Il panorama della (cyber)sicurezza in Europa è in costante evoluzione, oggetto di minacce mutevoli e di altri rischi tra cui i cambiamenti climatici, l’evoluzione demografica e l’instabilità politica al di fuori delle frontiere europee. Da tempo l’Unione europea si è posta l’obiettivo di introdurre una strategia comune della sicurezza con l’obiettivo di contrastare in maniera coordinata ed efficace le minacce contro la pubblica incolumità di cose e persone.
Il piano 2020-2025 della Commissione Europea
A tal proposito, nel luglio del 2020, la Commissione Europea ha elaborato un documento contenente una strategia da sviluppare nei prossimi cinque anni che si incentri sulla creazione di competenze e capacità per garantire un ambiente di sicurezza adeguato alle esigenze future che l’Unione dovrà affrontare. Il documento definisce un approccio esteso a tutti gli ambiti della società in materia di sicurezza, in grado di rispondere in modo efficace e coordinato a minacce in rapida evoluzione. Definisce, inoltre, le priorità strategiche e gli interventi corrispondenti per affrontare i rischi fisici e digitali in modo integrato nell’intero ecosistema dell’Unione della sicurezza, concentrandosi sui settori in cui l’UE può apportare un valore aggiunto per garantire la sicurezza fisica e digitale dei cittadini europei.
Al fine di contrastare il terrorismo, la criminalità organizzata e di prevenire ed individuare le “minacce ibride”, (termine con cui si indica l’insieme dei possibili attacchi portati ad un sistema con mezzi fisici o digitali ma anche con la manipolazione di dati e notizie), la Commissione ha introdotto alcune priorità da attuarsi nel prossimo quinquennio.
Tra queste:
- la costruzione di un ambiente di sicurezza che sia adeguato alle sfide future, attraverso la promozione di nuove norme sulla protezione e la resilienza delle infrastrutture critiche, sia fisiche che digitali, che si concluda con una revisione della direttiva europea sulla rete e sui sistemi di informazione per delineare le priorità strategiche in materia di cybercrime. In questa ottica l’Unione si pone l’ambizioso obiettivo di perseguire il consolidamento della cooperazione tra il settore pubblico ed il settore privato, che in alcuni Paesi dell’Unione appare ancora lontano dal realizzarsi. Esso, infatti, assicurerebbe una maggiore protezione fisica dei luoghi pubblici favorendo investimenti per la sicurezza rivolti ad enti ed aziende (ad esempio, attraverso anche l’efficientamento o l’installazione di sistemi di rilevamento adeguati a sventare gli attentati terroristici che in questi anni hanno spesso sfruttato gli ambienti aperti e accessibili come i luoghi di culto e i mercati).
- Al fine di affrontare le minacce ibride, la Commissione, da un lato ha interesse ad assicurarsi che le norme europee in vigore contro i crimini informatici vengano correttamente applicate, dall’altro vuole puntare ad un miglioramento delle azioni di contrasto a disposizione delle autorità che effettuano le indagini digitali, “assicurandosi che dispongano di strumenti, tecniche e competenze adeguate” (si pensi ad esempio all’intelligenza artificiale e big data).
Occorre inoltre evidenziare che il recente documento strategico, introduce un nuovo approccio alla sicurezza: essa deve essere intesa nel modo più ampio e onnicomprensivo possibile così come ha ribadito la Vicepresidente per la Promozione dello stile di vita europeo, Margaritis Schinas, la quale ha affermato che tutti i Paesi dell’Unione europea dovrebbero evitare di distinguere nettamente tra ciò che gravita nel “mondo online” e in quello “offline”. Occorre infatti superare quella visione anacronistica del concetto di sicurezza che purtroppo caratterizza ancora oggi la politica di molti Stati membri. Considerando, infatti, la profonda capillarità raggiunta dalle nuove tecnologie e lo sviluppo dell’“internet delle cose”, il confine tra online e offline è ormai divenuto soltanto una questione formale. Con questa nuova visione, la sicurezza diventa una questione trasversale che interessa praticamente tutti gli ambiti della società e copre una molteplicità di settori d’azione. Partire da questo concetto è fondamentale per costruire nel prossimo avvenire una nuova strategia di sicurezza UE nella quale si potranno collegare misure diverse per costruire un vero e proprio ecosistema della sicurezza.
La nuova strategia dell’ENISA per la cybersecurity dell’Ue
Anche l’ENISA, secondo quanto previsto nel mandato contenuto nell’Eu Cybersecurity Act, ha recentemente pubblicato la nuova strategia per rafforzare la sicurezza informatica nei prossimi anni.
L’emergenza da COVID-19 ha impresso una decisiva accelerazione al processo di digitalizzazione della nostra economia e della nostra società. D’altro canto, tale crisi ha evidenziato quanto i cyber-attaccanti sfruttino la nostra dipendenza da queste tecnologie. Ha anche rivelato come il panorama delle minacce informatiche si sia allargato attraverso il passaggio da attacchi mirati a nuove forme di minacce che riguardano milioni di aziende e cittadini. La finalità che si pone l’ENISA con la redazione di questo documento programmatico è quella di raggiungere un più elevato livello di sicurezza in tutti i Paesi Ue attraverso l’innovazione, la cooperazione e l’azione comunitaria, sostenendo la Commissione europea e gli Stati membri affinché aiutino gli attori pubblici e privati a prevenire e gestire i rischi associati al settore informatico.
Tra i punti programmatici di maggiore interesse che si vogliono perseguire vi sono ad esempio:
- la promozione e la collaborazione tra i vari attori interessati ad accrescere le competenze e le conoscenze di cyber-security, favorendo la condivisione di buone pratiche e delle più importanti lezioni apprese;
- la creazione di un ecosistema della sicurezza cibernetica che comprenda le autorità degli Stati membri, le istituzioni, le agenzie e gli organismi dell’UE, le associazioni, i centri di ricerca e università, l’industria, gli attori privati e cittadini, che svolgono tutti un ruolo nel rendere l’Europa sicura dal punto di vista informatico;
- la considerazione della cybersecurity come parte integrante di ogni politica nazionale e comunitaria;
- l’integrazione della sicurezza informatica in tutti i settori della politica dell’UE attraverso framework ad hoc;
- l’ampliamento della cooperazione, che consenta una risposta tempestiva ad attacchi e incidenti informatici, attraverso il consolidamento e l’intensificazione della sinergia tecnico-operativa, politica e strategica tra i principali attori operativi;
- La promozione di un ambiente digitale sicuro in tutta l’Ue, in cui i cittadini possano fidarsi dei prodotti, dei servizi e dei processi ICT attraverso la realizzazione di schemi di certificazione in aree tecnologiche chiave; si pensi ad esempio alla creazione del SCCG (Stakeholders Cybersecurity Certification Group).
Tutto questo consentirebbe all’Unione europea di innalzare la qualità e l’affidabilità delle difese informatiche impiegate, migliorando al tempo stesso il dato sulle competenze e le conoscenze di chi deve operare con nuove tecnologie per la cybersecurity.
5G: la relazione sui progressi compiuti dagli Stati membri
La corsa alla sicurezza digitale e all’infrastruttura 5G tra Cina e Stati Uniti hanno riflessi diretti sull’Unione europea che, a riguardo, sta elaborando una strategia comune per gli Stati membri. In tale contesto, l’azione unitaria di Bruxelles permetterà all’Ue un contrasto ai pericoli esterni all’interno del framework giurisprudenziale europeo: da un lato, salvaguardando la privacy dei cittadini secondo la normativa comunitaria e, dall’altro, le politiche industriali delle aziende del Vecchio Continente. Proprio alla fine di luglio 2020 la Commissione ha pubblicato un report che fotografa lo stato d’avanzamento delle misure di sicurezza cibernetica per il 5G che, in particolare, punta a dare degli elementi di valutazione obiettivi per capire come identificare i rischi e quali soluzioni adottare per prevenirli.
Il toolbox, presentato dalla Commissione UE a fine gennaio, definisce un approccio comune basato su una valutazione oggettiva dei rischi individuati e misure di attenuazione proporzionate. L’attuazione del pacchetto di strumenti è infatti il risultato del lavoro collettivo e della ferma volontà di tutti gli Stati membri, insieme alla Commissione UE e all’ENISA, di cooperare e rispondere alle sfide in materia di sicurezza delle reti 5G e di garantire la costante apertura del mercato unico digitale.
Sono state registrate una serie di criticità che riguardano diverse tematiche, tra cui la dipendenza da fornitori ad alto rischio. Per questo dovrebbe essere predisposto un inventario completo della catena di approvvigionamento delle reti e il monitoraggio dell’evoluzione della situazione.
Per ciascuna delle misure, la relazione passa poi in rassegna i progressi compiuti dopo l’adozione del pacchetto, indicando le azioni intraprese e quelle che non sono ancora state attuate per settori ben individuati.
Nel complesso, comunque si rileva che tutti i Paesi Ue hanno avviato un processo di revisione e rafforzamento delle misure di sicurezza applicabili alle reti 5G, dimostrando il loro impegno a favore dell’approccio coordinato definito a livello dell’Unione.
Conclusioni
Nel prossimo step del primo ottobre 2020 gli Stati membri, in collaborazione con la Commissione UE, saranno chiamati a stabilire l’eventuale necessità di ulteriori azioni.
In tale prospettiva, queste misure, assieme anche alla recente creazione dello SCCG (Stakeholders Cybersecurity Certification Group) e dello ECCG (European Cybersecurity Certification Group), finalizzati alla produzione di schemi di certificazione di prodotti, servizi ICT, testimoniano il ruolo centrale dell’Unione Europea nel mantenimento di standard di protezione cyber elevati e omogenei all’interno dei propri confini, consolidando la fiducia dei consumatori e delle imprese di settore degli Stati membri.
