Analisi – In un contesto di minacce informatiche sempre più vario e in rapida evoluzione, la cybersecurity è divenuta un obiettivo strategico dell’Unione europea. Da qui l’adozione di una serie di nuove soluzioni normative e forme di coordinamento.
QUADRO NORMATIVO
L’esigenza di elaborare una comune strategia di sicurezza a livello europeo si manifesta con maggior enfasi a partire dal 2007, anno in cui avvenne l’importante caso di attacchi informatici contro l’Estonia. Nel 2013 viene adottata la prima strategia per la cybersecurity dell’UE, la quale ha costituito un primo significativo passo verso l’adozione della cosiddetta “direttiva NIS”, che rappresenta ad oggi il principale riferimento normativo in tema di cybersicurezza a livello europeo. A fine 2021 è stata rivisto il testo della direttiva e proposta una nuova direttiva “NIS2”, volta a sopperire ad alcune incoerenze interne alla versione precedente ed estenderne il campo di applicazione. Voluto dalla Commissione, nel 2019 è stato introdotto il Cybersecurity Act, all’interno del quale viene previsto un rafforzamento del ruolo dell’Agenzia europea per la sicurezza informatica (ENISA) e stabilito un quadro unico di certificazione di sicurezza informatica per prodotti e servizi in tutta l’UE.
Alla luce delle recenti dinamiche geopolitiche e del contesto dettato dalla pandemia da Covid-19, lo scorso 22 marzo la Commissione Europea ha proposto l’adozione di due nuovi regolamenti, volti a stabilire un nuovo quadro di gestione dei rischi cibernetici, l’introduzione di un nuovo comitato interistituzionale per la cybersicurezza e il potenziamento del ruolo del CERT-EU, nonché a garantire una serie di norme e standard sulla sicurezza delle informazioni per tutti gli organismi UE.
Fig. 1 – La Commissione Europea
LA NUOVA STRATEGIA EUROPEA PER LA CYBERSECURITY
“Non dovremmo limitarci ad affrontare le minacce informatiche, ma dovremmo cercare anche di conquistare un posto di primo piano nella cybersecurity”. Così la Presidente della Commissione Europea, Ursula von der Leyen, durante il discorso sullo Stato dell’Unione al Parlamento Europeo del 15 settembre 2021, da cui si evince il chiaro intento di accelerare quanto prima gli sforzi per garantire un ecosistema cibernetico più sicuro. A fine 2020 la Commissione, di concerto con l’Alto Rappresentante dell’Unione per gli Affari Esteri e la Politica di sicurezza, hanno presentato una nuova strategia europea per la cybersecurity. Resilienza, prevenzione e promozione di un cyberspazio aperto ne costituiscono alcuni degli aspetti chiave. Tra gli obiettivi, quello di raggiungere la sovranità tecnologica dell’UE, mediante anche l’adozione di partenariati pubblico-privati. A questo proposito, nel giugno 2021, la Commissione ha annunciato la proposta di istituire una Joint Cyber Unit (JCU) europea. Tale unità informatica sarà operativa a partire dal 2023, costituendo un passo significativo in termini di maggior cooperazione tra Autorità di cybersecurity a livello UE. In ambito difensivo, tra gli strumenti per l’azione esterna della strategia, rileva menzionare lo sviluppo di un pacchetto comune per una risposta congiunta dell’Unione Europea alle attività informatiche dannose, il cosiddetto Cyber Diplomacy Toolbox (CDT) e l’istituzione di un innovativo regime di sanzioni volto a colpire persone o enti responsabili di attacchi cibernetici, messo in atto per la prima volta in assoluto a luglio 2020. Infine una parte fondamentale della strategia di cybersecurity europea viene spesa nelle Blue OLEx. Queste sono esercitazioni di alto livello organizzate ogni anno da uno Stato membro sostenuto da ENISA, in collaborazione con la Commissione Europea. Tali esercitazioni sono finalizzate a testare la preparazione dell’UE nell’eventualità di una crisi informatica che colpisca gli Stati membri dell’UE e a rafforzare la cooperazione tra le Autorità nazionali di sicurezza informatica, la Commissione Europea e l’ENISA.
Embed from Getty ImagesFig. 2 – L’Europa sarà sempre più oggetto di attacchi hacker
NUOVE FORME DI COORDINAMENTO: EU CYCLONE
In linea con quanto previsto all’interno della direttiva NIS, la Commissione ha previsto l’istituzione di una nuova rete organizzativa di collegamento denominata “CyCLONe” (Cyber Crisis Liaison Organisation Network). Riunendo i vertici delle Autorità nazionali di cybersecurity dei 27 Stati membri dell’UE, questo inedito sistema difensivo consentirà una gestione coordinata degli attacchi informatici tra gli stessi Stati membri. La rete CyCLONe viene lanciata durante la seconda esercitazione BLUE OLEx nel 2020. Di fatto le Blue OLEx e la CyCLONe sono due elementi che necessariamente si devono intrecciare per garantire un’efficace gestione del rischio cyber. Gestione che prevede la copertura di tre livelli di risposta: tecnico, operativo e politico. I tre livelli vengono appunto testati nelle esercitazioni.
Ufficialmente CyCLONe nasce all’interno come progetto del Gruppo di cooperazione NIS guidato da Francia e Italia e opererà sulla base di procedure operative concordate, basandosi su adeguati strumenti ICT per la comunicazione e la condivisione delle informazioni forniti dall’UE Agenzia per la sicurezza informatica, che funge da segretariato del CyCLONe. Con il supporto della Commissione europea, la rete ha già stabilito una serie di eventi deputati alla preparazione della rete: il rapporto post-azione di Blue OLEx, Cyber Europe e le future Blue OLEx. L’obiettivo del CyCLONe è contribuire all’attuazione del piano della Commissione Europea per una risposta rapida alle emergenze in caso di un incidente informatico o di una crisi transfrontaliera su larga scala. Per raggiungere gli obiettivi la rete dovrà integrare le strutture di sicurezza informatica esistenti a livello UE connettendo le unità tecniche come CSIRT, le singole agenzie nazionali e le sfere politiche. In tal modo il CyCLONe soddisferà due obiettivi fondamentali: consentire consultazioni sulle strategie di risposta nazionali e una valutazione d’impatto coordinata sugli impatti previsti o osservati di una crisi, a vantaggio dei decisori politici, sia a livello nazionale che dell’UE. L’efficacia futura di questi strumenti e strategie nel mitigare i cyberattacchi dipenderà dalla capacità di integrare tale sistema con il resto della compagine sulla cybersecurity a livello UE, garantendo una certa armonizzazione sia in termini giuridici che operativi tra gli Stati membri.
Alessia Checchin & Federico Borgonovo
