Cyber Solidarity Act, come la Ue vuole rafforzare la resilienza informatica

La presidenza del Consiglio e i negoziatori del Parlamento europeo hanno raggiunto un accordo sul Cyber Security Act per migliorare la risposta agli incidenti di cybersicurezza in tutta l'Ue.

22 Marzo 2024 16:16
Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Cyber Solidarity Act, come la Ue vuole rafforzare la resilienza informatica
Fonte: 123RF

La strategia della Ue in materia di cybersicurezza mira a rafforzare la resilienza alle minacce informatiche e a garantire che i cittadini e le imprese beneficino di tecnologie digitali affidabili. Il numero di attacchi informatici continua ad aumentare, con attacchi sempre più sofisticati provenienti da un’ampia gamma di fonti sia all’interno che all’esterno dell’Ue.

La strategia Ue per la cybersicurezza

L’Ue ha delineato una strategia in materia di cybersicurezza per rafforzare la capacità di combattere e riprendersi dagli attacchi informatici. L’evoluzione vissuta dalla nostra società in virtù del costante e crescente impatto delle tecnologie su di essa ha rafforzato il concetto di data society, il cui nucleo è rappresentato dai dati e dalle informazioni.
Il ridursi sempre più visibile dello spazio che separa realtà analogica con realtà digitale fa emergere con sempre più evidenza una serie di opportunità, da cogliere in primo luogo nella quotidianità. Tuttavia, in contrapposizione a quanto delineato fino a qui, emerge, con altrettanto vigore, l’emersione di nuove minacce sotto forma di attacchi informatici.

Perché il passaggio al digitale possa essere una mission traguardata con successo, è necessario che cittadini e imprese europee beneficino delle nuove tecnologie senza compromettere la loro cybersicurezza. La strategia dell’Ue in materia vuole rafforzare la cybersicurezza costruendo un Internet globale, stabile e sicuro in cui siano tutelati lo Stato di diritto, i diritti umani e i valori democratici.

La strategia dell’UE in materia di cybersicurezza si articola in tre settori d’azione:

  1. resilienza, sovranità tecnica e leadership
  2. capacità operativa di prevenire, scoraggiare e rispondere
  3. cooperazione per far progredire il cyberspazio globale e aperto.

L’Ue sta lavorando per migliorare le competenze in materia di cybersicurezza e promuovere un’azione efficace al pubblico, in modo che tutti possano contribuire a mantenere il mondo digitale sicuro. La cybersicurezza è anche un settore chiave del programma Europa digitale, che ha lo scopo di rafforzare il coordinamento della cybersicurezza tra i paesi dell’UE e a finanziare la resilienza dei paesi dell’Ue agli attacchi informatici.

La politica Ue in materia di cyberdifesa

L’obiettivo principale della politica Ue in materia di cyberdifesa è rafforzare la cooperazione e gli investimenti nella cyberdifesa e fornire una migliore protezione contro l’aumento degli attacchi informatici. Entrambe le parti terranno traccia dei progressi della politica attraverso una relazione annuale, con gli Stati membri incoraggiati a contribuire. Un piano di attuazione potrebbe essere elaborato in cooperazione con gli Stati membri.
L’Ue dovrebbe, pertanto, guidare gli sforzi per una digitalizzazione sicura. Dovrebbe guidare le norme per soluzioni di livello mondiale e standard di cybersicurezza per i servizi essenziali e le infrastrutture critiche, nonché guidare lo sviluppo e l’applicazione di nuove tecnologie. I governi, le imprese e i cittadini condivideranno la responsabilità di garantire una trasformazione digitale cibernetica.

Qual è la strategia

La strategia descrive in che modo l’Ue può sfruttare e rafforzare tutti i suoi strumenti e risorse per essere tecnologicamente sovrani. Illustra, inoltre, in che modo l’Ue può intensificare la cooperazione con i partner di tutto il mondo che condividono i valori di democrazia, Stato di diritto e diritti umani.
La sovranità tecnologica dell’Ue deve fondarsi sulla resilienza di tutti i servizi e prodotti connessi. Tutte e quattro le cybercomunità, ovvero quelle che si occupano del mercato interno, dell’applicazione della legge, della diplomazia e della difesa, devono lavorare a più stretto contatto per una consapevolezza condivisa delle minacce. Dovrebbero essere pronti a rispondere collettivamente quando un attacco si materializza, in modo che l’Ue possa essere superiore alla somma delle sue parti.

La strategia copre:

  • la sicurezza dei servizi essenziali come ospedali, reti energetiche, ferrovie e il numero sempre crescente di oggetti connessi nelle nostre case, uffici e fabbriche
  • la necessità di costruire capacità collettive per rispondere ai principali attacchi informatici
  • i piani per lavorare con partner di tutto il mondo per garantire la sicurezza internazionale e la stabilità nel cyberspazio. Inoltre, illustra in che modo un’unità comune per il cybersicurezza può garantire la risposta più efficace alle minacce informatiche utilizzando le risorse e le competenze collettive di cui dispongono gli Stati membri e l’UE.

La nuova strategia mira a garantire un Internet globale e aperto con forti salvaguardie laddove vi siano rischi per la sicurezza e i diritti fondamentali delle persone in Europa. L’Ue si impegna a sostenere questa strategia attraverso un livello di investimenti senza precedenti nella transizione digitale dell’Ue quadruplicando i precedenti livelli di investimento.

L’Unione europea della sicurezza

Il concetto di Unione della sicurezza viene espresso per la prima volta dalla Commissione europea nella comunicazione del 2016 “Preparare il terreno per un’autentica ed efficace Unione della sicurezza”. Si ispira all’agenda europea sulla sicurezza del 2015 e propone un nuovo approccio fondato sulla responsabilità condivisa tra l’Unione europea e gli Stati membri.
Per guidare questo processo, nel settembre 2016, è stato creato un apposito portafoglio, affidato ad un commissario coadiuvato da una task force che si è avvalsa delle competenze dell’intera Commissione. Dal 2019 il portafoglio dell’Unione della sicurezza spetta al vicepresidente per la Promozione dello stile di vita europeo.
L’Unione europea della sicurezza punta a:

  • garantire che la politica di sicurezza dell’Ue rifletta l’evoluzione del panorama delle minacce
  • costruire una resilienza sostenibile e duratura
  • coinvolgere le istituzioni e le agenzie dell’Ue, i governi, il settore privato e i singoli individui in un approccio esteso a tutta la società
  • riunire i numerosi settori politici che hanno un impatto diretto sulla sicurezza

La strategia dell’Ue per l’Unione della sicurezza

La Commissione europea ha presentato una nuova strategia per l’Unione della sicurezza volta a proteggere tutti i cittadini dell’Ue e a promuovere lo stile di vita europeo. La strategia si riferisce al periodo 2020-2025 e verte su settori prioritari in cui l’Ue può aiutare gli Stati membri a promuovere la sicurezza di tutti coloro che vivono in Europa, nel rispetto dei valori e principi europei.

I 4 pilastri della strategia

La strategia definisce gli strumenti e le misure da mettere a punto nei prossimi cinque anni per garantire la sicurezza dei nostri ambienti fisici e digitali. Si compone di quattro priorità strategiche per l’azione a livello europeo e attingerà in larga misura al lavoro delle agenzie dell’Ue. Ciascuno dei 4 pilastri della strategia, a sua volta, comprende diversi settori d’intervento fondamentali.

  • Combattere il terrorismo e la criminalità organizzata
    • Criminalità organizzata
    • Terrorismo e radicalizzazione
  • Un ambiente della sicurezza adeguato alle esigenze del futuro
    • Infrastrutture critiche
    • Cybersicurezza
    • Proteggere gli spazi pubblici
  • Costruire un forte ecosistema della sicurezza
    • Potenziare la ricerca e l’innovazione
    • Collaborazione e scambio d’informazioni
    • Sviluppo delle competenze e sensibilizzazione
    • Rafforzare le frontiere esterne
  • Affrontare le minacce in evoluzione
    • Minacce ibride
    • Contenuti illegali online
    • Criminalità informatica
    • Moderne attività di contrasto

 Il Cyber Solidarity Act

Il Regolamento dell’Ue sulla solidarietà informatica, il Cyber Solidarity Act, migliorerà la preparazione, l’individuazione e la risposta agli incidenti di cybersicurezza in tutta l’Ue. Il Cyber Solidarity Act mira a rafforzare le capacità nell’Ue di individuare, preparare e rispondere a minacce e attacchi significativi e su larga scala in materia di cybersicurezza. Il nuovo regolamento stabilisce le capacità dell’Ue di rendere l’Europa più resiliente e reattiva di fronte alle minacce informatiche, rafforzando allo stesso tempo i meccanismi di cooperazione. Esso mira principalmente a:

  • supportare il rilevamento e la consapevolezza di minacce e incidenti significativi o su larga scala legati alla sicurezza informatica
  • rafforzare la preparazione e proteggere le entità critiche e i servizi essenziali, come gli ospedali e i servizi pubblici
  • rafforzare la solidarietà a livello Ue, la gestione concertata delle crisi e le capacità di risposta tra gli Stati membri
  • contribuire a garantire un panorama digitale sicuro per i cittadini e le imprese

Per individuare le principali minacce informatiche in modo rapido ed efficace, il nuovo regolamento istituisce un sistema di allarme per la sicurezza informatica, che è un’infrastruttura paneuropea composta dai cyber hub di frontiera in tutta l’Ue. Si tratta di entità incaricate di condividere informazioni e di rilevare e agire sulle minacce informatiche. Rafforzeranno il quadro europeo esistente e, a loro volta, le autorità e le entità interessate saranno in grado di rispondere in modo più efficiente ed efficace agli incidenti rilevanti. Questo sistema sarà composto da centri operativi di sicurezza nazionali e transfrontalieri (SOC) in tutta l’UE, che utilizzeranno tecnologie avanzate come l’intelligenza artificiale (IA) e l’analisi dei dati per rilevare e condividere avvisi sulle minacce con le autorità transfrontaliere.
Durante una prima fase, avviata nel novembre 2022, sono stati selezionati tre consorzi di centri operativi di sicurezza transfrontalieri (SOC), che riuniscono organismi pubblici di 17 Stati membri e dell’Islanda nell’ambito del programma Europa digitale.

Il meccanismo di emergenza informatica

Il meccanismo di emergenza cibernetica garantirà un miglioramento della preparazione e della risposta agli incidenti di cybersicurezza e agirà su tre macro-azioni:

  • Sostenere le azioni di preparazione. Testare entità in settori cruciali come la finanza, l’energia e l’assistenza sanitaria per individuare potenziali debolezze che potrebbero renderle vulnerabili alle minacce informatiche. La selezione dei settori da testare si baserà su una valutazione comune del rischio a livello dell’Ue.
  • Creazione di una riserva dell’UE per la cybersicurezza. La riserva dell’Ue per la cybersicurezza consisterà in servizi di risposta agli incidenti forniti da fornitori di servizi privati, cd. “fornitori fidati”, che possono essere distribuiti su richiesta degli Stati membri o delle istituzioni, degli organi e delle agenzie dell’Unione per aiutarli a risolvere gli incidenti di cybersicurezza significativi o su larga scala.
  • Garantire l’assistenza reciproca. Il meccanismo sosterrà uno Stato membro che offre assistenza reciproca ad un altro Stato membro colpito da un incidente di cybersicurezza.

Il meccanismo di revisione degli incidenti di cybersicurezza

Il Cyber Solidarity Act istituisce, inoltre, il meccanismo di revisione degli incidenti di cybersicurezza per valutare e riesaminare specifici incidenti. Su richiesta della Commissione o delle autorità nazionali (la rete EU-CyCLONe o CSIRT), l’Agenzia dell’UE per la cibersicurezza (ENISA) sarà responsabile del riesame di specifici incidenti significativi o su vasta scala di cybersicurezza e dovrebbe presentare una relazione che includa gli insegnamenti tratti e, se del caso, le raccomandazioni volte a migliorare la risposta informatica dell’Unione.

Lo scudo dell’Ue per la cybersicurezza e il meccanismo di emergenza per la cybersicurezza del Cyber Solidarity Act è sostenuto da finanziamenti nell’ambito dell’obiettivo strategico “Cybersecurity” del programma Europa digitale (Digital).  Il bilancio totale comprende un aumento di 100 milioni di euro che il Cyber Solidarity Act propone di riallocare da altri obiettivi strategici del DEP. Ciò porterà il nuovo importo totale disponibile per le azioni di cibersicurezza nell’ambito di DIGITAL a 842,8 milioni di euro.
Una parte degli ulteriori 100 milioni di euro rafforzerà il bilancio gestito dall’ECCC per attuare azioni in materia di SOC e preparazione nell’ambito dei rispettivi programmi di lavoro. Inoltre, i finanziamenti aggiuntivi serviranno a sostenere l’istituzione della riserva dell’UE per la cybersicurezza.
Integra il bilancio già previsto per azioni analoghe nel principale programma di lavoro DIGITAL e DIGITAL per la cibersicurezza dal periodo 2023-2027, il che potrebbe portare il totale a 551 milioni di EUR per il 2023-2027, mentre 115 milioni di EUR sono già stati destinati sotto forma di progetti pilota per il periodo 2021-2022. Compresi i contributi degli Stati membri, il bilancio complessivo potrebbe ammontare a 1.109 miliardi di EUR.

I sistemi europei di certificazione per i servizi di sicurezza

Il regolamento consentirà l’istituzione di sistemi di certificazione europei per i servizi di sicurezza gestiti. Contribuirà ad aumentarne la qualità e la comparabilità, a favorire l’emergere di fornitori di servizi di sicurezza informatica affidabili, ed evitare la frammentazione del mercato interno, dato che alcuni Stati membri hanno già avviato l’adozione di sistemi nazionali di certificazione per i servizi di sicurezza gestiti. In attesa della revisione periodica dell’AAC, prevista entro il 28 giugno 2024, l’accordo:

  • chiarisce la definizione di servizi di sicurezza gestiti e garantisce l’allineamento con la direttiva riveduta sui sistemi di informazione di rete (NIS 2)
  • allinea gli obiettivi di sicurezza di questi sistemi di certificazione con gli obiettivi di sicurezza di altri sistemi ai sensi dell’attuale regolamento CSA
  • include modifiche nell’allegato all’AAC, che contiene un elenco di requisiti che devono essere soddisfatti dagli organismi di valutazione della conformità
  • specifica che la consultazione dell’ENISA di tutti i soggetti interessati dovrebbe essere effettuata tempestivamente e prevede la possibilità che l’ENISA o la Commissione forniscano informazioni trimestrali al colegislatore sul funzionamento dei sistemi di certificazione.