Cybersecurity, rafforzare la sicurezza informatica dell’UE. Nuovi bandi

Funzionamento degli ospedali, le forniture idriche ed elettriche, qualunque infrastruttura critica. La Cybersecurity ha acquisito un'importanza cruciale ed è diventata una priorità fondamentale dell'UE.

Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Pubblicato: 16 Giugno 2023 11:48

ll Cyberspazio è diventato la quinta dimensione della conflittualità, accanto al mare, la terra, l’aria e lo spazio, man mano che le società si digitalizzano e diventano più connesse sul piano tecnologico. L’Unione europea è estremamente attiva nel processo di rafforzamento delle capacità informatiche e dei quadri di coordinamento, a partire dal 2017. Nel 2021 il Parlamento ha adottato anche norme per un nuovo centro europeo per la cybersicurezza e per prevenire la diffusione di contenuti terroristici online.

Per rafforzare la protezione dei cittadini e delle imprese dalle minacce informatiche, nel novembre 2022 il Parlamento ha approvato nuove norme che rafforzano la cybersicurezza dell’UE in settori chiave, a tutela dei cittadini e delle imprese sempre più bersaglio di minacce informatiche. Nel novembre 2022, il Parlamento europeo ha aggiornato la legislazione dell’UE per rafforzare gli investimenti nel miglioramento della cybersicurezza per i servizi essenziali, le infrastrutture critiche e per aumentare la portata delle norme a livello europeo.

La nuova legislazione approvata interessa 11 settori e inasprisce i criteri di valutazione del rischio e gli obblighi di segnalazione per gli attori pubblici.

Le principali tipologie di minacce

Secondo la relazione sul panorama delle minacce nel 2022 elaborato dall’Agenzia dell’Unione europea per la sicurezza informatica (ENISA), le principali tipologie di minaccia sono nove:

Ransomware

Nel 2022 gli attacchi ransomware hanno continuato a essere una delle principali minacce informatiche. Stanno anche diventando più complessi. Secondo un sondaggio citato da ENISA, condotto alla fine del 2021 e nel 2022, oltre la metà degli intervistati o dei loro dipendenti è stata coinvolta in attacchi ransomware. I ransomware si verificano quando gli hacker prendono il controllo dei dati di qualcuno e richiedono un riscatto per ripristinare l’accesso.

I dati forniti dall’Agenzia dell’UE per la sicurezza informatica mostrano che la domanda di ransomware è passata da 13 milioni di euro nel 2019 a 62 milioni di euro nel 2021 e il riscatto medio pagato è raddoppiato da 71.000 euro nel 2019 a 150.000 euro nel 2020.

Malware

Il malware, ovvero un software che danneggia un sistema,  include virus, worm, cavalli di Troia e spyware. Dopo una diminuzione globale del malware legata alla pandemia nel 2020 e all’inizio del 2021, il suo utilizzo è aumentato notevolmente a partire dalla fine del 2021.

L’aumento del malware è anche attribuito al crypto-jacking, ovvero l’uso segreto del computer di una vittima per creare criptovaluta illegalmente e al malware Internet-of-Things, mirato a dispositivi connessi a Internet come router o videocamere.
Secondo Enisa, nei primi 6 mesi del 2022 ci sono stati più attacchi Internet of Things rispetto ai 4 anni precedenti.

Minacce di ingegneria sociale

Questo tipo di minacce sono volte a indurre le vittime ad aprire documenti, file o e-mail dannose, visitare siti web e concedere così l’accesso non autorizzato a sistemi o servizi. L’attacco più comune di questo tipo è il phishing, tramite posta elettronica, o lo smishing, tramite messaggi di testo.
Quasi il 60% delle violazioni in Europa, Medio Oriente e Africa include una componente di ingegneria sociale, secondo una ricerca citata da Enisa.
Le principali organizzazioni impersonate dai phisher provenivano dai settori finanziario e tecnologico. I criminali prendono sempre più di mira anche gli scambi di criptovalute e proprietari di criptovalute.

Minacce ai dati

Le minacce alle fonti di dati per ottenere accesso e divulgazioni non autorizzate possono essere principalmente classificate come violazioni dei dati, quindi attacchi intenzionali da parte di un criminale informatico e fughe di dati, che consistono in rilasci non intenzionali di dati.
Il denaro rimane la motivazione più comune di tali attacchi. Solo nel 10% dei casi il movente è lo spionaggio.

Minacce alla disponibilità di un servizio

Queste sono alcune delle minacce più critiche per i sistemi IT. Aumentano in portata e complessità. Una forma comune di attacco consiste nel sovraccaricare l’infrastruttura di rete e rendere non disponibile un sistema.
Gli attacchi sotto forma di minacce alla disponibilità colpiscono sempre più spesso le reti mobili e i dispositivi connessi. Sono molto usati nella guerra informatica Russia-Ucraina.

Minacce alla disponibilità di Internet

Queste minacce includono l’acquisizione fisica e la distruzione dell’infrastruttura Internet, come si è visto nei territori ucraini occupati dall’invasione, nonché la censura attiva di notizie o siti Web di social media.

Disinformazione

Il crescente utilizzo delle piattaforme dei social media e dei media online ha portato a un aumento delle campagne che diffondono disinformazione, intesa come informazioni volutamente falsificate e condivisione di dati errati. L’obiettivo è quello di provocare paura e incertezza.
La Russia ha usato questa tecnologia per prendere di mira le percezioni della guerra.

La tecnologia Deepfake consente di generare audio, video o immagini falsi che sono quasi indistinguibili da quelli reali. I bot, che fingono di essere persone reali, possono disturbare le comunità online inondandole di commenti falsi.

Attacchi alla catena di approvvigionamento

Si prende di mira la relazione tra organizzazioni e fornitori. Questa è una combinazione di due attacchi: al fornitore e al cliente. Le organizzazioni stanno diventando più vulnerabili a tali attacchi, a causa di sistemi sempre più complessi e di una moltitudine di fornitori, che sono più difficili da controllare.

Principali settori colpiti dalle minacce alla sicurezza informatica

Le minacce alla cybersicurezza nell’Unione europea colpiscono settori vitali della società. Come sottolineato dall’Enisa, i sei settori più colpiti tra giugno 2021 e giugno 2022 sono stati:

  1. la pubblica amministrazione/governi (24% degli incidenti segnalati)
  2. i fornitori di servizi digitali (13%)
  3. il pubblico in generale (12,4%)
  4. la sanità (11,8%)
  5. il settore finanziario/bancario (8,6%)
  6. salute (7,2%)

La guerra della Russia contro l’Ucraina ha influenzato la sfera cibernetica in molti modi. Le operazioni informatiche sono utilizzate insieme alle azioni militari tradizionali. Secondo Enisa, attori sponsorizzati dallo Stato russo hanno condotto operazioni informatiche contro entità e organizzazioni in Ucraina e nei Paesi che la sostengono.

È aumentata anche l’attività degli “hacktivisti”, cioe’ l’hacking per scopi politici o sociali, molti dei quali hanno condotto attacchi per sostenere la parte del conflitto da loro scelta.

La disinformazione era uno strumento di guerra informatica già prima dell’inizio dell’invasione.

La disinformazione russa si è concentrata sulla ricerca di giustificazioni per l’invasione, mentre l’Ucraina ha usato la disinformazione per motivare le truppe.

I settori più a rischio sono quelli che si avvalgono maggiormente di reti telematiche e sistemi informativi come ad esempio trasporti, energia, sanità, telecomunicazioni e infrastrutture digitali, banche e mercati finanziari, sicurezza, processi democratici, spazio e difesa. La sicurezza informatica incide anche sui dispositivi personali.

E’ necessario fare chiarezza sul significato di cybersicurezza e quello di cyberdifesa.

La cybersicurezza include la sicurezza delle informazioni e delle comunicazioni, la tecnologia operativa e le piattaforme informatiche necessarie per garantire la sicurezza dei sistemi digitali.

La cyberdifesa include la sicurezza informatica, l’analisi delle minacce e delle relative strategie di difesa per proteggere cittadini, istituzioni e governi.

Un cyberspazio sicuro

Un cyberspazio sicuro è la base per il mercato unico digitale dell’UE.

Tuttavia i danni causati dagli attacchi informatici vanno al di là dell’economia e della finanza, intaccando le fondamenta democratiche dell’UE e minacciando il funzionamento di base della società.

Gli attacchi informatici, così come la disinformazione, le pressioni economiche e gli attacchi militari convenzionali hanno messo alla prova la resilienza degli Stati e delle istituzioni democratiche, portando direttamente a bersaglio la pace e la sicurezza nell’UE.

Secondo l’ENISA, durante la guerra russa in Ucraina, gli attacchi informatici vanno di pari passo con l’azione militare convenzionale. Gli hacker mirano a distruggere e interrompere il funzionamento delle agenzie governative e delle entità delle infrastrutture critiche, anche per minare la fiducia del pubblico nella leadership del paese.

L’UE e la cybersicurezza

Le aziende e le organizzazioni dell’UE in media hanno una spesa per la sicurezza informatica notevolmente inferiore rispetto alle loro controparti americane. Per garantire che le infrastrutture siano sicure e che la democrazia e le istituzioni funzionino bene, l’UE deve investire in una solida politica di cybersicurezza.

Nel novembre 2022 il Parlamento ha adottato la direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2), che delinea norme complete per rafforzare la resilienza a livello dell’UE. Sempre nel novembre 2022, i deputati hanno approvato leggi per aumentare la resilienza del settore finanziario dell’UE agli attacchi informatici con la legge sulla resilienza operativa digitale (Dora).

La direttiva NIS 2

La direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) introduce nuove regole finalizzate a promuovere un elevato livello di sicurezza informatica comune nell’UE, sia per le aziende che per gli Stati membri. Tali misure rafforzano, inoltre, i requisiti di sicurezza informatica per le entità di medie e grandi dimensioni che operano e forniscono servizi in settori chiave.

Rispetto alla sua precedente versione, la nuova normativa NIS2 copre più settori e attività, snellendo gli obblighi di segnalazione e affrontando il tema della sicurezza nella catena di approvvigionamento.

A seguito dell’approvazione da parte del Parlamento europeo e dei Paesi UE nel novembre 2022, adesso gli Stati membri avranno 21 mesi per implementarlo.

La nuova norma amplia il campo di applicazione a settori e attività critiche per l’economia e la società, tra i quali figurano energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e spazio. Questa disposizione non copre, tuttavia, la sicurezza nazionale e quella pubblica, le forze dell’ordine e il sistema giudiziario. La normativa riguarda la pubblica amministrazione sia a livello centrale che regionale.

Fra le entità e i settori a cui si richiede l’adozione di misure di gestione del rischio di sicurezza informatica vi sono i fornitori di servizi pubblici di comunicazione elettronica, gli operatori dei social media, i fabbricanti di prodotti critici, compresi i dispositivi medici, e i servizi postali.

Nel campo della sorveglianza, la normativa fissa obblighi di sicurezza informatica più severi per i paesi dell’UE. Cresce, pertanto, l’ambito di applicazione degli obblighi e in particolare modo l’armonizzazione delle sanzioni tra gli Stati membri.

Tale misura punta, altresì, a migliorare la cooperazione tra i paesi dell’UE, anche in caso di incidenti su larga scala, sotto l’egida dell’Agenzia dell’UE per la sicurezza informatica (ENISA).

 

Protezione del sistema finanziario dell’UE – DORA 

Poiché il settore finanziario si avvale sempre più di software e processi digitali, questo necessita anche di una maggiore protezione. L’atto sulla resilienza operativa digitale DORA (Digital Operational Resilience Act) garantirà una maggiore resilienza del settore finanziario dell’UE, in caso di gravi interruzioni operative e attacchi informatici.

A seguito dell’approvazione con il Consiglio, il 10 novembre 2022 il Parlamento ha fornito la propria approvazione in via definitiva. Sempre a proposito di finanza digitale, il 28 novembre 2022 il Consiglio ha adottato l’atto sulla resilienza operativa digitale.

La normativa introduce e armonizza i requisiti di resilienza operativa digitale nel settore dei servizi finanziari dell’UE e richiede alle imprese la garanzia di saper di resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate alle tecnologie dell’informazione e della comunicazione (TIC).

Le nuove regole si applicano a tutte le società che forniscono servizi finanziari, come banche, fornitori di servizi a pagamento, fornitori di moneta elettronica, società di investimento, fornitori di servizi di criptovalute nonché ai fornitori di servizi ICT critici a terzi.

Le autorità nazionali provvederanno a supervisionare l’applicazione, garantendone l’attuazione.

Il Cyber Solidarity Act

Il 18 aprile 2023 la Commissione ha adottato una proposta relativa alla legge dell’UE sulla cybersolidarietà per rafforzare le capacità di cybersicurezza nell’UE.

La sua azione è volta a:

  • Sostenere l’individuazione e la sensibilizzazione di minacce e incidenti di cybersicurezza
  • rafforzare la preparazione dei soggetti critici
  • rafforzare la solidarietà, la gestione concertata delle crisi e le capacità di risposta alle crisi in tutti gli Stati membri.

La legge sulla solidarietà informatica stabilisce le capacità dell’UE di rendere l’Europa più resiliente e reattiva di fronte alle minacce informatiche, rafforzando, allo stesso tempo, il meccanismo di cooperazione esistente.

Contribuirà a garantire un panorama digitale sicuro per i cittadini e le imprese e a proteggere i soggetti critici e i servizi essenziali, come gli ospedali e i servizi pubblici.

La Commissione ha, inoltre, presentato un’ Accademia per le competenze in materia di cybersicurezza, nell’ambito dell’ Anno europeo delle competenze 2023, al fine di garantire un approccio più coordinato per colmare il divario di talenti in materia di cybersicurezza, un prerequisito per rafforzare la resilienza dell’Europa.

L’Accademia riunirà varie iniziative volte a promuovere le competenze in materia di cybersicurezza e le metterà a disposizione su una piattaforma online, aumentandone in tal modo la visibilità e il numero di professionisti qualificati.

La Commissione ha, inoltre, proposto una modifica mirata del regolamento sulla cybersicurezza per consentire la futura adozione di sistemi europei di certificazione per i “servizi di sicurezza gestiti”.

Il Digital Europe Program. Nuovi finanziamenti

Nell’ambito del Digital Europe Program 2023-2024, l’UE ha rivolto un nuovo invito a presentare proposte afferenti agli ambiti dell’AI, della cybersicurezza e delle tecnologie digitali.I finanziamenti ammontano a 71 milioni di euro.

Negli ultimi anni, l’Unione Europea ha attuato politiche sempre più mirate a una maggiore cooperazione e solidarietà, anche nell’ambito della cybersicurezza, per sensibilizzare e consolidare le capacità di resilienza dei singoli Paesi membri.

L’invito è stato aperto il 25 maggio 2023 dalla Commissione e dal Centro Europeo di Competenza per la Cyber Sicurezza (ECCC). La data di scadenza è, invece, prevista per il 26 settembre 2023, entro le ore 17:00:00 CEST (Bruxelles).

Le aree interessate dai finanziamenti sono 4:

  1. Coordinamento tra la sfera della cybersicurezza civile e quella della difesa
  2. Sostegno all’attuazione della legislazione dell’UE in materia di cybersicurezza e strategie nazionali in materia di cybersicurezza
  3. Standardizzazione nel settore della sicurezza informatica
  4. Supporto alla preparazione e assistenza reciproca.

Il bando della Commissione e dell’ECCC descrive le condizioni di ammissibilità alla proposta, i criteri di valutazione e di aggiudicazione, i processi e le tempistiche di attuazione.

I criteri di assegnazione previsti dal bando sono: pertinenza, capacità di attuazione e impatto, per ciascuno dei quali verrà assegnato un punteggio massimo di 15 punti.

Le aree tematiche

L’invito a presentare proposte afferisce a quattro aree tematiche.

  • La prima, denominata “Coordinamento tra sfera civile e difesa in materia cyber”, è stata concepita per migliorare lo scambio e il coordinamento tra gli ambiti della sicurezza cibernetica civile e della difesa. Si mira a favorire le interazioni tra le azioni promosse dai programmi Horizon Europe e Digital Europe con quelle relative alla difesa dell’Unione attraverso i suoi organismi e progetti, come l’Agenzia Europea per la Difesa e il Fondo Europeo della Difesa. L’obiettivo finale è quello di organizzare attività, come laboratori o incontri, che favoriscano lo scambio di informazioni sulle tecnologie di cyber security.
  • La seconda area tematica è relativa al “Sostegno nell’attuazione della legislazione dell’UE e delle singole strategie nazionali in materia di cyber sicurezza”. Questa prevede l’ottenimento di risultati quali:
  1. l’implementazione di soluzioni di gestione degli incidenti
  2. una migliore conformità alla Direttiva UE NIS2
  3. la pianificazione di eventi, workshop, consultazioni delle parti interessate e white paper
  4. attività di rafforzamento della cooperazione e della resilienza dell’UE
  5. azioni di supporto nel settore della certificazione.
  • La terza è definita “Standardizzazione del settore della cyber security”. Il suo scopo è quello di garantire la partecipazione delle parti interessate alle attività di uniformazione normativa, in particolare alla definizione di standard armonizzati che facilitino l’implementazione del Cyber Resilience Act.
  • La quarta area tematica è quella denominata “Supporto alla preparazione e assistenza reciproca”. Questa iniziativa intende dare assistenza agli Stati Membri per aumentare il livello comunitario di protezione e di resilienza alle minacce informatiche.

I candidati saranno valutati in base alla quantità di:

  • test di penetrazione forniti
  • entità essenziali supportate
  • valutazioni delle minacce e analisi dei rischi effettuate
  • servizi di monitoraggio presentati
  • utenti potenziali coperti per ogni esercitazione
  • vulnerabilità scoperte
  • attività transfrontaliere.

I soggetti di riferimento sono le autorità nazionali di cybersecurity, i centri di coordinamento dei singoli Paesi, gli enti privati e qualsiasi altro soggetto interessato che abbia la capacità di indire gare d’appalto e gestire bandi per l’assegnazione di risorse finanziarie a terzi.