“I recenti attacchi informatici che hanno colpito l’Ucraina, in un contesto di crescenti tensioni geopolitiche, hanno dimostrato l’importanza della dimensione cibernetica nei conflitti contemporanei. Le possibili ricadute di tali attacchi informatici sulle reti europee evidenzia al contempo la necessità che l’UE elabori un piano ambizioso e completo per la propria cybersicurezza”. Queste sono le parole che aprono la dichiarazione congiunta dei ministri delle telecomunicazioni dei 27 Paesi dell’Unione Europea, riunitisi la settimana scorsa a Nevers, in Borgogna, ospiti della Presidenza francese del Consiglio dell’UE.
Un deciso appello, quello del Consiglio Telecomunicazioni, a dotarsi degli strumenti necessari a proteggere le infrastrutture critiche dell’UE, a partire dalle reti di telecomunicazioni. Perché gli attacchi russi contro l’Ucraina, a partire dalla crisi della Crimea del 2014, si giocano sul piano informatico ancor prima che su quello militare. E l’interdipendenza dei sistemi informatici globali, assieme alla crescente digitalizzazione socioeconomica, aumentano le possibilità che un attacco informatico travalichi i confini nazionali e si diffonda a macchia d’olio, con effetti disastrosi. Bisogna quindi prepararsi a uno scenario simile, se non peggiore, a NotPetya, senza ignorare l’eventualità di un attacco diretto ai Paesi UE in risposta all’escalation delle sanzioni.
Le sfide della cybersecurity e le risposte dei ministri UE
Le proposte avanzate dalla dichiarazione del 9 marzo si rimettono alla potestà legislativa delle istituzioni UE e alla formulazione di raccomandazioni da parte delle agenzie competenti, assieme a generici inviti ad una maggiore cooperazione e all’appello alle aziende del digitale affinché contrastino la disinformazione filorussa. D’altronde, la cybersecurity si interseca con la sicurezza nazionale, tema delicato sul quale gli Stati membri mantengono competenza esclusiva. I tentativi di fare squadra devono spesso fare i conti con le resistenze nazionali al coordinamento europeo. Tra le iniziative dei ministri spicca però la creazione di un Fondo d’emergenza per la cybersecurity che permetta all’UE di affrontare futuri attacchi su larga scala. I dettagli di questo Fondo, che dovrà essere delineato dalla Commissione, non sono tuttavia ancora noti.
Alla riunione di Nevers, a cui ha partecipato il Commissario per il mercato interno Thierry Breton, sono state discusse anche le questioni strategiche per la resilienza delle infrastrutture critiche UE. Tra queste, la “sovranità digitale” – tema caro al Commissario francese – intaccata dagli investimenti crescenti dei colossi tecnologici americani e cinesi nei cavi sottomarini che veicolano il flusso di dati mondiale, e i rischi informatici dovuti al 5G e della virtualizzazione delle reti di telecomunicazioni. Tutte sfide che richiedono una riflessione di lungo termine, al di là delle necessità dettate dal conflitto in corso.
Il ruolo delle telco e della regolamentazione europea
Bisogna ad ogni modo tenere conto che il settore delle telecomunicazioni gode di un livello di maturità altissimo in termini di sicurezza. Ciò è ovviamente dovuto alla natura stessa delle reti e dei servizi Tlc, ma non è da sottovalutare il ruolo che la regolamentazione ha avuto nel consolidare gli standard di sicurezza del settore a livello europeo. Da decenni il quadro normativo UE impone agli operatori requisiti di sicurezza stringenti, con misure di gestione del rischio minuziose e obblighi di intervento e di segnalazione in caso di incidente. Questo ampio corpus regolamentare, che sta per essere aggiornato con la revisione della Direttiva europea sulla sicurezza delle reti e dei sistemi informativi (‘Nis 2’), non rende necessari ulteriori interventi legislativi.
Tutt’al più, gli operatori telco e le autorità pubbliche trarrebbero beneficio da una generale armonizzazione dell’impianto normativo che si è via via stratificato, portando alla moltiplicazione di regole – a volte discordanti – e ad un aggravio burocratico. La Nis 2 si prefigge questo obiettivo, ma è ancora in fase di gestazione. In tempi più brevi, la promozione di schemi di certificazione europei e più coordinamento tra le agenzie nazionali, come sottolineato dalla dichiarazione di Nevers, potrebbero favorire la convergenza e di conseguenza l’efficacia delle misure prese a fronte di rischi informatici su scala transnazionale.
Il nodo della supply chain
Un intervento regolamentare sarebbe invece auspicabile al fine di rafforzare la sicurezza della catena di approvvigionamento tecnologica, sempre più complessa e globalizzata. Il grande attacco SolarWinds ha dimostrato che la vulnerabilità di un piccolo tassello può mettere in pericolo l’intera supply chain. Secondo stime dell’Enisa, quasi il 40% dei cyber-incidenti nelle Tlc è causato da problemi di software e hardware. La virtualizzazione delle reti 5G renderà sempre più impellente prendere atto che la sicurezza delle infrastrutture critiche deve essere una responsabilità condivisa da tutti gli attori dell’ecosistema digitale. Un’altra sfida per il futuro della cybersecurity europea.
