Europa: il ruolo della sicurezza informatica

Lo scorso 27 maggio la Commissione europea ha approvato il documento Europe’s moment:  Repair and Prepare for the Next Generation, in cui si fa riferimento ad una nuova strategia di cybersecurity, necessaria per affrontare le sfide future e le minacce emergenti, messe in luce dalla crisi sanitaria attuale. Per comprendere l’importanza che la sicurezza informatica ricopre all’interno delle politiche UE, è bene delineare un quadro dei principali organi e dei riferimenti normativi in ambito cyber.

Europa: il ruolo della sicurezza informatica - Geopolitica.info

L’UE e la cybersecurity

L’Unione Europea ha riconosciuto già da tempo l’importanza che il dominio cyber riveste per la sicurezza e la difesa della società. Nel 2013 l’allora Alto rappresentante dell’Unione europea per gli affari esteri e la politica di sicurezza, Catherine Ashton, ha evidenziato la centralità di una normativa europea in ambito cyber, e “perché il cyberspazio rimanga aperto e libero è necessario che nell’ambiente online si applichino le stesse norme, gli stessi principi e gli stessi valori che l’Unione europea difende offline”. La dichiarazione, poi trascritta come Strategia dell’Unione europea per la cybersicurezza, si articola intorno a cinque priorità strategiche:

• raggiungere la cyber-resilienza;

• ridurre drasticamente il cybercrime;

• sviluppare una politica e capacità di cyberdefense connesse alla Politica di sicurezza e di

difesa comune (PSDC);

• sviluppare le risorse industriali e tecnologiche per la sicurezza in ambito cyber;

• creare una politica internazionale coerente dell’Unione europea sul cyberspazio e promuovere i valori costitutivi dell’UE.

La dichiarazione è stata un primo modello di strategia europea per la cybersecurity.

L’adozione della Directive on security of network and information systems (NIS), entrata in vigore nell’agosto del 2016, ha segnato un ulteriore progresso nella regolazione del dominio cyber a livello UE.  La direttiva, riconoscendo il ruolo chiave che le reti e i sistemi informativi svolgono nella società, ha l’obiettivo di rafforzare la sicurezza e aumentare la resilienza delle infrastrutture critiche dei paesi membri. A tal fine, la NIS ha imposto la creazione da parte degli stati membri, di una strategia nazionale per la sicurezza informatica. Essa ha, poi, creato una rete di “gruppi di intervento per la sicurezza informatica in caso di incidente”, i Computer Security Incident Response Team (CSIRT).

Con l’adozione della NIS, l’Unione Europea ha voluto creare un quadro normativo generale di riferimento al quale gli stati membri si adeguassero. In particolare, la rete CSIRT ha permesso un più ampio e maggiormente fluido scambio di informazioni a livello UE. Tuttavia, la NIS richiede un livello di “armonizzazione minima” agli obblighi dettati e questo implica che l’implementazione della direttiva differisca enormemente tra i paesi membri. Inoltre, come sottolinea l’esperta di cybersecurity Simona Autolitano nel report dello IAI A Europe Fit for the Digital Age: The Quest for Cybersecurity Unpacked, “la Direttiva non riflette più il panorama delle minacce attuali, che includono il maggiore utilizzo e una maggiore criticità dei servizi cloud”.

L’implementazione della Direttiva NIS, da attuare entro il 9 maggio 2018, è stata inclusa come step fondamentale per il raggiungimento di una maggiore sicurezza delle reti dall’Alto rappresentante dell’Unione europea per gli affari esteri e la politica di sicurezza nella comunicazione congiunta al Parlamento europeo e al Consiglio del settembre 2017.  La nuova strategia delineata, dal titolo Resilienza, deterrenza e difesa: verso una cybersicurezza forte per l’UE, mira ad accrescere le capacità e la preparazione degli Stati membri e delle imprese in materia di cybersecurity, a migliorare la cooperazione e il coordinamento tra gli Stati membri e ad aumentare la consapevolezza dei cittadini e delle imprese su questi temi. Altri elementi fondamentali della dichiarazione sono la proposta di rafforzamento del ruolo dell’Agenzia dell’Unione europea per la cybersicurezza (ENISA) e la proposta per la creazione di un sistema europeo di certificazione in materia di sicurezza informatica, che attesti la conformità dei prodotti e dei servizi agli standard delineati.

Queste due misure sono state implementate dal Cybersecurity Act, emanato dal Parlamento europeo nell’aprile del 2019. L’ENISA, che fino a quel momento aveva svolto compiti di consulenza, ha assunto un mandato permanente, acquisendo sia il ruolo di centro di informazione europeo e di condivisione di best practices nella cybersecurity, sia il ruolo di garante del funzionamento della rete di CSIRT europei. Inoltre, il Cybersecurity Act “istituisce un quadro per l’introduzione di sistemi europei di certificazione della cybersicurezza al fine di garantire un livello adeguato dei prodotti TIC, servizi TIC e processi TIC nell’Unione”. Questo provvedimento è finalizzato a conseguire un maggiore livello di sicurezza delle reti informatiche e una maggiore uniformità delle certificazioni a livello europeo.

L’ENISA e i centri operativi

Dopo aver delineato i principali riferimenti normativi, è utile approfondire i centri operativi europei in ambito cyber. L’ENISA, istituita nel 2004 dal Regolamento 460/2004, è il centro europeo di expertise per la sicurezza informatica. L’agenzia svolge attività di consulenza e fornisce soluzioni per gli stati membri, in particolare attraverso l’assistenza nello sviluppo delle strategie di cybersecurity nazionali e attraverso la promozione della cooperazione tra i CSIRT. L’agenzia collabora attivamente con l’European Police Office (Europol) e l’European Cyber Crime Center (EC3), in attività di ricerca e comunicazione. Inoltre, l’ENISA dispone della Cyber Exercise Platform (CEP), creata per supportare gli utenti nelle attività di prevenzione e di gestione degli incidenti informatici.

Un organo centrale nel contrasto alle nuove minacce è l’European Cyber Crime Center, creato nel 2013 presso l’Europol. Esso è coinvolto attivamente in molteplici operazioni di polizia ed elabora una risposta alle minacce basata su un approccio su tre fronti: strategy, forensics e operations.

Infine, merita una menzione l’European Cyber Security Organization (ECSO), il quale da una parte collabora con la Commissione europea per promuovere la ricerca e l’innovazione, dall’altra promuove e assiste gli stati membri e il settore privato nell’implementazione di politiche di sicurezza informatica.

La rete dei CSIRT è fondamentale, in quanto costituisce, insieme al punto di contatto unico, un collegamento tra i vari stati membri. La creazione di organi collegati è funzionale a una più ampia condivisione di informazioni e, di conseguenza, a una maggiore capacità di prevenzione degli attacchi.

Una nuova strategia per la sicurezza informatica

La crisi sanitaria mondiale ha evidenziato come la sicurezza europea sia sempre più legata alle reti informatiche. Questo, molto probabilmente, significa che l’Unione Europea dovrà incrementare la resilienza delle infrastrutture e adottare nuove ed efficaci misure per rispondere alle minacce emergenti.

Il documento Europe’s moment: Repair and Prepare for the Next Generation della Commissione europea mette in luce l’importanza che la digitalizzazione e le nuove tecnologie rivestono nell’aumentare l’autonomia strategica dell’UE. Per una ripartenza digitale, il documento sottolinea l’importanza di quattro elementi:

  • Investimenti per una maggiore e migliore connettività, in particolare la diffusione del 5G che aumenterà l’autonomia strategica dell’UE;
  • Una maggior presenza industriale e tecnologica in comparti strategici della catena di approvvigionamento digitale;
  • La creazione di un’economia basata su dati reali e spazi comuni europei di dati in settori e ambiti chiave;
  • Un ambiente imprenditoriale agevolato e più equo.

La nuova strategia europea prende atto dell’attuale scenario mondiale. Consapevole delle sfide che la pandemia creerà per gli stati membri, l’Unione europea si pone l’obiettivo di una rinnovata cooperazione, soprattutto in settori strategici, quali quello informatico. Il dominio cyber ha rivelato, durante la pandemia, la sua pericolosità: l’emergere di nuove minacce informatiche ha messo in luce l’importanza della prevenzione e della cooperazione tra stati membri, attraverso la condivisione di informazioni e di best practices.

L’UE, attraverso questo documento, si è rivelata ancora una volta intenzionata a rafforzare il sistema multilaterale, ponendo l’attenzione sull’importanza rivestita dalla collaborazione con le Nazioni Unite nell’assicurare la sicurezza ai cittadini. Poiché gli attacchi informatici, al giorno d’oggi, sono uno strumento di potere politico utilizzato perlopiù dagli stati, l’UE dovrebbe concentrare la nuova strategia sullo sviluppo di nuove capacità per aumentare la resilienza delle infrastrutture critiche. È importante sottolineare che l’Unione, dal maggio del 2019 ha il potere di imporre sanzioni in risposta ad attacchi informatici che rappresentano una minaccia per gli stati membri, come riportato dal Consiglio europeo. Inoltre, l’UE dispone anche del potere di rispondere a un attacco proveniente da uno stato terzo o da un’organizzazione internazionale, il che presenta una novità fondamentale nella politica di sicurezza europea.

Nonostante i progressi fatti dall’Unione europea per incrementare la sicurezza informatica, persiste una notevole disparità fra i vari stati membri, che hanno implementato in modo diverso le direttive europee. In particolare, la gestione degli incidenti informatici è affidata ai CSIRT e da altri organi, secondo regole dettate dal governo nazionale, per quanto conformi alla normativa UE in materia. Infine, l’Unione, per aumentare la resilienza delle infrastrutture critiche, dovrà promuovere la cooperazione, investire nella formazione e rafforzare le capacità informatiche all’interno degli Stati membri.