Nel mondo interconnesso di oggi, gli attacchi informatici, le minacce ibride e le vulnerabilità nelle infrastrutture critiche rappresentano alcune delle sfide più urgenti per gli Stati membri dell’UE. Questi problemi non solo minacciano la sicurezza e la stabilità dei Paesi membri, ma possono compromettere anche il funzionamento del Digital Single Market.
L’azione regolatoria europea nella cybersecurity
Negli ultimi anni, l’Unione Europea ha compiuto passi significativi verso la creazione di un quadro di cibersicurezza solido e uniforme a livello comunitario. La protezione delle infrastrutture critiche è diventata una priorità, portando all’adozione di diverse misure legislative volte a rafforzare la resilienza dei servizi e dei settori essenziali. Tra le iniziative principali vi sono normative quali:
- Regolamento (UE) 2019/881, Cybersecurity Act che stabilisce un quadro di riferimento per la certificazione di cibersicurezza di prodotti, servizi e processi ICT e definisce gli obiettivi e l’organizzazione dell’Agenzia europea per la cibersicurezza (ENISA).
- Regolamento (UE) 2022/2554, DORA che definisce obblighi per gli operatori del settore finanziario in materia resilienza operativa delle infrastrutture digitali.
- Direttiva (UE) 2022/2555, NIS2 Directive: che espande e rafforza la portata delle misure di sicurezza informatica introdotte con la Direttiva NIS 1 al fine di raggiungere un livello comune elevato di cibersicurezza.
- Direttiva (UE) 2022/2557, CER Directive che affronta i temi di resilienza di entità e settori critici essenziali per l’economia e la società.
- Regolamento (UE) 2024/2847, Cyber Resilience Act che introduce requisiti più severi per la sicurezza dei dispositivi e dei software connessi nel mercato dell’UE.
Queste iniziative mirano collettivamente a rafforzare il perimetro di cibersicurezza dell’UE, affrontando le vulnerabilità, migliorando la preparazione e promuovendo una risposta unificata alle minacce informatiche e ibride. Inoltre, riconoscendo l’urgenza di queste sfide, il Consiglio dell’Unione Europea ha sottolineato la necessità di un’azione coordinata, inclusa la mobilitazione di squadre di risposta rapida ibride dell’UE per affrontare le minacce ibride.
Il divario di competenze nella sicurezza informatica
Proseguendo su questa strada, la sicurezza informatica è divenuto sempre di più un tema trasversale fuoriuscendo dai canonici paradigmi squisitamente tecnici per diventare ambito di specializzazione anche in altri ambiti quali, su tutti, quello legale. Il diritto delle nuove tecnologie (c.d. IT Law) ha visto crescere la branca del diritto della sicurezza informatica nel quale competenze tecniche sono prodromiche a un’efficace e organica comprensione delle norme europee e le relative derivazioni nazionali. Allo stesso modo, i professionisti di sicurezza informatica hanno visto un ulteriore evoluzione della propria professione che li contraddistingue ancor di più da altri colleghi informatici, ovvero la capacità (o per lo più necessità) di saper operare non solo più con requisiti di normative tecniche, quali possono essere standard come quelli ISO/IEC, ma anche con requisiti proveniente da norme di legge; una vera a propria sicurezza regolamentare.
Nonostante, tuttavia, la crescente domanda di mercato per professionisti in grado di gestire la conformità “cyber-legale”, vi è una significativa carenza di individui adeguatamente formati per soddisfare questa esigenza, con particolare riferimento alla gestione della sicurezza per le infrastrutture critiche. La sicurezza informatica delle infrastrutture critiche richiede, infatti, una formazione altamente specializzata, distinta da quella della cybersecurity tradizionale. Questi settori, essenziali per il funzionamento della società, combinano sistemi IT e OT/ICS, che presentano vulnerabilità specifiche e richiedono competenze tecniche avanzate. Inoltre, le infrastrutture critiche – soggette come detto in precedenza a dover rispettare specifiche norme di legge per quanto concerne la relativa sicurezza – sono altresì oggetto di minacce mirate come attacchi cyber-fisici e APT, con impatti rilevanti sulla sicurezza nazionale.
La gestione del rischio in questi contesti implica non solo la classica protezione dei sistemi informatici, ma anche la continuità operativa, la risposta estremamente rapida agli incidenti e il coordinamento continuo e diretto con le autorità, che potrà coordinare gli interventi e le situazioni in relazione non solo all’interesse della singola struttura colpita, ma nell’interesse nazionale.
Le sfide della sicurezza delle infrastrutture critiche
La sicurezza informatica delle infrastrutture critiche non può limitarsi all’applicazione automatica di protocolli tecnici standard, ma deve tenere conto delle implicazioni strategiche, economiche afferenti alla sicurezza nazionale. In alcuni casi, misure che astrattamente sarebbero corrette per mitigare un attacco informatico, non devono essere immediatamente applicate, perché potrebbero generare effetti collaterali più gravi della minaccia stessa.
Ad esempio, spegnere una rete di telecomunicazioni compromessa per contenere un’infezione malware potrebbe ostacolare le comunicazioni delle autorità in un momento critico. Disattivare un sistema sanitario attaccato da ransomware potrebbe impedire l’accesso a cartelle cliniche mettendo a rischio la vita dei pazienti. Bloccare una centrale elettrica sotto attacco potrebbe provocare un blackout su larga scala, con impatti su milioni di persone. Anche nel settore finanziario, scollegare i sistemi di una banca sistemica compromessa potrebbe innescare il panico nei mercati finanziari.
Questi scenari sono solo alcuni che dimostrano che la gestione della sicurezza informatica nelle infrastrutture critiche deve tenere conto di paradigmi estremamente complessi, bilanciando altresì la protezione informatica con la continuità operativa e l’interesse nazionale. Di conseguenza, chi opera in questo ambito deve possedere competenze che vanno ben oltre la cybersecurity tradizionale, includendo gestione delle crisi, normativa di settore e coordinamento con le autorità per garantire risposte efficaci e proporzionate che considerino l’interesse dell’intera nazione.
Formazione multidisciplinare per la sicurezza delle infrastrutture critiche
Per questo, la formazione deve essere multidisciplinare, includendo competenze normative, strategiche e operative, così da garantire una protezione efficace di infrastrutture vitali per l’Unione Europea. Questo divario rappresenta non solo una sfida, ma anche un’opportunità per l’UE di investire nella propria forza lavoro. Soprattutto, inoltre, quando si entra nel merito della gestione di infrastrutture critiche, le quali svolgono un ruolo cruciale per l’erogazione di servizi essenziali per il buon funzionamento dell’Unione e dei relativi Paesi membri.
Formazione cyber: il ruolo delle istituzioni europee
Il Parlamento Europeo, infatti, ha ripetutamente sottolineato l’importanza di una forza lavoro qualificata per lo sviluppo delle tecnologie critiche in Europa. Ha sollecitato la creazione di programmi di formazione accessibili, finanziati dall’UE, per promuovere competenze nei settori emergenti e ha invitato la Commissione Europea a incoraggiare gli Stati membri a istituire hub di innovazione in linea con gli interessi europei. Inoltre, l’ENISA) ha identificato il “divario di competenze” come una significativa minaccia emergente nel suo rapporto Threat Landscape 2024.
Secondo l’ENISA, questa carenza di competenze è destinata a diventare la seconda sfida più critica nel settore della cibersicurezza entro il 2030, evidenziando l’urgenza di formare professionisti qualificati per affrontare i rischi futuri. Osservazioni su questo tema erano state formulate dall’Agenzia europea anche nel corso della European Cybersecurity Skills Conference 2023. In tal sede è stato sottolineato che mentre l’Unione Europea sta implementando una strategia solida volta a rafforzare la resilienza e la sicurezza delle infrastrutture critiche, la traduzione di queste misure in azioni concrete richiede una forza lavoro qualificata, dotata di conoscenze tecniche, legali e strategiche.
L’importanza della formazione specializzata per la resilienza digitale
In questo panorama, quantomeno a livello formale, non manca anche la presa di coscienza della Commissione europea, la quale ha riconosciuto la necessità di affrontare queste sfide come un’esigenza urgente e strategica per l’Unione europea: garantire che coloro che gestiscono le infrastrutture critiche – e che le gestiranno – ricevano una formazione specializzata, di alto livello e multidisciplinare per affrontare le sfide sempre più complesse legate alla resilienza delle infrastrutture critiche e alla sicurezza digitale. (si veda la).
Non solo a livello istituzionale, ma anche altre organizzazioni hanno evidenziato una carenza trasversale di competenze per quei ruoli chiave che richiedono competenze fondamentali per rafforzare la resilienza informatica dei settori critici e proteggere le infrastrutture strategiche.
Il report “Cybersecurity Skills Needs Analysis – Summary Report” di Cyberhubs
Su tutte, nel report “Cybersecurity Skills Needs Analysis – Summary Report” di Cyberhubs, centro finanziato dall’UE con l’obiettivo di migliorare l’ecosistema delle competenze professionali in materia di cybersicurezza in Europa, è stato osservato che alcuni paesi devono incrementare le competenze in aree come la rilevazione delle minacce, la risposta agli incidenti e la protezione delle infrastrutture critiche. Inevitabilmente, questa carenza aumenta la vulnerabilità informatica sia a livello nazionale che europeo.
Proposte e raccomandazioni di Cyberhubs
Nel suo rapporto, Cyberhubs ha proposto come soluzione la creazione di partenariati tra il settore educativo, come misura per colmare il divario di competenze, garantendo che i programmi di formazione soddisfino le esigenze attuali e future del mercato. Questo tipo di formazione non rappresenta solo un’opportunità, ma anche una necessità per garantire che l’Unione Europea sia in grado di rispondere efficacemente alle sfide globali e mantenere la propria leadership in materia di sicurezza e resilienza.
Sicurezza informatica delle infrastrutture critiche: verso un approccio integrato
La sicurezza informatica delle infrastrutture critiche non può più essere considerata un tema esclusivamente tecnico o giuridico, ma richiede un approccio integrato e multidisciplinare. La crescente complessità delle minacce e l’evoluzione della normativa europea impongono la necessità di professionisti altamente qualificati, in grado di operare efficacemente in un contesto in cui le competenze tecniche devono coniugarsi con una solida conoscenza del quadro normativo e strategico.
L’Unione Europea ha già intrapreso passi significativi per rafforzare la resilienza delle proprie infrastrutture, ma senza un’adeguata forza lavoro, dotata delle competenze necessarie per implementare e mantenere tali misure, il rischio di vulnerabilità e instabilità rimane elevato. Il gap di competenze evidenziato dai principali organismi europei, tra cui ENISA e Cyberhubs, deve essere affrontato con urgenza attraverso programmi di formazione mirati, finanziati e supportati a livello istituzionale e privato.
Diventa quindi indispensabile attivare percorsi formativi ancora più specifici, progettati per rispondere alle esigenze concrete della gestione delle infrastrutture critiche. Questi programmi devono includere moduli specialistici che approfondiscano le peculiarità della sicurezza informatica in relazione a settori strategici come l’energia, i trasporti, le telecomunicazioni e la finanza, garantendo che gli operatori siano preparati ad affrontare minacce sempre più sofisticate e complesse.
Investire nella formazione di professionisti in grado di comprendere e applicare la normativa, gestire i rischi e rispondere alle crisi non è solo un’esigenza attuale, ma un elemento chiave per la sicurezza e la competitività dell’Europa nel lungo periodo. L’UE deve continuare a promuovere partenariati tra università, imprese e istituzioni, favorendo lo sviluppo di un ecosistema di competenze che garantisca la protezione delle infrastrutture critiche e la resilienza digitale dell’intero continente.
Bibliografia
- Consiglio dell’Unione europea, “Hybrid threats: Council paves the way for deploying Hybrid Rapid Response Teams to hybrid threats”, maggio 2024. Disponibile a: https://www.consilium.europa.eu/it/press/press-releases/2024/05/21/hybrid-threats-council-paves-the-way-for-deploying-hybrid-rapid-response-teams/.
- Parlamento Europeo, Relazione A9-0120/2023, in particolare punti 12, 13, 14. Disponibile al link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:C_202301059.
- Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni intitolata “Proteggere le infrastrutture critiche europee” (COM/2022/551 final), 18 ottobre 2022.
- The European Higher Education Area in 2024: Bologna Process Implementation Report. Luxembourg: Publications Office of the European Union. ISBN: 978-92-9488-603-3. Disponibile a: https://eurydice.eacea.ec.europa.eu.
