Unione Europea, più strumenti e coordinamento per la cybersecurity


Articolo
Alessandro D'Amato
Cybersecurity: l'importanza della collaborazione e del coordinamento nelle normative dell'UE

In un contesto socioeconomico sempre più incentrato sull’offerta di servizi digitali è irrinunciabile per gli Stati apprestare misure normative e organizzative in tema di cybersecurity che siano in grado di far fronte ai rischi della digitalizzazione, predisponendo tutele efficaci per le risorse (umane, finanziarie e tecnologiche) a disposizione di enti pubblici e imprese da un lato, e per i diritti e le libertà fondamentali degli individui, dall’altro. Al giorno d’oggi, un simile obiettivo risulta più complicato da raggiungere rispetto al passato, come conseguenza (anche) degli effetti della pandemia da Covid-19 e del mutato scenario geopolitico, che ha reso evidenti le capacità cibernetiche offensive di tutti gli attori globali, a supporto di attività di cyber-intelligence, di cyber-warfare e di operazioni ibride. Difatti – come evidenziato nell’ultimo rapporto CLUSIT – oltre ai danni crescenti causati dal cybercrime e dalle attività di intelligence, dal 2022 siamo entrati in una nuova fase di “guerra cibernetica diffusa”, nel contesto di crescenti tensioni internazionali tra superpotenze e di un conflitto ad alta intensità combattuto ai confini dell’Europa.

Fonte: Clusit – Rapporto sulla Sicurezza ICT in Italia, marzo 2023

In particolare, dai dati presenti in questa figura, è possibile osservare come l’ultimo anno sia stato il peggiore di sempre per la cybersecurity, con 2.489 attacchi registrati a livello globale e un incremento di oltre il 21% rispetto all’anno precedente. Su base mensile, invece, si riscontra una media di 207 azioni malevoli contro le 171 del 2021. Particolarmente rilevante è anche l’analisi sulla gravità dei cyberattacchi (severity), la quale restituisce una tendenza preoccupante che ha visto prevalere, negli ultimi due anni, gli attacchi con gravità critica o alta. Infatti, nel 2022, gli attacchi che hanno condotto a impatti gravi o molto gravi hanno raggiunto l’80% del totale. Maggiormente allarmanti sono le risultanze inerenti alla severity per tecniche di attacco, in quanto queste ultime – come richiamato dal CLUSIT – sono le medesime di 30 anni fa (ad esempio: phishing, social engineering, DDoS, malware) e, ancor più grave, i danni che riescono a provocare sono in netto aumento. In un simile scenario, il ruolo dell’Unione Europea è quantomai fondamentale, per cui accanto a un adeguato framework normativo che si interessi di richiedere specifici adempimenti agli Stati Membri e alle imprese (cfr. CSA, NIS2, CER, DORA, CRA, ecc.) allo scopo di rafforzare la sicurezza dei servizi essenziali e degli oggetti interconnessi, è altrettanto necessario che si insista su altri strumenti. Tra questi ultimi, un’assoluta rilevanza all’interno della “Strategia dell’UE in materia di cibersicurezza per il decennio digitale” (2020) è riconosciuta alla collaborazione e al coordinamento tra diverse entità a livello comunitario e statale – sia in ottica preventiva che reattiva – nonché alla diplomazia informatica.

IL REGOLAMENTO ECCC

Innanzitutto, in attuazione della Strategia succitata, è stato adottato il Regolamento n. 887/2021 che – oltre ad aver istituto fino al 2027 (salvo proroghe) il Centro europeo di competenza per la cybersicurezza (ECCC) – ha fissato l’obiettivo ambizioso di creare una Comunità europea per la cybersicurezza, nell’ambito della quale i Centri di Coordinamento Nazionali (NCC) svolgono un compito cruciale in termini di dialogo e cooperazione. In realtà, più che di una singola Comunità, sarebbe più corretto riferirsi a un insieme di comunità eterogenee che possono essere distinte in base alla rappresentazione geografica, al ruolo, all’identità, alla competenza o agli obiettivi che perseguono (ad esempio, la comunità di produttori e di utilizzatori di prodotti di cibersicurezza oppure delle donne o dei giovani che lavorano nella cybersecurity). Sostanzialmente, lo scopo è quello di condividere e diffondere informazioni e competenze in materia al fine di rendere la cybersicurezza un vantaggio competitivo per i settori industriali dell’UE, attraverso una solida collaborazione tra l’ECCC, la rete dei NCC presenti in ciascuno Stato Membro (in Italia è l’ACN), che a loro volta coordinano le diverse comunità di cybersicurezza a livello nazionale.

L’UNITÀ CONGIUNTA PER IL CYBERSPAZIO

In secondo luogo, entro il prossimo giugno, dovrebbe divenire pienamente funzionante la Joint Cyber Unit (JCU), ossia una piattaforma virtuale e fisica (con sede a Bruxelles, vicino agli uffici dell’ENISA e del CERT-UE) per la cooperazione tra le varie comunità di cybersicurezza all’interno dell’UE, con particolare attenzione al coordinamento tecnico e operativo volto a contrastare gravi minacce e incidenti informatici di natura transfrontaliera, grazie all’impiego di strumenti basati sull’intelligenza artificiale, in collaborazione con la rete CSIRTs, l’ENISA e il Cybercrime Centre (EC3) creato presso l’EUROPOL. In particolare, la JCU agirà su tre direttive principali: 1) potenziare sia la cooperazione verticale tra autorità nazionali ed europee, sia quella orizzontale tra enti statali; 2) consentire la condivisione di informazioni e risorse tra polizia anticrimine, agenzie informatiche, strutture diplomatiche, servizi militari e società di sicurezza informatica; 3) circoscrivere il perimetro dei cyberattacchi e attenuarne i relativi effetti, tramite il sostegno da parte dei Paesi non coinvolti direttamente nell’attacco.

LA PROPOSTA DI CYBER SOLIDARITY ACT

Inoltre, il 18 aprile scorso – coerentemente con quanto previsto nel primo obiettivo strategico della Strategia del 2020 – la Commissione Europea ha lanciato ufficialmente una proposta di regolamento denominata Cyber Solidarity Act, che prevede al suo interno tre strumenti principali:

a) l’istituzione di un cyber-shield, ossia una struttura paneuropea di Security Operation Centres (SOCs) nazionali e transfrontalieri, avente lo scopo di rafforzare l’analisi, il rilevamento, la prevenzione e la reazione nei confronti delle minacce cibernetiche. Ciò sarà fatto – a partire dal 2024 – attraverso l’utilizzo di tecnologie all’avanguardia, tra cui l’intelligenza artificiale e l’analisi avanzata di dati, così da rilevare e condividere avvisi tempestivi su minacce e incidenti informatici a livello comunitario;

b) la creazione di un Cybersecurity Emergency Mechanism per aumentare la preparazione e migliorare le capacità di risposta agli incidenti cibernetici nell’UE. Più nel dettaglio, tale meccanismo sosterrà azioni di preparazione in settori altamente critici (es: sanità, trasporti, energia, ecc.) sulla base di scenari di rischio e metodologie comuni; creerà una nuova riserva di cybersicurezza dell’UE, costituita da fornitori di fiducia pronti a intervenire su richiesta di uno Stato Membro o di un’istituzione, agenzia o organo dell’UE; sosterrà, dal punto di vista finanziario, l’assistenza reciproca tra gli Stati Membri;

c) l’attivazione di una Cybersecurity Skills Academy, al fine di aumentare la visibilità delle iniziative di competenze in materia e contribuire ad aumentare il numero di professionisti del settore nell’UE, nonché a colmare il divario tra gli esperti dei vari Stati Membri. In tal senso, col supporto dell’ENISA e dell’ECCC, la Commissione lancerà un progetto pilota per istituire un sistema europeo di attestazione delle competenze in cybersecurity. Inizialmente, invece, l’Accademia si occuperà principalmente di raccogliere le opportunità di istruzione e formazione esistenti e le renderà visibili sulla piattaforma Digital Skills and Jobs.

Inoltre, la proposta di regolamento prevederà un meccanismo per il riesame degli incidenti informatici, in base al quale la rete EU-CyCLONe, la rete CSIRTs o la Commissione possono richiedere che l’ENISA – cooperando con le parti interessate – esamini e valuti un particolare incidente di cybersicurezza significativo o su larga scala, al fine di trarne insegnamenti e, se del caso, formulare apposite raccomandazioni per migliorare la postura di cybersecurity dell’intera UE.

Gli strumenti previsti dal Cyber Solidarity Act saranno implementati grazie alle risorse messe a disposizione nell’ambito dell’obiettivo strategico “Cybersecurity” del programma Europa digitale (DEP). Di conseguenza – come dichiarato dalla Commissione – il budget totale stanziato per la cybersicurezza all’interno del DEP potrebbe ammontare fino a €1,1 miliardi.

LA DIPLOMAZIA INFORMATICA: IL CYBER DIPLOMACY TOOLBOX

Non meno rilevante nell’ambito della Strategia per la cybersicurezza dell’Unione è la diplomazia informatica. Difatti, già a partire dal giugno 2017, l’UE si è dotata di un pacchetto di strumenti – denominato Cyber Diplomacy Toolbox (CDT) – per migliorare la cooperazione, prevenire i conflitti, ridurre le potenziali minacce informatiche e scoraggiare il comportamento dei potenziali aggressori nel cyberspazio, considerato ormai il quinto dominio della conflittualità. Successivamente, nel maggio 2019, il Consiglio europeo ha adottato un regolamento e una decisione per disciplinare un nuovo regime di sanzioni nei confronti di persone o entità responsabili di cyberattacchi – portati a termini o tentati – ovvero che forniscono sostegno finanziario, tecnico o materiale per tali attacchi, oppure che sono altrimenti coinvolti. Tra le misure sanzionatorie rilevano il divieto per le persone di viaggiare verso l’UE e il congelamento dei beni di queste persone o entità. Le misure restrittive sono state applicate per la prima volta nel luglio 2020 – tramite un’ulteriore decisione e un regolamento del Consiglio – per i responsabili del tentato attacco all’OPCW (Organizzazione per la proibizione delle armi chimiche) e degli attacchi pubblicamente noti come WannaCry, NotPetya e Operation Cloud Hopper.

CONCLUSIONI

In definitiva, può affermarsi che i mesi e, soprattutto, gli anni a seguire saranno importantissimi per l’Unione Europea, la quale sarà tenuta a completare l’iter di normative fondamentali tra cui è utile menzionare il Cyber Resilience Act, l’AI Act, il Data Act, il Chips Act, nonché a vigilare sull’applicazione della NIS2, della direttiva CER e del Regolamento DORA. Allo stesso tempo, in base a quanto esposto sin qui, l’UE dovrà curare un aspetto altrettanto importante in ambito cybersecurity: la collaborazione e il coordinamento tra le varie autorità ed entità, sia a livello nazionale che europeo. Solo in questo modo, l’Unione potrà giocare un ruolo da protagonista nello scacchiere geopolitico attuale e futuro e, al contempo, garantire la tutela di infrastrutture critiche e cittadini in maniera sostanziale.

Ricercatore per l'Istituto per la Competitività (I-Com) su temi inerenti il digitale, la cybersicurezza e la space economy. Ha conseguito una laurea triennale in "Scienze Investigative" presso l'Università degli Studi di Foggia e successivamente una laurea magistrale in "Scienze Giuridiche della Sicurezza - Sicurezza e circolazione dei dati" presso la stessa Università.

Nessun Articolo da visualizzare