Il presente articolo è stato pubblicato nell’ambito dell’approfondimento “Ambizioni e vincoli dell’autonomia strategica europea. Aspetti politici, operativi e industriali“, qui consultabile, del Centro Studi Geopolitica.info sviluppato per l’Osservatorio Politica Internazionale del Parlamento Italiano.
Introduzione
La Commissione von der Leyen ha iniziato il proprio mandato a dicembre 2019, poco prima dell’inizio della pandemia di Covid-19. La digitalizzazione, sospinta dalle limitazioni della circolazione degli individui nell’ambito della gestione della pandemia, ha fatto aumentare la superficie di impatto di potenziali incidenti cyber. A metà mandato, l’invasione russa dell’Ucraina ha introdotto ulteriori minacce in tale ambito, dovute sia agli attacchi diretti di attori statali e semi-statali della Russia verso stati membri dell’UE, sia allo spillover di attacchi rivolti allo scenario di guerra, ma le cui conseguenze si sono riverberate all’esterno. Questi eventi hanno sollevato due criticità: la necessità generale di dover coprire un maggior spettro di infrastrutture, servizi e strumenti, rispetto a quanto precedentemente fatto; la necessità puntuale di istituzioni in grado di abilitare il rapido coordinamento, la risoluzione e l’eventuale risposta agli attacchi ricevuti.
Occorre sempre considerare che lo sviluppo di politiche europee comuni sulla cybersecurity soffre della difficoltà di armonizzare la cacofonia strategica tra stati membri, attenuabile attraverso processi decisionali basati sul community method. Un’ulteriore limitazione alla disponibilità di strumenti di policy, eccezion fatta per i semplici strumenti regolatori, è data dall’assenza di tech champion in UE e dal quadro di preferenze e di relazioni differenti tra stati e attori privati. L’impegno della Commissione per sviluppare politiche comuni è aumentato negli ultimi anni, sfruttando le condizioni strutturali di interdipendenza del cyberspazio e in assenza di rilevanti attività degli apparati legislativi dei singoli stati, che spesso si trovano ad approvare politiche negoziate a livello europeo dai rispettivi governi. Finora, la Commissione ha sfruttato delle finestre di opportunità per costruire consenso su singoli provvedimenti collocandoli nel quadro strategico basato sui principi di autonomia strategica e cyber resilience.
In questo panorama, risulta interessante osservare le lezioni apprese dagli eventi sopracitati. Il capitolo – lungi dall’offrire una trattazione onnicomprensiva dello scenario – offre una panoramica delle iniziative asimmetriche e delle iniziative comunitarie nell’ambito delle politiche di cybersecurity intraprese durante il mandato della Commissione von der Leyen.
Iniziative asimmetriche e iniziative comunitarie
Le iniziative introdotte dall’UE negli ultimi anni sono principalmente di due tipi: le iniziative comunitarie e le iniziative asimmetriche. Identifico come iniziative comunitarie tutte quelle politiche che, nella loro ideazione, strutturazione e implementazione coinvolgono tutti gli stati membri. Chiamo iniziative asimmetriche, invece, quelle iniziative che – anche se promosse dalla Commissione o da altre istituzioni UE – coinvolgono solamente alcuni stati membri.
Le iniziative asimmetriche più rilevanti fanno capo alla Permanent Stuctured Cooperation (PESCO). Tra i progetti PESCO, quattro hanno un ruolo rilevante nel quadro delle politiche di cybersecurity sviluppate durante il mandato della Commissione von der Leyen. Il primo concerne la realizzazione del Cyber and Information Domain Coordination Centre (CIDCC), ovvero di un «elemento militare multinazionale permanente, in cui […] gli Stati membri partecipanti contribuiscano costantemente con personale nazionale, ma decidano sovranamente, caso per caso, per quale minaccia, incidente e operazione contribuire con mezzi o informazioni». IL CIDCC punta a coordinare agenzie civili e militari, incluso il Cyberspace Operations Centre della NATO.
Il secondo è il progetto sui Cyber Rapid Response Teams and Mutual Assistance in Cyber Security (CRRT), che punta a mettere a disposizione strumenti sviluppati in comune, ad assistere nella valutazione delle vulnerabilità e nella rilevazione, riconoscimento e mitigazione delle minacce informatiche. Il CRRT è stato il primo progetto PESCO a raggiungere la piena capacità operativa nel maggio 2021. È stato inoltre uno dei primi strumenti attivati in supporto all’Ucraina in seguito all’invasione russa.
Un ulteriore progetto degno di nota è la Cyber Threats and Incident Response Information Sharing Platform (CTIRISP). Tra gli obiettivi risalta quello di sviluppare anche “misure di difesa attive”. Allo CTIRISP sono stati allineati gli obiettivi del progetto di sviluppo collaborativo industriale Pandora, attraverso il quale è stata realizzata un’interfaccia per rilevare attacchi informatici in tempo reale, proteggere apparecchiature elettroniche, e condividere informazioni sulle minacce a livello nazionale e internazionale.
Infine, vi è il progetto delle Cyber Ranges Federations (CRF), nato nel 2017 per mettere a sistema le strutture di simulazione e addestramento cyber a disposizione degli stati membri.
Le iniziative comunitarie principali in materia di cybersecurity riguardano gli atti proposti dalla Commissione, le comunicazioni congiunte, i regolamenti o le direttive approvate dalle altre istituzioni UE, che impattano – più o meno velocemente e direttamente – tutti gli stati membri dell’Unione.
Nel dicembre 2020 la Commissione e l’Alto Rappresentante hanno presentato la EU Cybersecurity Strategy. La Strategia propone azioni in tre aree: “Resilience, Technological Sovereignty and Leadership”; “Building Operational Capacity to prevent, deter and respond”; “Advancing a Global and Open Cyberspace”. Uno degli elementi più interessanti riguarda l’istituzione di una Joint Cyber Unit (JCU), imperniata sui Rapid Response Teams esistenti.
Nello stesso mese, è stata presentata la proposta di revisione della Directive on Security of Network and Information Systems (NIS) del 2016, che aumenta le competenze e le responsabilità dello CSIRTs Network e dell’agenzia di cybersecurity europea, l’ENISA. La NIS2 formalizza l’esistenza dello European Cyber Crisis Liaison Organisation Network (CyCLONe), con due finalità: quella di facilitare la cooperazione tra le agenzie e le autorità nazionali responsabili della cyber crisis management, mettendole a sistema; quella di riordinare il quadro istituzionale, collocando CyCLONe al “livello operativo”, a metà strada tra il “livello tecnico” dello CSIRTs Network e il livello politico.
Il Cyber Resilience Act è stato proposto dalla Commissione nel settembre 2022 e consiste in una regolazione dei requisiti di sicurezza dei prodotti del settore privato. Da un lato, l’assegnazione di responsabilità agli attori privati che erogano servizi o immettono prodotti digitali nel mercato potrebbe risultare utile in termini di accountability; dall’altro, potrebbe comportare limitazioni indirette per gli attori meno dotati di risorse per l’adeguamento e per i prodotti che sfruttano componenti open source.
Il 10 novembre 2022, la Commissione e l’Alto Rappresentante hanno rilasciato la EU Policy on Cyber Defence. Il documento apre esplicitamente con un richiamo allo scenario cyber aggravato dall’invasione russa dell’Ucraina, impiegato per giustificare l’aumento degli “investimenti nel full-spectrum di cyber defence capabilities, incluse le active defence capabilities”. La Policy è fondamentalmente la trasposizione delle aree di azione della Cybersecurity Strategy nella politica di difesa. Mira, inoltre, a situare i progetti PESCO precedentemente citati nel quadro istituzionale generale e a sollecitare lo sfruttamento di tutte le iniziative di finanziamento per ricerca, innovazioni e capability development dell’UE a sostegno della cooperazione tra gli stati membri.
Anche la proposta della Commissione del Cyber Solidarity Act nell’aprile 2023 contiene diversi richiami al contesto della guerra in Ucraina. I contenuti principali riguardano: la realizzazione di una rete di coordinamento di Security Operations Centers (SOC), denominata Cyber Security Shield, per il monitoraggio delle minacce e degli incidenti; l’implementazione di un meccanismo di Cyber Emergency, in cui un ruolo rilevante sarà svolto dalla Cybersecurity Reserve; l’istituzionalizzazione di un meccanismo di Incident Review, volto alla condivisione di informazioni e sviluppo della conoscenza tra stati membri.
A fianco di queste politiche più strettamente di cybersecurity, sono state approvati atti riguardanti il quadro generale del funzionamento delle istituzioni, di regolazione dei diversi attori in gioco e rispetto alle politiche di investimento nell’ambito del cyberspazio e di diverse componenti delle relative catene di valore.
Conclusioni
Da questa parziale fotografia emerge un tentativo di riordino e sistematizzazione degli strumenti e delle istituzioni dell’UE. Apparentemente, l’obiettivo sembra quello di aumentare la flessibilità del quadro istituzionale, andando nella direzione di evitare una proliferazione e ossificazione di istituzioni politiche poco capaci di adattarsi alle necessità e in grado di cooperare con il settore privato. I diversi provvedimenti riconoscono in capo agli attori privati una serie di competenze peculiari. Nella Cyber Defence Policy, la necessità della cooperazione con attori privati del cyberspazio viene riconosciuta come lezione appresa dallo scenario della guerra in Ucraina. Nel Cyber Solidarity Act questo punto acquisisce un rilievo tale da inserire la Cybersecurity Reserve tra i provvedimenti centrali. D’altra parte, il Cyber Resilience Act e la Direttiva NIS2 assegnano al settore privato maggiori responsabilità rispetto alla necessità di fornire servizi e prodotti con alti standard di sicurezza.
Emergono, inoltre, due blocchi di strumenti che vanno in direzione opposta. Da una parte, in quasi tutti gli atti è presente un’attenzione alla cyberdiplomacy e alla necessità di promuovere la cooperazione a livello internazionale, anche supportando stati terzi, vista l’oramai conclamata necessità di dovere agire sul fronte diplomatico per promuovere comportamenti positivi nel cyberspazio. Dall’altra, soprattutto in seguito all’invasione dell’Ucraina, appaiono frequenti richiami a strumenti di difesa attiva nel cyberspazio: in questo caso, a oggi, non è ancora ben chiara la direzione che si vuole intraprendere a livello europeo. Le giustificazioni possono essere molteplici: dalla complessità di realizzare e attivare delle strutture capaci di agire offensivamente nel cyberspazio, fino alla maggiore complessità di giustificare azioni offensive piuttosto che difensive o di resilienza.
Infine, la digitalizzazione nello scenario pandemico sembra avere accelerato lo sviluppo delle politiche di cybersecurity verso una direzione già tracciata. La guerra in Ucraina sembra avere sospinto verso alcuni adattamenti, tuttavia imperniati su strumenti in fase di progettazione da tempo, nonché dialoganti con la parallela evoluzione dell’impianto strategico della NATO. Un’analisi approfondita dell’implementazione delle politiche collegate a questi interventi, potrà chiarire l’eventuale preponderanza di meccanismi di path-dependency o di influenza sostanziale degli eventi esterni.
Punti essenziali
- L’azione della Commissione von der Leyen ha iniziato a mettere a sistema le iniziative asimmetriche dei diversi stati membri dell’UE
- L’azione della Commissione controbilancia spesso un’inattività diffusa dei parlamenti degli stati membri rispetto ai temi della cybersecurity
- A fronte di un quadro di massima in continuità con le strategie consolidate di cybersecurity, iniziano ad apparire alcune piccole novità, tra cui l’attenzione anche a capacità offensive nel cyberspazio. Resta da scoprire quale sia il fattore mobilitante di queste scelte e, soprattutto, quali siano le posizioni particolari dei singoli stati membri in merito.
