roadmap ue

Cybersicurezza: la strategia Ue per una difesa comune, tra lacune normative e pochi fondi

Il Parlamento europeo ha approvato la relazione della Commissione contenente un progetto mirato ad instaurare una maggior cooperazione e adottare un piano comune nella difesa del cyber spazio. La linea d’azione e i possibili ostacoli alla sua realizzazione

22 Ott 2021
Gianluca Fabrizi

junior analyst Hermes Bay

Lorenza Fortunati

junior analyst Hermes Bay

cyber security

L’Ue accelera verso una seria strategia globale nella cyber difesa. L’incremento della cooperazione europea e il rafforzamento della cooperazione con USA e NATO dovranno essere attuati con un modello di cyber sicurezza comune, investimenti mirati e una spinta verso la sovranità digitale.

Tra le minacce da affrontare figurano attori statali (Russia, Cina e Corea del Nord) e non-statali una crescente disponibilità sul mercato di software che possono minacciare i diritti umani.

Cybersecurity, verso una strategia europea: ecco i tasselli sul tavolo

Difesa del cyber spazio: la linea UE

Lo scorso 23 giugno 2021, la Commissione europea ha presentato una relazione contenente un progetto europeo mirato ad instaurare una maggior cooperazione ed adottare un piano comune nella difesa del cyber spazio.

WHITEPAPER
IoT Platform: trasforma le promesse del 4.0 in realtà
IoT
Integrazione applicativa

Il 7 ottobre 2021 il progetto è stato approvato dal Parlamento europeo con 591 voti favorevoli, rappresentando un passo significativo nel riconoscimento dell’importanza di munirsi di una politica comune, all’interno dell’UE, in materia di difesa dello spazio cibernetico.

Di fronte alle nuove minacce informatiche, i parlamentari hanno preso atto dell’estrema necessità di stabilire una strategia unica e superare la frammentazione all’interno della comunità europea per garantire una maggiore stabilità.

A oggi, la maggior parte delle infrastrutture che compongono ciò che comunemente definiamo cyberspazio si trovano al di fuori della comunità europea, creando una forte dipendenza verso i paesi terzi che offrono tali servizi. Per tale motivo, non vi può essere una strategia comune se, prima, la comunità europea non potenzia le proprie strutture tecnologiche attraverso innovazioni ed investimenti.

Cybersicurezza, parola d’ordine: cooperazione

Tuttavia, il piano dell’Unione Europea non è solo quello di garantire una sicurezza informatica a livello comunitario, ma anche di richiedere una collaborazione con le forze alleate, in particolare la NATO, per stabilire risposte e politiche congiunte al fine di fronteggiare i nemici comune nel cyberspace, che nella risoluzione vengono identificati in Cina, Russia e Corea del Nord.

L’Europarlamento menziona anche il caso dello spyware Pegasus, sviluppato dalla società privata israeliana NSO, come esempio di minaccia alle attività politiche, giornalistiche e di tutela dei diritti umani.

A livello pratico, il progetto europeo comprende lo sviluppo di una piattaforma deputata alla cooperazione: saranno le stesse istituzioni europee e gli Stati membri a garantirne lo sviluppo al fine di contrastare le minacce cibernetiche in modo congiunto. Il compito dei partecipanti è, quindi, quello di fornire assistenza reciproca e condividere le proprie migliori strategie per affrontare i rischi. In questo contesto, l’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) fungerà da supporto grazie anche alla recente istituzione di un suo ufficio a Bruxelles che l’ha avvicinata anche “fisicamente” alle altre Istituzioni europee.

I nuovi provvedimenti sono effetto della mutazione della postura dell’Unione Europea nei confronti delle minacce nel dominio digitale, nel contesto più ampio dell’accelerazione delle misure per realizzare una difesa europea. L’Unione si mette così nella scia di USA e NATO, che hanno ultimamente preso iniziative concrete nella direzione di una migliore organizzazione delle difese digitali e hanno dichiarato una maggiore assertività nelle risposte ad eventuali attacchi.

Una questione politica, non solo tecnica

L’aumento recente degli eventi offensivi da parte di attori statali e non-statali e la consapevolezza che, con l’avanzamento del processo di digitalizzazione, siano destinati a moltiplicarsi e a presentarsi in forme sempre più raffinate, ha convinto le istituzioni UE ad affrontare le minacce cyber come una questione politica e non meramente tecnica.

Nel 2007, lo shock dell’aggressione alle infrastrutture digitali dell’Estonia, che viene considerata la prima ai danni di uno Stato membro dell’UE, ha costretto le istituzioni comunitarie ad un cambio di paradigma. Da allora ad oggi, attraverso una serie di passaggi teorici, regolatori ed organizzativi, si sono stabilite le priorità strategiche (Cybersecurity Strategy – EUCSS 2013), si sono stesi i quadri normativi (centrale la Direttiva NIS del 2016), e infine sono state realizzate o rinforzate le strutture operative: l’ENISA (istituita nel 2004, e il cui mandato è stato rafforzato nel 2019), lo EU Computer Response Team (CERT-EU), l’European Cybercrime Centre dell’Europol (EC3). Ogni crisi di sicurezza nel dominio digitale, insomma, ha indotto la UE ad aumentare la propria resilienza nei confronti delle minacce, perfezionando di volta in volta norme, agenzie, narrazione.

Il rapporto tra le politiche nazionali e comunitarie

Una volta messo a fuoco il problema e costituite le strutture, l’UE si è dovuta confrontare, anche nel campo della cyber difesa, con uno dei suoi temi più spinosi: il rapporto tra le politiche nazionali e quelle comunitarie.

Cyberdifesa, l’Europa è un patchwork che non possiamo più permetterci

La cybersicurezza, infatti, è prerogativa nazionale, ma è allo stesso tempo questione troppo complessa per essere affrontata dai singoli Stati in autonomia. La votazione del 7 ottobre formalizza un percorso – iniziato almeno nel 2013 con la prima versione della EUCSS – volto al potenziamento di una cultura comune per la sicurezza cibernetica. Negli anni c’era sempre stata una certa riluttanza da parte di alcuni governi a recepire le indicazioni comunitarie, tra cui quelle della Direttiva NIS, a livello nazionale. D’altronde, come ogni questione di sicurezza e di intelligence, la cyber difesa è un tema particolarmente sensibile: è quindi comprensibile che ci sia una certa resistenza da parte degli Stati a condividere informazioni. Ancora, il diverso livello di preparazione e la differente gerarchia delle priorità tra gli stati membri sono di ostacolo alla cooperazione, laddove alcuni Paesi preferiscono fare riferimento alla NATO oppure affrontare le crisi secondo una prospettiva nazionale, contando sulla catena di comando più corta e dunque su un processo decisionale ritenuto più rapido di quello europeo.

Una governance coerente sarebbe dunque un obiettivo auspicabile e accettabile a beneficio di tutti gli stati membri.

Difesa e reazione

L’UE ha l’ambizione di non limitarsi ad una postura difensiva, ma di proporsi come cyberspazio globale, “aperto, libero, stabile e sicuro” in cui la multilateralità e la centralità delle regole siano i pilastri alla base di questa proposta. Per questo, l’UE fa affidamento sulla Convenzione di Budapest sulla criminalità informatica e sulla partnership con la NATO, unica organizzazione internazionale apertamente menzionata nella revisione del 2017 della EUCSS. Si aggiunge poi una rete di rapporti bilaterali che vede protagonista lo EU-US Cyber Dialogue, ma non trascura il mantenimento di relazioni con i Paesi che pure sono ritenuti minacce strategiche, come Russia e Cina.

Le politiche di aiuto al rafforzamento del contrasto al cyber crimine verso Stati vicini ai confini UE, come quelli dell’area MENA (Medio Oriente e Nord Africa) o l’Ucraina, mirano a fare dell’Unione un polo di attrazione per quanto concerne gli standard e le “best practice” in materia.

Dal punto di vista delle reazioni (responsiveness), invece, si preferisce il regime sanzionatorio alla maturazione di capacità di risposta simmetrica, avendo come punto di riferimento ideale la costruzione di un cyberspazio internazionale stabile e regolato nel quale un attore ostile arrivi a ritenere non conveniente portare attacchi. Le maglie ancora troppo larghe, l’assenza di una legislazione internazionale condivisa e l’opacità “naturale” delle operazioni cibernetiche offensive non aiutano un’Europa già restia nell’attribuzione delle responsabilità ad imporsi come attore cyber di peso a livello globale.

I problemi all’orizzonte

Sebbene la decisione del Parlamento europeo di adottare una strategia comune in tema di difesa del cyber spazio rappresenti un passo in avanti nel miglioramento della strategia europea, allo stesso tempo la comunità deve fare ancora i conti con vuoti normativi e limitati investimenti nel settore informatico. L’insufficienza dei fondi e, soprattutto, la carenza di esperti del settore, sono di ostacolo al raggiungimento da parte della UE di un adeguato grado di efficienza nella cooperazione tra gli Stati membri.

Inoltre, va considerato che l’Unione è costituita da 27 realtà differenti, ciascuna con differenti capacità informatiche, risorse disuguali e quadri normativi specifici: aspetti da non sottovalutare quando si tratta di cooperare all’interno della comunità. Ad esempio, lo sviluppo disomogeneo delle tecnologie e delle politiche ad esse correlate può costituire un importante rallentamento per la realizzazione di un quadro giuridico europeo unico.

Un percorso normativo e organizzativo avviato da ormai più di dieci anni ha reso comunque la UE un cyber attore fondamentale a livello regionale per quanto riguarda la capacità di resilienza nel dominio digitale.

Conclusioni

L’Unione vuole però essere protagonista della stabilità nel cyberspazio a livello globale con una postura fortemente orientata alla diplomazia (si pensi all’implementazione del Cyber Diplomatic Toolbox), che, però, potrebbe non essere sufficiente di fronte alla difficoltà di attribuzione degli attacchi e non sempre trasparenti relazioni tra attori statali e non-statali. Il rischio è che i singoli Stati privilegino la via nazionale o quella di partnership specificamente mirate alla difesa unicamente quando si tratta di rispondere alle aggressioni, rendendo quindi necessario proseguire le attività delle Istituzioni europee al fine di rendere le capacità esistenti effettivamente impiegabili.

WHITEPAPER
Sfide di mercato, strategie e strumenti per la nuova INDUSTRY4.0, con il digitale al centro
Automotive
IoT
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati