Garantire la sicurezza delle reti di prossima generazione, 5G e oltre. E’ uno dei pilastri della nuova strategia dell’Ue per la cibersicurezza, presentata oggi.
Nell’ambito della nuova strategia e con il sostegno della Commissione e dell’Enisa, l’agenzia dell’Unione europea per la cibersicurezza, gli Stati membri sono incoraggiati a portare a termine l’attuazione del pacchetto di strumenti dell’Ue per le reti 5G, che definisce un approccio globale e basato sui rischi oggettivi per la sicurezza delle reti 5G e di prossima generazione.
Secondo una relazione pubblicata oggi sull’impatto della raccomandazione della Commissione sulla cibersicurezza delle reti 5G e sui progressi compiuti nell’attuazione del pacchetto di strumenti comune dell’Ue comprendente misure di attenuazione, rispetto alla relazione sui progressi compiuti, pubblicata nel luglio 2020, la maggior parte degli Stati membri è già a buon punto nell’attuazione delle misure raccomandate. Ora dovrebbero mirare a completarne l’attuazione entro il secondo trimestre del 2021 e a garantire che i rischi individuati siano adeguatamente mitigati, in modo coordinato, in particolare nell’ottica di ridurre al minimo l’esposizione ed evitare la dipendenza dai fornitori ad alto rischio. La Commissione oggi delinea inoltre gli obiettivi e le azioni chiave volte a portare avanti tale sforzo coordinato a livello dell’Ue.
La nuova strategia Ue sulla cybersecurity
La nuova strategia per la cibersicurezza consente inoltre all’Ue di rafforzare la leadership su norme e standard internazionali nel ciberspazio e di intensificare la collaborazione con i partner in tutto il mondo al fine di promuovere un ciberspazio globale, aperto, stabile e sicuro, fondato sullo Stato di diritto, sui diritti umani, sulle libertà fondamentali e sui valori della democrazia.
La Commissione sta inoltre presentando proposte per affrontare la questione della resilienza sia informatica che fisica dei soggetti critici e delle reti essenziali: una direttiva sulle misure per un elevato livello comune di cibersicurezza in tutta l’Unione (direttiva NIS rivista o “NIS 2”) e una nuova direttiva sulla resilienza dei soggetti critici. Questi documenti coprono un’ampia gamma di settori e mirano ad affrontare in maniera coerente e complementare i rischi online e offline attuali e futuri, dagli attacchi informatici alla criminalità o alle catastrofi naturali.
“L’Europa è determinata a portare avanti una trasformazione digitale della nostra società ed economia, che dobbiamo quindi sostenere con livelli di investimento senza precedenti – dice Margrethe Vestager, Vicepresidente esecutiva per Un’Europa pronta per l’era digitale– La riuscita della trasformazione digitale, che sta accelerando, si basa sulla fiducia dei cittadini e delle imprese nella sicurezza dei prodotti e dei servizi connessi che utilizzano.”
Fiducia e sicurezza al centro
La nuova strategia per la cibersicurezza mira a salvaguardare un’Internet globale e aperto, offrendo nel contempo un meccanismo di salvaguardia, non solo per garantire la sicurezza ma anche per proteggere i valori europei e i diritti fondamentali di tutti. Sulla base dei risultati conseguiti negli ultimi mesi e anni, contiene proposte concrete di iniziative politiche, di regolamentazione e di investimento in tre aree d’azione dell’UE:
- resilienza, sovranità tecnologica e leadership
In questa linea d’azione la Commissione propone di riformare le norme sulla sicurezza delle reti e dei sistemi informatici nell’ambito di una direttiva sulle misure per un elevato livello comune di cibersicurezza in tutta l’Unione (direttiva NIS rivista o “NIS 2”) al fine di aumentare il livello di ciberresilienza dei settori pubblici e privati essenziali: strutture ospedaliere, reti energetiche, ferrovie, ma anche centri dati, amministrazioni pubbliche, laboratori di ricerca e produzione di dispositivi medici e medicinali, nonché altre infrastrutture e servizi essenziali che devono rimanere impermeabili in un contesto di minacce sempre più repentine e complesse.
La Commissione propone inoltre di avviare una rete di centri operativi per la sicurezza in tutta l’Ue, alimentati dall’intelligenza artificiale (IA), che costituirà per l’UE una vera e propria barriera di cibersicurezza in grado di rilevare tempestivamente i segnali di un attacco informatico e consentire un’azione proattiva prima che si verifichino danni. Ulteriori misure comprenderanno un sostegno dedicato alle piccole e medie imprese (PMI) nel quadro dei poli dell’innovazione digitale e maggiori sforzi per migliorare le competenze della forza lavoro, attirare e trattenere i migliori talenti in materia di cibersicurezza e investire per una ricerca e un’innovazione aperta, competitiva e basata sull’eccellenza.
- Sviluppo della capacità operativa di prevenzione, deterrenza e risposta
Nell’ambito di un processo progressivo e inclusivo portato avanti con gli Stati membri, la Commissione sta preparando, una nuova unità congiunta per il ciberspazio allo scopo di rafforzare la collaborazione tra gli organismi dell’UE e le autorità degli Stati membri responsabili della prevenzione, della deterrenza e della risposta agli attacchi informatici, comprese le comunità civili, diplomatiche, di contrasto e di difesa informatica. L’alto rappresentante ha presentato proposte per rafforzare il pacchetto di strumenti della diplomazia informatica dell’UE al fine di prevenire, dissuadere e rispondere in modo efficace alle attività informatiche dolose, in particolare quelle che interessano le nostre infrastrutture, le catene di fornitura, le istituzioni e i processi democratici essenziali. L’UE mira inoltre a rafforzare ulteriormente la collaborazione in materia di ciberdifesa e a sviluppare capacità di ciberdifesa all’avanguardia, basandosi sul lavoro svolto dall’Agenzia europea per la difesa e incoraggiando gli Stati membri a sfruttare appieno la cooperazione strutturata permanente e il Fondo europeo per la difesa.
- Promozione di un ciberspazio globale e aperto grazie a una maggiore cooperazione
L’Ue intensificherà la collaborazione con i partner internazionali per rafforzare l’ordine mondiale basato su regole, promuovere la sicurezza e la stabilità nel ciberspazio e proteggere i diritti umani e le libertà fondamentali online. Promuoverà norme e standard internazionali che riflettano questi valori fondamentali dell’UE cooperando con i suoi partner internazionali nell’ambito delle Nazioni Unite e in altri contesti pertinenti. L’UE rafforzerà ulteriormente il suo pacchetto di strumenti della diplomazia informatica e intensificherà gli sforzi per la creazione di capacità informatiche nei paesi terzi sviluppando un’apposita agenda esterna dell’UE. Saranno intensificati i dialoghi in materia di cibersicurezza con i paesi terzi e le organizzazioni regionali e internazionali, nonché con la comunità multipartecipativa. L’UE istituirà inoltre una rete per la diplomazia informatica in tutto il mondo per promuovere la propria visione del ciberspazio.
L’Ue si è impegnata a sostenere la nuova strategia per la cibersicurezza nei prossimi sette anni con investimenti nella transizione digitale dell’UE a livelli finora mai raggiunti, attraverso il prossimo bilancio a lungo termine dell’UE, in particolare tramite il programma Europa digitale, Orizzonte Europa e il piano per la ripresa dell’Europa. Gli Stati membri sono pertanto incoraggiati a utilizzare appieno il dispositivo per la ripresa e la resilienza dell’UE per rafforzare la cibersicurezza e a fare investimenti a pari livello di quelli dell’UE. L’obiettivo è raggiungere fino a 4,5 miliardi di € di investimenti combinati da parte dell’UE, degli Stati membri e dell’industria, in particolare nell’ambito del Centro di competenza sulla cibersicurezza e della rete dei centri di coordinamento e garantire che una parte importante di questi investimenti siano effettivamente attribuiti alle Pmi.
La Commissione mira inoltre a rafforzare le capacità industriali e tecnologiche dell’UE in materia di cibersicurezza, anche tramite progetti finanziati congiuntamente dall’UE e dai bilanci nazionali. L’UE ha l’opportunità unica di mettere in comune le proprie risorse per rafforzare la sua autonomia strategica e promuovere la sua leadership nel campo della cibersicurezza lungo tutta la catena di fornitura digitale (compresi dati e cloud, tecnologie per processori di prossima generazione, connettività ultrasicura e reti 6G), in linea con i suoi valori e le sue priorità.
Resilienza informatica e fisica delle reti, dei sistemi informativi e dei soggetti critici
È necessario aggiornare le misure esistenti a livello dell’UE volte a proteggere i servizi e le infrastrutture essenziali dai rischi sia informatici che fisici. I rischi per la cibersicurezza continuano a evolvere con la crescente digitalizzazione e interconnessione. Anche i rischi fisici sono diventati più complessi dall’adozione delle norme dell’UE sulle infrastrutture essenziali del 2008, che attualmente riguardano solo i settori dell’energia e dei trasporti. L’obiettivo delle revisioni è aggiornare le norme seguendo la logica della strategia dell’UE per l’Unione della sicurezza, superando la falsa dicotomia tra online e offline e mettendo da parte l’approccio a compartimenti stagni.
Per rispondere alle crescenti minacce dovute alla digitalizzazione e all’interconnessione, la direttiva sulle misure per un elevato livello comune di cibersicurezza in tutta l’Unione (direttiva Nis rivista o “Nis 2”) proposta riguarderà le entità di medie e grandi dimensioni di diversi settori in base alla loro importanza per l’economia e la società. La direttiva NIS 2 renderà più rigidi i requisiti di sicurezza imposti alle imprese, affronterà la sicurezza delle catene di fornitura e delle relazioni con i fornitori, semplificherà gli obblighi di notifica, introdurrà misure di vigilanza più rigorose per le autorità nazionali e obblighi di esecuzione più severi e avrà l’obiettivo di armonizzare i regimi sanzionatori in tutti gli Stati membri. La direttiva NIS 2 proposta contribuirà ad aumentare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale e dell’UE.
La direttiva sulla resilienza dei soggetti critici proposta estende sia l’ambito di applicazione, sia la profondità della direttiva sulle infrastrutture critiche europee del 2008. Sono ora contemplati dieci settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio. Nell’ambito della direttiva proposta ciascuno Stato membro adotterebbe una strategia nazionale per garantire la resilienza dei soggetti critici ed effettuerebbe valutazioni periodiche dei rischi. Tali valutazioni contribuirebbero a individuare un sottoinsieme più ristretto di soggetti critici cui incomberebbero obblighi volti a rafforzarne la resilienza di fronte ai rischi non informatici, comprese le valutazioni dei rischi a livello di soggetto, l’adozione di misure tecniche e organizzative e la notifica degli incidenti. A sua volta la Commissione fornirebbe sostegno complementare agli Stati membri e ai soggetti critici, per esempio sviluppando una visione d’insieme a livello dell’UE dei rischi transfrontalieri e intersettoriali e delle migliori pratiche, metodologie e attività di formazione e di esercizio transfrontaliere per testare la resilienza dei soggetti critici.
