La relazione presentata la settimana scorsa dalla Commissione europea propone un’istantanea sui progressi compiuti dall’UE e dagli Stati membri nell’ambito di ciascuna delle 26 iniziative previste dalla strategia evidenziando, da ultimo, la recente approvazione da parte del Parlamento europeo e del Consiglio, del regolamento che istituisce il Cybersecurity Competence Center and Network.
Lo scorso 22 giugno, in occasione della presentazione della raccomandazione sulla European Joint Cyber Unit, la Commissione Europea ha riferito anche sui progressi compiuti nell’ambito della EU Security Union Strategy presentando, insieme all’Alto Rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, la prima relazione sullo stato di attuazione della nuova strategia dell’UE per la cibersicurezza, pubblicata lo scorso dicembre 2020.
La strategia europea sulla cybersecurity costituisce parte integrante del più ampio framework della EU Security Union Strategy 2020-2025, adottata lo scorso luglio 2020 dalla Commissione Europea, per indirizzare l’azione nei settori prioritari in cui l’UE può apportare valore aggiunto agli sforzi nazionali.
Strategia europea sulla cybersecurity: cos’è
La strategia si è basata sull’Agenda europea sulla sicurezza 2015-2020, ma ha fornito un nuovo orientamento e un approccio coordinato ai diversi filoni della politica di sicurezza, per garantire che l’UE possa rispondere al panorama di escalation delle minacce sempre più pervasive ed in rapida evoluzione.
La relazione presentata dalla Commissione propone un’istantanea sui progressi compiuti dall’UE e dagli Stati membri nell’ambito di ciascuna delle 26 iniziative previste dalla strategia evidenziando, da ultimo, la recente approvazione da parte del Parlamento europeo e del Consiglio, del regolamento che istituisce il Cybersecurity Competence Center and Network.
In particolare, vengono evidenziati i buoni progressi compiuti per rafforzare il quadro giuridico per garantire la resilienza dei servizi essenziali, attraverso la proposta di direttiva sulle misure per un elevato livello comune di cibersicurezza in tutta l’Unione (direttiva NIS rivista o “NIS 2”) e la proposta di direttiva sulla resilienza delle entità critiche (CER), entrambe presentate lo scorso dicembre.
I progressi compiuti dalla Direttiva NIS 2
Si tratta di due fondamentali pacchetti normativi di ampia portata che coprono i medesimi dieci settori essenziali, tra cui: trasporti, energia, banche, infrastrutture del mercato finanziario, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.
Per questi settori, nella Direttiva CER vengono proposte misure per istituire un quadro di resilienza fisica con standard minimi, consentendo flessibilità per riflettere le specificità nazionali.
La proposta di direttiva NIS rivista mira, invece, a stabilire uno standard orizzontale per i requisiti di sicurezza informatica nel mercato interno, rafforzando l’attenzione alla sicurezza della catena di approvvigionamento (supply chain).
La NIS 2 inoltre introdurrà nuovi strumenti per una gestione coordinata e la divulgazione delle vulnerabilità, nonché una risposta più efficace agli incidenti e una gestione delle crisi, di fatto, semplificando anche gli obblighi di segnalazione degli incidenti con disposizioni più precise su processo, contenuti e tempistica delle segnalazioni.
EU Cybersecurity Strategy: la costituzione della Joint Cyber Unit
La relazione evidenzia altresì l’importanza, nell’ambito della EU Cybersecurity Strategy, della costituzione della Joint Cyber Unit, quale braccio operativo del Cyber Shield europeo, che aggiungerà valore alle strutture, risorse e capacità esistenti come piattaforma per una cooperazione operativa e tecnica sicura e rapida tra le entità dell’UE e le autorità degli Stati membri.
Oggetto della specifica raccomandazione della Commissione, la Joint Cyber Unit riunirà inoltre tutte le comunità della sicurezza informatica, vale a dire civili, forze dell’ordine, diplomazia e difesa e sarà istituita in un processo in 4 fasi che includerà l’identificazione delle capacità operative disponibili dell’UE, la preparazione di piani di risposta agli incidenti e alle crisi a livello nazionale e dell’UE e l’espansione delle attività per stabilire una cooperazione con soggetti privati.
L’operatività della Joint Cyber Unit dovrebbe essere completata entro il 30 giugno 2023.
Frattanto, gli Stati membri stanno attualmente aumentando gli investimenti nei centri operativi di sicurezza (SOC), grazie ai fondi del meccanismo di recupero e resilienza.
La Commissione Europea integrerà gli sforzi degli Stati membri stanziando ulteriori fondi dal programma Europa digitale, con l’obiettivo di migliorare ulteriormente le capacità di rilevamento e sfruttare gli strumenti basati sull’intelligenza artificiale per proteggere l’UE dagli attacchi informatici.
La sicurezza delle reti 5G
Per quanto riguarda la sicurezza delle reti di comunicazione 5G, la maggior parte degli Stati membri sta avanzando nell’attuazione del Toolbox 5G dell’UE, avendo già in atto, o quasi pronto, quadri per imporre restrizioni adeguate ai fornitori di 5G.
I requisiti per gli operatori di rete mobile vengono rafforzati attraverso il recepimento del codice europeo delle comunicazioni elettroniche, mentre l’Agenzia dell’Unione europea per la sicurezza informatica, ENISA, sta preparando uno schema di certificazione della sicurezza informatica dell’UE per le reti 5G.
La cyber diplomacy
La relazione evidenzia inoltre i progressi compiuti dall’Alto rappresentante dell’UE nella promozione di un comportamento statale responsabile nel ciberspazio, in particolare avanzando verso l’istituzione di un programma d’azione a livello delle Nazioni Unite.
Inoltre, l’Alto Rappresentante ha avviato il processo di revisione del quadro politico in materia di cyber difesa per migliorare la cooperazione e sviluppare un esercizio di consapevolezza istituzionale che si basi selle lezioni apprese anche per migliorare gli strumenti della cyber diplomacy dell’UE rafforzando ulteriormente l’UE e la cooperazione internazionale.
Contenuti online terroristici e illegali
Negli ultimi 6 mesi sono stati compiuti passi importanti anche nell’ambito della strategia per l’Unione della sicurezza dell’UE per garantire la sicurezza dell’ambiente fisico e digitale. Sono adesso in vigore, infatti, norme fondamentali dell’UE che obbligheranno le piattaforme online a rimuovere i contenuti terroristici segnalati dalle autorità degli Stati membri entro un’ora.
A ciò si aggiunga che la Commissione Europea ha proposto il Digital Services Act (DSA), che contiene norme armonizzate per la rimozione di beni, servizi o contenuti illegali online, nonché una nuova struttura di supervisione per piattaforme online di grandi dimensioni.
La proposta affronta anche le vulnerabilità delle piattaforme all’amplificazione di contenuti dannosi o alla diffusione della disinformazione. Il Parlamento europeo e il Consiglio dell’Unione europea hanno concordato una legislazione temporanea sull’individuazione volontaria di abusi sessuali su minori online da parte dei servizi di comunicazione.
L’Ue e i partenariato transatlantico
In buona sostanza, l’UE ha le potenzialità per costruire una capacità unica di rispondere alle minacce e alle odierne sfide della sicurezza e si sta progressivamente attrezzando per rafforzare la sua risposta.
In tale prospettiva, la strategia dell’Unione per la sicurezza, con il suo approccio globale e dinamico è finalizzata a garantire che ogni rischio sia compreso nel contesto del più ampio panorama delle minacce e che l’esperienza di tutti gli stakeholders contribuisca alla costruzione di un’Europa più sicura e resiliente, pur nel pedissequo rispetto dei valori europei e dei diritti fondamentali.
A tal fine, obiettivo dichiarato dall’UE, anche coerentemente con la dichiarazione concordata al recente vertice UE-USA del 15 giugno scorso sul rilancio del partenariato transatlantico, è anche quello di intensificare la cooperazione con i partner internazionali in settori quali la lotta al terrorismo e all’estremismo, le attività informatiche dannose, le minacce ibride e altri rischi per la sicurezza.