Durante il recente discorso sullo Stato dell’Unione tenuto mercoledì scorso, il presidente della Commissione europea Jean-Claude Juncker ha annunciato una serie di importanti misure in materia di sicurezza cibernetica.
Iniziative che, commenta a Cyber Affairs Tommaso De Zan – associate fellow presso l’European Union Institute for Security Studies (EUISS) e dottorando in Cyber Security presso l’Università di Oxford – sono contenute “nella comunicazione congiunta ‘Resilienza, deterrenza e difesa: costruire una sicurezza cibernetica forte per l’Ue’, che a sua volta si colloca nel solco della comunicazione sul ‘Rafforzamento del sistema di Resilienza europeo’ che a luglio dell’anno scorso la Commissione europea pubblicò nello stesso giorno dell’approvazione della direttiva Nis”.
Il documento, analizza De Zan, descrive “tre principali obiettivi” per far fronte a un numero crescente di attacchi malevoli verso i sistemi informatici europei.
Come primo obiettivo, commenta lo studioso, “l’Ue propone una serie di misure per rafforzare la resilienza dell’Unione dagli attacchi cibernetici. Tra queste misure, forse, la novità più importante è rappresentata da una proposta legislativa per far dell’Enisa la nuova “Agenzia di sicurezza cibernetica europea”, dandole un mandato permanente. Inserita nella stessa proposta, vi è anche l’idea di creare un framework europeo di certificazione per la sicurezza cibernetica di prodotti e servizi. Emerge qui l’idea di spronare i creatori di soluzioni digitali ad adottare un approccio “security by design” più consapevole e che permetta di ridurre le vulnerabilità attraverso vari di sistemi di verifica. Altra importante soluzione innovativa è la creazione di un Centro europeo di ricerca e competenze sulla sicurezza cibernetica, che l’Ue vorrebbe rendere operativo a partire dal 2018 a fronte di un investimento iniziale immediato di 50 milioni di euro”.
Il secondo scopo dell’Ue, prosegue De Zan, “è la creazione di una deterrenza efficace verso attori statali e non. In questo ambito, viene incoraggiata la diffusione del nuovo protocollo IPv6, che assegna un singolo indirizzo IP all’utente, che darebbe dei benefici immediati agli organi di polizia impegnati in investigazioni online. A inizio 2018, l’Ue proporrà delle misure per facilitare lo scambio della prova digitale fra Paesi, soprattutto fra paesi dell’Ue e paesi esterni e ad ottobre pubblicherà i risultati del processo di riflessione riguardante la criptografia nel contesto di indagini criminali. Al contempo, viene avanzata una proposta di direttiva per contrastare le frodi a mezzo di pagamento elettronico e predisposti 10,5 milioni di euro per la formazioni di polizia e giudici attraverso il Fondo di sicurezza interno-Programma di polizia. In ultimo, l’Ue sta portando avanti il lavoro di implementazione relativo al ‘cyber diplomacy toolbox’, attraverso il quale prevede di poter prendere delle decisioni, come le ad esempio le sanzioni, nel contesto della Politica di sicurezza e difesa comune – Psdc – in caso di attacchi informatici provenienti da attori statali stranieri”.
Infine, aggiunge l’esperto, “il terzo obiettivo dell’Ue è il rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica. L’Ue si prefigge di fare ciò attraverso nuove e vecchie alleanze, dando priorità agli aspetti di sicurezza in fora dedicati come i cosidetti ‘dialoghi cibernetici’. Un aspetto meno enfatizzato ma altrettanto importante nelle relazioni digitali internazionali è il ‘cybersecurity capacity building’ che mira a rafforzare capacità tecnologiche e umane di paesi del vicinato e in via di sviluppo tecnologico. In questo ambito, l’Ue potrebbe creare un network comprensivo di realtà statali e non, come ad esempio l’accademia e la società civile, e svilupperà una serie di linee guida europee in materia di cyber capacity building, che possano offrire una visione politica in grado di dare le giuste priorità nell’assistenza verso Paesi terzi”.
Nel complesso, conclude De Zan, “il pacchetto presenta una serie di importanti novità che innovano di non poco la politica cibernetica dell’Ue, fra tutti il rafforzamento del mandato dell’Enisa, il framework europeo di certificazione per la sicurezza cibernetica e il nuovo Centro europeo di ricerca e competenze. Un anno dopo gli ultimi sviluppi, questo nuovo documento rappresenta un momento importante anche per i numerosi attori europei che lavorano direttamente su questioni legate alla sicurezza cibernetica (almeno sei diverse Direzioni Generali della Commissione, il Servizio europeo per l’azione esterna e altre quattro agenzie) per valutare in maniera organica e complessiva una tematica che influenza fortemente svariati ambiti. La comunicazione congiunta si pone quindi anche come una cartina tornasole per assicurare una politica comune coerente, che sarà efficace solo nel momento in cui tutti gli attori, compresi gli stati membri, il settore privato e i cittadini, lavoreranno insieme nella consapevolezza che la sicurezza, anche quella online, è una responsabilità condivisa”.
