Le settimane iniziali della seconda amministrazione Trump sono state certamente molto diverse da quelle del suo primo mandato, sia da un punto di vista comunicativo, sia per la mole dell’attività esecutiva messa in campo. Difatti, già durante il primo giorno, ossia lunedì 20 gennaio, sono stati revocati diversi executive order (EO) della presidenza Biden, tra cui il noto “Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence”. All’appello – almeno per il momento – manca uno degli ultimi atti compiuti dal suo predecessore in materia di politiche digitali, ovverosia il “Executive Order on Strengthening and Promoting Innovation in the Nation’s  Cybersecurity”, datato 16 gennaio 2025. Pertanto, di seguito si intende fornire una panoramica di questo provvedimento, con particolare attenzione per le disposizioni che intervengono sul binomio sempre più strategico tra cybersicurezza e spazio, anche per indagare il possibile impatto sulle proposte legislative di settore in ambito eurounitario e nazionale.

IL BINOMIO SPAZIO E CYBER NELLE POLICY STATUNITENSI

Gli Stati Uniti hanno puntato molto su una politica estera in ambito cyber che contenesse chiari riferimenti al settore spaziale. In particolare, a marzo 2023 l’amministrazione Biden ha chiarito la propria strategia di cybersecurity, a cui ne è susseguita una nuova a maggio 2024. Quest’ultima è stata accompagnata dalla “Strategia internazionale di politica digitale e cyberspazio”, un documento emanato dal Dipartimento di Stato a seguito di un lavoro di stretta collaborazione con le altre componenti del governo federale. In particolare, esso appare focalizzato su quattro macro-obiettivi elencati brevemente di seguito.

  1. Promuovere, costruire e mantenere un ecosistema digitale aperto, inclusivo, sicuro e resiliente, dove una delle cinque linee di azione concerne proprio la necessità di avere comunicazioni satellitari sicure e resilienti e richiamando espressamente la collaborazione con partner e alleati (tra cui evidentemente il nostro Paese) per rafforzare la cybersicurezza degli assetti spaziali, a partire dai satelliti in orbita bassa (LEO – Low Earth Orbit);
  2. Allineare l’approccio al rispetto dei diritti nel digitale e nella governance dei dati con i partner internazionali;
  3. Promuovere un comportamento statale responsabile nel cyberspazio e contrastare le minacce al cyberspazio e alle infrastrutture critiche, creando coalizioni e coinvolgendo i partner. Anche in questo caso viene fatto un riferimento allo spazio attraverso l’ormai noto cyberattacco russo nei confronti del satellite KA-SAT di Viasat, che fu funzionale a ottimizzare gli effetti dell’attacco cinetico sul suolo ucraino;
  4. Rafforzare e costruire la politica digitale e la capacità cyber dei partner internazionali, anche rispetto alle tecnologie satellitari.

Muovendo su queste già solide iniziative, come anticipato, lo scorso 16 gennaio l’amministrazione Biden ha emanato al fotofinish un EO che si occupa principalmente di cybersecurity (“Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity”), ma che contiene numerosi riferimenti al settore spaziale, soprattutto lato civile. Più nel dettaglio, il documento in esame parte dal presupposto che le minacce cibernetiche indirizzate ai sistemi spaziali siano assolutamente rilevanti e attuali, per cui tali sistemi – insieme alle infrastrutture terrestri a supporto (segmento di terra) – vadano progettate in modo da adattarsi all’evoluzione delle minacce cyber. Viene condivisibilmente sottolineata l’importanza di questi asset per la sicurezza nazionale, inclusa quella di tipo economico, dando mandato a ciascun componente dell’apparato federale di vigilare sui rispettivi requisiti di cybersecurity per tutti i nuovi sistemi spaziali ad uso civile, seguendo l’ormai noto risk-based approach e allegandovi una lista di misure di sicurezza da applicare quantomeno per i sistemi classificati “ad alto rischio” e, qualora appropriato, anche per i livelli più bassi.

Inoltre, viene richiesto al National Cyber Director – entità governativa direttamente collegata alla Casa Bianca, che si occupa della parte strategica e di coordinamento rispetto alla politica nazionale di cybersicurezza – di effettuare uno studio sui sistemi spaziali del segmento di terra, qualora questi siano di proprietà, gestiti o altrimenti utilizzati dalle agenzie statunitensi della “Federal Civilian Executive Branch” (FCEB), da cui sono escluse le articolazioni del Dipartimento della Difesa e del comparto intelligence. I risultati di tale studio saranno successivamente sottoposti all’Ufficio federale per la gestione e il bilancio (OMB), al fine di prendere le decisioni opportune per assicurare che i sistemi di cui sopra siano compliant con i requisiti di cybersicurezza summenzionati. In definitiva, l’intero meccanismo mira a irrobustire la postura di cybersicurezza delle imprese del settore spaziale, a partire da quelle che intendono stipulare un contratto con il governo federale.

GLI INVESTIMENTI IN CYBERSICUREZZA DEL SETTORE SPAZIALE EUROPEO

In questo contesto, anche in Europa si sta prestando particolare attenzione alla cybersicurezza degli asset spaziali, sia con riferimento alle infrastrutture in orbita, sia a terra, poiché non è difficile immaginare che alla crescita esponenziale della new space economy, nonché all’aumento del traffico di informazioni sensibili e strategiche tramite tali asset, questi ultimi saranno sempre più bersagliati da diversi attori, tra cui: i) cybercriminali (per motivi economici); ii) servizi di spionaggio pubblici e privati (per finalità informative); iii) gruppi state-sponsored (per scopi geopolitici).

Sul tema, l’ultima versione del report “NIS Investments”, pubblicato dall’ENISA a novembre 2024, analizza i trend di investimento per la cybersecurity a livello europeo, intervistando esponenti di 1.350 organizzazioni pubbliche e private residenti in tutti e 27 gli Stati Membri (50 per Paese), appartenenti agli 11 “settori ad alta criticità” sottoposti alla direttiva NIS2, a cui è stato aggiunto il manifatturiero e tra cui rientra anche lo spazio.

Rispetto ai singoli settori, il segmento spaziale si colloca in terz’ultima posizione per la spesa mediana in sicurezza informatica con €0,6 milioni rilevati, corrispondenti al 10,3% del budget IT. Performano peggio solo le acque reflue (€0,5 milioni – 8,5% del budget IT) e le infrastrutture del mercato finanziario (€0,3 milioni – 11,2% del budget IT).

Fonte: ENISA, NIS Investments Report, novembre 2024

L’edizione 2024 del report di ENISA contiene anche un utile spaccato sulla preparazione dei soggetti intervistati rispetto all’implementazione della direttiva NIS2, che è divenuta applicabile lo scorso 18 ottobre in tutti gli Stati Membri. In questo scenario, il livello di awareness sulla NIS2 e sui rispettivi adempimenti varia significativamente tra i settori. Difatti, se per un verso 7 settori su 12 raggiungono un valore pari o prossimo al 100%, lo spazio si colloca in ultima posizione col 57%, preceduto da acque reflue (60%), manifatturiero (62%) e PA (73%).

prospettive cyber e spazio 2
Fonte: ENISA, NIS Investments Report, novembre 2024

Dato che la sicurezza della supply chain è un elemento centrale sia per la cybersicurezza in generale, sia nella direttiva NIS2 appare fondamentale per i soggetti pubblici e privati stabilire policy chiare e adeguate atte a prevenire e gestire i rischi relativi alle terze parti (partner, vendor e fornitori). Il comparto spaziale, anche in questo caso, figura in coda (66%), prima di PA (63%), manifatturiero (60%) e acque reflue (32%).

prospettive cyber e spazio 3
Fonte: ENISA, NIS Investments Report, novembre 2024

LE POLITICHE SPAZIALI TRA UE E ITALIA: DOVE STIAMO ANDANDO

Anche in virtù delle criticità sin qui esposte, a marzo 2023 si è giunti alla prima Strategia dell’UE per la sicurezza e la difesa dello spazio (EUSSSD). Il documento prevede che la Commissione possa prendere in considerazione la possibilità di proporre una legge spaziale comunitaria per fornire un quadro comune per la sicurezza, la protezione e la sostenibilità nel dominio strategico dello spazio (EUSL). Più nel dettaglio, si richiama espressamente l’importanza di un quadro normativo ampio sulla protezione dei sistemi spaziali, la condivisione di informazioni e la cooperazione sugli incidenti di space-security, confermando che i due domini – spaziale e cibernetico – dovranno integrarsi sempre di più per garantire la tutela di infrastrutture critiche e cittadini. In tale contesto, assumono particolare rilievo le disposizioni contenute nelle Direttive NIS2 e CER che, come già accennato, ricomprendono alcuni segmenti del settore spaziale nei rispettivi ambiti di applicazione.

In tema, lo scorso 29 gennaio la Commissione europea ha reso noto un documento strategico denominato “A Competitiveness Compass for the EU”, dove lo spazio assume un ruolo di primo piano. In particolare, si sottolinea la necessità di una legge sullo spazio a livello eurounitario (in questo caso si è optato per l’espressione “Space Act”) che dovrebbe essere pubblicata nel secondo trimestre di quest’anno. Sul punto, nelle prossime settimane (probabilmente il prossimo 11 febbraio) verrà condiviso dalla Commissione il programma di lavoro (“Commission Work Programme”) che, fra l’altro, dovrebbe contenere maggiori dettagli rispetto alle tempistiche di questa proposta legislativa, nonché – si auspica – la forma che assumerà (regolamento o direttiva).

Rispetto poi al binomio tra spazio e cyber, tale documento riconosce correttamente una sempre più fitta interconnessione tra servizi digitali e settori economici, il che accelera la velocità con cui si propagano le minacce cibernetiche, richiamando altresì il ruolo cruciale delle infrastrutture spaziali, a partire dai satelliti. Pertanto, si sottolinea come l’Europa debba assolutamente tenere in considerazione i rischi per la sicurezza delle infrastrutture critiche, siano esse digitali o fisiche, e ciò vada fatto sin dalla loro progettazione. Di conseguenza, già nel corso del trimestre in corso, la Commissione darà vita a una nuova Strategia per la Sicurezza Interna (“Internal Security Strategy”) col fine ultimo di garantire che la sicurezza – online e offline – sia integrata nella legislazione e nelle politiche eurounitarie.

In questo contesto, si può affermare a gran voce che il nostro Paese si è mosso d’anticipo sul fronte della legislazione spaziale (invero, i due framework – eurounitario e nazionale – dovevano andare di pari passo, salvo poi il verificarsi di diversi ritardi, anche in vista del rinnovo delle istituzioni UE). Difatti, è attualmente all’esame della Camera dei Deputati il disegno di legge rubricato “Disposizioni in materia di economia dello spazio” (Atto Camera n. 2026 – ddl spazio), che è ormai in procinto di passare all’esame dell’Assemblea. Fra l’altro, esso richiama – condivisibilmente – gli aspetti di sicurezza cibernetica nelle attività spaziali, specificamente nella parte in cui li ricomprende tra i requisiti oggettivi per ottenere l’autorizzazione necessaria a condurre attività spaziali sul territorio italiano (artt. 4-5). Inoltre, l’art. 7, co. 3, prescrive che l’ASI possa sentire ulteriori soggetti istituzionali nel corso delle rispettive attività istruttorie, tra cui l’ACN.

PROSPETTIVE E CONCLUSIONI

In chiusura, è opportuno svolgere alcune considerazioni sul binomio tra cyber e spazio, sia sul fronte europeo, sia nazionale. Rispetto al primo, pare indubbio affermare che la necessità di un quadro comune e quanto più omogeneo possibile per la sicurezza, la protezione e la sostenibilità (economica, sociale e ambientale) delle attività spaziali sia quantomai sentita e urgente. Pertanto, è auspicabile che il testo della proposta legislativa sia concretamente indirizzato a sostenere una decisa ripresa del settore spaziale (e non solo), tenendo comunque in debita considerazione le differenze strutturali dei singoli ecosistemi nazionali, nonché dedicando il giusto spazio al tema della cybersicurezza, come tra l’altro suggeriscono le politiche statunitensi sopra descritte e che, si ricorda, almeno per il momento non sono state revocate dalla nuova amministrazione, il che potrebbe anche far pensare che vi sia – quantomeno su questo tema – unità di intenti.

Con riguardo alla situazione nazionale, anche in virtù del livello di investimenti e di preparazione a importanti normative in ambito cybersecurity, appare opportuno che i lavori parlamentari sul ddl spazio chiariscano meglio gli aspetti connessi alla cybersicurezza, prevedendo un chiaro raccordo con la disciplina in materia, a partire dalla NIS2, da specificare successivamente in apposite linee guida di dettaglio a cura dell’ACN, nonché prevedere il coinvolgimento obbligatorio di quest’ultima su tali aspetti e non solo in via facoltativa come previsto dal succitato art. 7, co.3.

In aggiunta, i lavori parlamentari potrebbero rappresentare anche l’occasione per stabilire nel nostro ordinamento un Testo Unico (o un Codice) in materia di attività spaziali, che possa essere uno strumento aggiornabile in materia flessibile, così da diventare un punto di riferimento soprattutto per le numerose start-up e PMI che si stanno avvicinando a questo settore. Tra l’altro, un’opera di sistematizzazione del quadro giuridico-regolamentare è una necessità emersa a gran voce durante una survey condotta da I-Com in materia di cybersicurezza, per cui tale strumento potrebbe divenire altresì un modello da esportare, con le opportune differenze, in altri settori caratterizzati da un elevato tecnicismo.

Dopo la laurea triennale in "Scienze Investigative" presso l'Università degli Studi di Foggia, ha conseguito con lode la laurea magistrale in "Scienze Giuridiche della Sicurezza - Sicurezza e circolazione dei dati" presso la stessa Università. Dal 2023 è ricercatore per l'Istituto per la Competitività (I-Com), occupandosi di temi inerenti la cybersicurezza, la new space economy e l'intelligenza artificiale.