Cybersicurezza: le proposte del Consiglio per la strategia UE
Nelle sue conclusioni sulla strategia europea per la cybersicurezza il Consiglio pone l'accento sul 5G e sul cyberspazio, invitando la Commissione europea a definire un piano di attuazione dettagliato.
Cloud, 5G e intelligenza artificiale per il futuro digitale dell'Europa post Covid-19
La nuova strategia per la cybersicurezza - presentata a dicembre 2020 dalla Commissione UE - mira a salvaguardare un Internet globale e aperto, offrendo nel contempo un meccanismo di salvaguardia, non solo per garantire la sicurezza ma anche per proteggere i valori europei e i diritti fondamentali di tutti.
Cosa prevede la strategia europea per la cybersicurezza
- La proposta della Commissione UE
- I pilastri
- Garantire la sicurezza delle reti di prossima generazione: 5G e oltre
- Sicurezza delle reti e infrastrutture critiche: rivedere le regole UE - Le conclusioni del Consiglio
I pilastri della strategia UE per la cybersicurezza
La strategia europea per la cybersecurity contiene proposte concrete di iniziative politiche, di regolamentazione e di investimento in tre aree d'azione:
- Resilienza, sovranità tecnologica e leadership
In questa linea d'azione la Commissione propone di riformare le norme sulla sicurezza delle reti e dei sistemi informatici nell'ambito di una direttiva sulle misure per un elevato livello comune di cybersicurezza in tutta l'Unione (direttiva NIS rivista o "NIS 2"), al fine di aumentare il livello di cyber-resilienza dei settori pubblici e privati essenziali: strutture ospedaliere, reti energetiche, ferrovie, ma anche centri dati, amministrazioni pubbliche, laboratori di ricerca e produzione di dispositivi medici e medicinali, nonché altre infrastrutture e servizi essenziali che devono rimanere impermeabili in un contesto di minacce sempre più repentine e complesse.
La Commissione propone inoltre di avviare una rete di centri operativi per la sicurezza in tutta l'UE, alimentati dall'intelligenza artificiale (IA), che costituirà per l'UE una vera e propria barriera di cybersicurezza in grado di rilevare tempestivamente i segnali di un attacco informatico e consentire un'azione proattiva prima che si verifichino danni.
Ulteriori misure comprenderanno un sostegno dedicato alle piccole e medie imprese (PMI) nel quadro dei poli dell'innovazione digitale e maggiori sforzi per migliorare le competenze della forza lavoro, attirare e trattenere i migliori talenti in materia di cybersicurezza e investire per una ricerca e un'innovazione aperta, competitiva e basata sull'eccellenza.
- Sviluppo della capacità operativa di prevenzione, deterrenza e risposta
Nell'ambito di un processo progressivo e inclusivo portato avanti con gli Stati membri, la Commissione sta preparando, una nuova unità congiunta per il cyberspazio allo scopo di rafforzare la collaborazione tra gli organismi dell'UE e le autorità degli Stati membri responsabili della prevenzione, della deterrenza e della risposta agli attacchi informatici, comprese le comunità civili, diplomatiche, di contrasto e di difesa informatica.
Sono state presentate anche proposte per rafforzare il pacchetto di strumenti della diplomazia informatica dell'UE al fine di prevenire, dissuadere e rispondere in modo efficace alle attività informatiche dolose, in particolare quelle che interessano le nostre infrastrutture, le catene di fornitura, le istituzioni e i processi democratici essenziali.
L'UE mira inoltre a rafforzare ulteriormente la collaborazione in materia di cyberdifesa e a sviluppare capacità di cyberdifesa all'avanguardia, basandosi sul lavoro svolto dall'Agenzia europea per la difesa e incoraggiando gli Stati membri a sfruttare appieno la cooperazione strutturata permanente e il Fondo europeo per la difesa.
- Promozione di un cyberspazio globale e aperto grazie a una maggiore cooperazione
L'UE intensificherà la collaborazione con i partner internazionali per rafforzare l'ordine mondiale basato su regole, promuovere la sicurezza e la stabilità nel cyberspazio e proteggere i diritti umani e le libertà fondamentali online. Promuoverà norme e standard internazionali che riflettano questi valori fondamentali dell'UE cooperando con i suoi partner internazionali nell'ambito delle Nazioni Unite e in altri contesti pertinenti.
L'UE rafforzerà ulteriormente il suo pacchetto di strumenti della diplomazia informatica e intensificherà gli sforzi per la creazione di capacità informatiche nei paesi terzi sviluppando un'apposita agenda esterna dell'UE. Saranno intensificati i dialoghi in materia di cybersicurezza con i paesi terzi e le organizzazioni regionali e internazionali, nonché con la comunità multipartecipativa. L'UE istituirà inoltre una rete per la diplomazia informatica in tutto il mondo per promuovere la propria visione del cyberspazio.
L'UE si è impegnata a sostenere la nuova strategia per la cybersicurezza nei prossimi sette anni con investimenti nella transizione digitale dell'UE a livelli finora mai raggiunti, attraverso il Quadro finanziario pluriennale 2021-2027, in particolare tramite:
Gli Stati membri sono pertanto incoraggiati a utilizzare appieno il Recovery and resilience facility per rafforzare la cybersicurezza e a fare investimenti a pari livello di quelli dell'UE. L'obiettivo è raggiungere fino a 4,5 miliardi di euro di investimenti combinati da parte dell'UE, degli Stati membri e dell'industria, in particolare nell'ambito del Centro di competenza sulla cybersicurezza e della rete dei centri di coordinamento e garantire che una parte importante di questi investimenti siano effettivamente attribuiti alle PMI.
La Commissione mira inoltre a rafforzare le capacità industriali e tecnologiche dell'UE in materia di cybersicurezza, anche tramite progetti finanziati congiuntamente dall'UE e dai bilanci nazionali. L'UE ha l'opportunità unica di mettere in comune le proprie risorse per rafforzare la sua autonomia strategica e promuovere la sua leadership nel campo della cybersicurezza lungo tutta la catena di fornitura digitale (compresi dati e cloud, tecnologie per processori di prossima generazione, connettività ultrasicura e reti 6G), in linea con i suoi valori e le sue priorità.
Sicurezza delle reti e infrastrutture critiche: rivedere le regole UE
La Commissione UE propone anche di aggiornare le misure esistenti a livello europeo per proteggere i servizi e le infrastrutture essenziali dai rischi sia informatici che fisici.
Da un lato c'è la proposta di revisione della direttiva NIS - ribattezzata direttiva NIS rivista o NIS 2 - sulle misure per un elevato livello comune di cybersicurezza in tutta l'Unione, che riguarderà le entità di medie e grandi dimensioni di diversi settori in base alla loro importanza per l'economia e la società. La direttiva NIS 2 renderà più rigidi i requisiti di sicurezza imposti alle imprese, affronterà la sicurezza delle catene di fornitura e delle relazioni con i fornitori, semplificherà gli obblighi di notifica, introdurrà misure di vigilanza più rigorose per le autorità nazionali e obblighi di esecuzione più severi e avrà l'obiettivo di armonizzare i regimi sanzionatori in tutti gli Stati membri. La normativa contribuirà ad aumentare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale e dell'UE.
Dall'altro lato c'è la direttiva sulla resilienza dei soggetti critici che intende estendere sia l'ambito di applicazione, sia la profondità della direttiva sulle infrastrutture critiche europee del 2008. Sono ora contemplati dieci settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.
Nell'ambito della direttiva ciascuno Stato membro adotterebbe una strategia nazionale per garantire la resilienza dei soggetti critici ed effettuerebbe valutazioni periodiche dei rischi. Tali valutazioni contribuirebbero a individuare un sottoinsieme più ristretto di soggetti critici cui incomberebbero obblighi volti a rafforzarne la resilienza di fronte ai rischi non informatici, comprese le valutazioni dei rischi a livello di soggetto, l'adozione di misure tecniche e organizzative e la notifica degli incidenti.
A sua volta la Commissione fornirebbe sostegno complementare agli Stati membri e ai soggetti critici, per esempio sviluppando una visione d'insieme a livello dell'UE dei rischi transfrontalieri e intersettoriali e delle migliori pratiche, metodologie e attività di formazione e di esercizio transfrontaliere per testare la resilienza dei soggetti critici.
Garantire la sicurezza delle reti di prossima generazione: 5G e oltre
Nell'ambito della nuova strategia per la cybersicurezza gli Stati membri sono incoraggiati a portare a termine l'attuazione del pacchetto di strumenti dell'UE per le reti 5G, che definisce un approccio globale e basato sui rischi oggettivi per la sicurezza delle reti 5G e di prossima generazione.
Sebbene la maggior parte degli Stati membri è già a buon punto nell'implementazione delle misure raccomandate, ora dovrebbero mirare a completarne l'attuazione entro il secondo trimestre del 2021 e a garantire che i rischi individuati siano adeguatamente mitigati, in modo coordinato, in particolare nell'ottica di ridurre al minimo l'esposizione ed evitare la dipendenza dai fornitori ad alto rischio.
Consulta la strategia UE per la cybersicurezza
Le conclusioni del Consiglio
Nelle sue conclusioni sulla strategia UE per la cybersicurezza, adottate il 22 marzo 2021, il Consiglio evidenzia una serie di settori d'intervento per i prossimi anni, tra cui:
- i piani per la creazione di una rete di centri operativi di sicurezza in tutta l'UE per monitorare e anticipare i segnali di attacchi alle reti
- la definizione di un'unità congiunta per il cyberspazio che fornisca una chiara focalizzazione del quadro di gestione delle crisi di cibersicurezza dell'UE
- l'impegno ad applicare le misure del pacchetto di strumenti dell'UE per il 5G e completarne rapidamente l'attuazione nonché a proseguire gli sforzi volti a garantire la sicurezza delle reti 5G e lo sviluppo delle future generazioni di reti
- la necessità di uno sforzo congiunto per accelerare l'adozione di norme di sicurezza internet chiave, fondamentali per aumentare il livello generale di sicurezza e apertura dell'internet globale e rafforzare nel contempo la competitività dell'industria dell'UE
- la necessità di sostenere lo sviluppo di una crittografia avanzata quale strumento per proteggere i diritti fondamentali e la sicurezza digitale e di garantire, nel contempo, che le autorità di contrasto e giudiziarie siano in grado di esercitare i loro poteri, sia online che offline
- l'efficacia e l'efficienza del pacchetto di strumenti della diplomazia informatica, prestando particolare attenzione alla prevenzione e al contrasto degli attacchi informatici con effetti sistemici che potrebbero incidere sulle catene di approvvigionamento, sulle infrastrutture critiche, sui servizi essenziali e sulle istituzioni e sui processi democratici e compromettere la sicurezza economica
- la proposta sull'eventuale istituzione di un gruppo di lavoro di intelligence informatica al fine di rafforzare la capacità specifica dell'European Intelligence and Situation Centre (INTCEN) in questo settore
- l'importanza di rafforzare la cooperazione con le organizzazioni internazionali e i paesi partner al fine di promuovere la comprensione condivisa del panorama delle minacce informatiche
- la proposta di elaborare un'agenda dell'UE per lo sviluppo delle capacità informatiche esterne al fine di aumentare la cyber-resilienza e le capacità a livello mondiale
Al fine di garantire lo sviluppo, l'attuazione e il monitoraggio delle proposte presentate nella strategia in materia di cybersicurezza, il Consiglio incoraggia la Commissione e l'Alto rappresentante UE a definire un piano di attuazione dettagliato. Il Consiglio monitorerà inoltre i progressi compiuti nell'attuazione delle conclusioni mediante un piano d'azione che sarà periodicamente riesaminato e aggiornato.