e promuovere i valori costitutivi dell’UE.
Quanto ai valori chiave, la strategia stabilisce l’importanza di agire sempre secondo un sentimento di responsabilità condivisa, il quale consenta di trattare la cybersecurity come una questione di portata globale. Essenziale, infatti, è l’adozione di una prospettiva che valichi i confini nazionali e quelli europei, affinché la cooperazione internazionale possa essere efficace, in considerazione della natura tendenzialmente borderless delle problematiche cibernetiche. Il concetto stesso di cooperazione è alla base dell’intero documento. Tale cooperazione è intesa sia a livello nazionale, per ciò che riguarda la creazione di partnership pubblico-private; sia a livello europeo, con riferimento all’importanza per gli Stati e per le rilevanti istituzioni ed agenzie dell’UE di comunicare ed agire insieme nell’ambito dell’Unione; sia, infine, a livello internazionale, con altri attori statali e non-statuali. Questa priorità rappresenta il landmark della strategia cyber dell’UE.

Le nuove iniziative istituzionali nella gestione della cybersecurity

Per quanto riguarda gli ultimi sviluppi a livello europeo, rilevante è la cosiddetta ‘Direttiva NIS’[5], adottata dal Parlamento europeo nel luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione europea. Essa nasce con l’obiettivo di definire disposizioni minime in materia di pianificazione, scambio di informazione, cooperazione e obblighi di sicurezza comuni a tutti gli Stati membri dell’Unione, in particolare agli operatori di servizi essenziali e ai fornitori di servizi digitali che ivi operano. La direttiva è entrata in vigore nell’agosto 2016 e stabilisce un periodo di tempo pari a due anni, entro i quali gli Stati dovranno recepire il suo contenuto all’interno del proprio ordinamento nazionale. Per quanto riguarda il contenuto della direttiva, essa prevede una serie di azioni finalizzate ad incrementare il livello di sicurezza delle reti e dei sistemi informativi in tutta l’Unione europea.
Il 27 giugno 2019, è entrato in vigore il Regolamento (UE) 2019/881[6], anche detto Cybersecurity Act o CyberAct, che ha rafforzato il ruolo dell’ENISA e definito un quadro UE per l’introduzione di sistemi europei di certificazione della cybersecurity dei prodotti, dei servizi e dei processi. Il citato Regolamento ha lo scopo di rendere sicuro il mercato unico digitale, di favorire un elevato livello di cybersecurity, di cyber resilienza e di fiducia all’interno dell’Unione. Con riguardo al ruolo affidato ad ENISA, invece, il CyberAct ha previsto nuove competenze, per prima quella legata al conseguimento di un elevato livello comune di cybersecurity nell’Unione, anche sostenendo attivamente gli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione nelle azioni di miglioramento delle best practices.
Poiché le minacce e i reati informatici sono in aumento in termini di quantità e di complessità, l’UE si sta adoperando per migliorare le sue capacità di risposta e salvaguardare l’integrità, la sicurezza e la resilienza dell’infrastruttura digitale così come delle reti e dei servizi di comunicazione. Una risposta più forte in materia di cybersecurity in UE può garantire una maggiore fiducia nella tecnologia digitale e proteggere un ciberspazio aperto e sicuro. Nel corso del Consiglio europeo straordinario dell’ottobre 2020, i leader dell’UE hanno chiesto il potenziamento della capacità dell’UE di proteggersi dalle minacce informatiche, provvedere a un ambiente di comunicazione sicuro, soprattutto attraverso la crittografia quantistica, e garantire l’accesso ai dati a fini giudiziari e di contrasto.
Nel marzo 2021 il Consiglio ha adottato conclusioni sulla Strategia dell’UE in materia di cybersecurity[7], che è stata presentata dalla Commissione europea e dall’Alto Rappresentante nel dicembre 2020. Tale strategia delinea il quadro relativo all’azione dell’Unione al fine di: proteggere i cittadini e le imprese dell’UE dalle minacce informatiche; promuovere sistemi informativi sicuri; proteggere un ciberspazio globale, aperto, libero e sicuro. Le conclusioni, in cui si rileva che la cibersicurezza è essenziale per costruire un’Europa resiliente, verde e digitale, stabiliscono l’obiettivo fondamentale di raggiungere l’autonomia strategica mantenendo allo stesso tempo un’economia aperta. Ciò implica anche il rafforzamento della capacità di compiere scelte autonome nel settore della cybersecurity allo scopo di potenziare la leadership tecnologica e le capacità strategiche dell’UE[8].
La nuova strategia di cybersecurity mira a salvaguardare un Internet globale e aperto, e allo stesso tempo offre garanzie, non solo per assicurare la sicurezza, ma anche per proteggere i valori europei e i diritti fondamentali di tutti. Inoltre, la Commissione sta facendo proposte per affrontare la resilienza sia informatica che fisica di entità e reti critiche: una revisione della Direttiva NIS e una nuova Direttiva sulla resilienza dei soggetti critici[9]. Le nuove iniziative strategiche comprendono: un cyberscudo europeo composto da centri operativi di sicurezza; un’unità congiunta per il ciberspazio che riunisca tutte le comunità operanti nel settore; soluzioni europee per rafforzare la sicurezza di Internet a livello mondiale; un regolamento per garantire un’Internet delle cose sicure; un pacchetto di strumenti per la diplomazia informatica; una cooperazione rafforzata nell’ambito della cyberdifesa; un programma d’azione ONU in materia di sicurezza internazionale nel ciberspazio; dialoghi informatici con i paesi terzi e con la NATO; un’agenda UE per lo sviluppo delle capacità informatiche esterne. Il piano per la ripartenza europeo, con i 1.840 miliardi di Next Generation EU e del nuovo quadro finanziario pluriennale, deve avere in primo piano una transizione digitale accompagnata dalla strategia per la cybersecurity, che punti anche ad un’autonomia europea in un settore particolarmente strategico. Il Parlamento europeo ha approvato programmi specifici, come Digital Europe, che stanza 1.7 miliardi per questo settore, prevendendo la realizzazione di un centro di competenza a Bucarest. Anche il Fondo Europeo per la Difesa, dotato di otto miliardi, può essere utilizzato per realizzare infrastrutture fisiche per la cybersecurity e sostenere sviluppo tecnologico e innovazione. Saranno necessari sforzi di coordinamento tra gli Stati membri, le autorità nazionali competenti e le aziende private per creare un clima di fiducia reciproca per condividere informazioni e rafforzare così la leadership digitale europea. La trasformazione digitale può quindi diventare un progetto europeo, fornendo ai cittadini una società digitale basata su regole e valori europei, che può servire da modello per il resto del mondo.

Potrebbe interessarti:

Note

[1] Consiglio europeo, EUCO 22/21, 16 dicembre 2021, Conclusioni.
[2] Commissione europea, Discorso sullo stato dell’Unione 2021 della Presidente von der Leyen, Strasburgo, 15 settembre 2021.
[3] Regulation (EC) No 460/2004 of the European Parliament and of the Council of 10 March 2004 establishing the European Network and Information Security Agency, art. 1.1.
[4] European Commission, JOIN(2013) 1, 7 February 2013, Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace.
[5] DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union.
[6] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act).
[7] European Commission, JOIN(2020) 18 final, 16 December 2020, The EU’s Cybersecurity Strategy for the Digital Decade.
[8] Council of the EU, Comunicato Stampa 219/21, 22 March 2021, Cibersicurezza: il Consiglio adotta conclusioni sulla strategia dell’UE in materia di cibersicurezza.
[9] European Commission, Press Release, 16 December 2020, New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient.

Foto copertina: Strategia-europea-sicurezza-informatica

RELATED ARTICLESMORE FROM AUTHOR