Cybersecurity
La Cybersecurity è la protezione - tramite istituzioni, certificazioni, protocolli, standard ed altri – dei dati dei cittadini, delle imprese e delle amministrazioni europee.
Il primo passo in questo settore viene realizzato con il Regolamento (CE) n. 460/2004 del 10 marzo 2007 (poi abrogato con il Regolamento (UE) n. 526/2013 del 21 maggio 2013) che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA). Essa ha il compito di fornire aiuto e soluzioni, nonché migliorare le capacità di sicurezza informatica, degli Stati Membri e degli stakeholder e supportarli nella produzione di una risposta comune contro incidenti e crisi di vasta scala e transnazionali relativi alla sicurezza informatica.
La prima Strategia sulla Cybersecurity dell’UE è stata proposta dalla Commissione nel febbraio del 2013. All’interno della quale vengono definiti:
I principi della Cybersecurity,:
- I valori costitutivi dell’UE valgono anche nel mondo digitale;
- Protezione dei diritti fondamentali, della libertà di espressione, dei dati personali e della vita privata;
- Accesso per tutti;
- Governance partecipativa, democratica ed efficiente;
- Responsabilità condivisa per garantire la sicurezza;
Cinque priorità strategiche:
- Raggiungere la cyber resilience;
- Ridurre drasticamente il cyber crime;
- Sviluppare una politica e capacità di cyber defence connesse alla Politica di sicurezza e di difesa comune;
- Sviluppare le risorse industriali e tecnologiche per la Cybersecurity;
- Creare una politica internazionale coerente dell’UE sul cyberspace e promuovere i valori costitutivi dell’UE.
Nel luglio 2016 è stata adottata la Direttiva NIS (directive on security of network and information systems). È il primo tassello di legislazione europea sulla sicurezza informatica e provvede all’implementazione di misure legali per rafforzare la sicurezza informatica in Europa. Verrà valutata alla fine del 2020 a seguito di una consultazione online (7 luglio-2 ottobre 2020). Le misure in essa contenute prevedono:
- L’istituzione a livello nazionale di Team di Risposta agli Incidenti Informatici (CSIRT) e di autorità nazionali competenti sul NIS;
- Cooperazione tra gli SM attraverso il NIS Cooperation Group e il Network dei CSIRT;
- Lo sviluppo di una cultura sulla sicurezza in tutti i settori economici vitali e nelle società.
Il 13 settembre 2017, sulla scorta dell’esame della Strategia sulla Cybersicurezza del 2013 la Commissione ha adottato il Pacchetto sulla Sicurezza informatica, al cui centro è posto il Cybersecurity Act (ora in vigore). I cambiamenti riguardano:
- Riforma complessiva di ENISA, consistente in un mandato permanente, maggiori risorse e nuove competenze;
- La creazione di un quadro di certificazione europeo, provvedendo quindi alla creazione di una set complessivo di regole, requisiti tecnici, standard e procedure per assicurare la protezione di prodotti, servizi e processi digitali da potenziali rischi informatici.
Nella medesima data la Commissione ha presentato una Raccomandazione (UE) 2017/1584 relativa alla risposta coordinata agli incidenti e alle crisi di Cybersecurity su vasta scala, in cui vengono presentati gli obiettivi e le modalità per una cooperazione tra Stati Membri ed Istituzioni Europee per rispondere a questo genere eventi.
Nel giugno 2017, il Consiglio ha adottato la Comunicazione 9916/17 Progetto di conclusioni del Consiglio su un quadro relativo ad una risposta diplomatica comune dell'UE alle attività informatiche dolose in cui la Commissione e il Servizio per l’Azione Esterna dell’UE sono stati chiamati allo sviluppo di un pacchetto di strumenti per la diplomazia informatica, che prevede l’implementazione di misure restrittive che possono essere utilizzate per rispondere ad attività che attaccano gli interessi politici, economici e di sicurezza dell’Unione attraverso il quadro PESC.
A ciò ha fatto seguito, nel maggio 2019 una Decisione del Consiglio dell’UE (7299/19) relativa alla creazione di un framework di misure sanzionatorie contro gli attacchi informatici che minacciano l’Unione o gli Stati Membri, tale regime è stato poi esteso sino al 18 maggio 2021 con una Decisione del Consiglio dell’UE in data 14 maggio 2020.
Nel settembre 2018 la Commissione ha presentato un pacchetto di misure a supporto delle elezioni per il Parlamento Europeo libere e corrette in cui è inclusa una raccomandazione riguardante i network di cooperazione elettorale, la trasparenza online, la protezione contro minacce informatiche e la lotta alla disinformazione, in cui viene citato il Piano d’Azione contro la disinformazione (JOIN (2018) 36) presentato il 5 dicembre 2018.
Quest’ultimo prevede una serie di azioni volte al contrasto del fenomeno strutturate sulla base di 4 pilastri:
- Migliorare le capacità delle istituzioni europee di individuare, analizzare ed esporre le disinformazioni;
- Rafforzare la coordinazione e la risposta comune contro la disinformazione;
- Mobilizzare il settore privato nel contrasto alla disinformazione;
- Aumentare la consapevolezza e migliorare la resilienza delle società.
Sempre nel 2018 la Commissione Europea, sulla scorta del Cybersecurity Act, ha proposto la creazione di un Network di Centri sulle Competenze relative alla Sicurezza Informatica e di un Centro di Competenza Europeo sulla sicurezza informatica per l’Industria, la Tecnologia e la Ricerca (European Cybersecurity Industrial, Technology and Research Competence Centre) per investire nel rafforzamento e l’avanzamento della capacità europea nella sicurezza informatica.
In una Comunicazione del 29 gennaio 2019 la Commissione Europea ha chiesto agli Stati Membri di avanzare nell’implementazione di un set di misure raccomandato nel 5G toolbox entro il 30 aprile 2020 e di preparare un rapporto congiunto riguardante l’implementazione di tali misure in ogni Stato Membro entro il 30 giugno 2020. A tal riguardo, in data 24 luglio 2020 è stato presentato un Report sull’implementazione del toolbox di cui sopra.
Infine, il 27 maggio 2020 nell’ambito della proposta della Commissione riguardo allo strumento finanziario Next Generation EU è stata inserita la previsione per una nuova Strategia sulla Cybersicurezza..