Si fa sempre più incisiva l’azione dell’Unione Europea in ambito di sicurezza informatica, segno di come oramai la tematica sia diventata di preminente interesse ad un livello che supera i confini nazionali, data la pervasività delle tecnologie dell’informazione in tutti i settori della vita economica.
Tale importanza assume rilievo anche considerando la maggior ampiezza degli attacchi informatici degli ultimi anni, spesso realizzati con il preciso obiettivo di influenzare o destabilizzare l’economia e la politica di uno Stato.
Si pensi alla massiva diffusione del ransomware Wannacry – che ha infettato migliaia di computer compresi quelli del Servizio Nazionale Sanitario statunitense – o al suo successore Petya – che si è propagato in numerosi Paesi, coinvolgendo importanti attori economici, come la casa farmaceutica Merck, la compagnia di spedizioni danese Maersk e la società petrolifera russa Rosnoft, nonché, in Ucraina, compagnie energetiche, aeroporti, società di trasporti pubblici ed, addirittura, la Banca Centrale – od alla divulgazione delle email dell’allora candidato Macron durante la campagna elettorale.
L’Unione Europea negli ultimi tre anni ha emanato una serie di provvedimenti destinati a incidere profondamente su questo tema, tutti diretti a promuovere l’adozione da parte degli Stati membri di una serie di norme e strumenti diretti a garantire maggior sicurezza informatica nell’ambito del mercato interno. Ciò anche attraverso strumenti cogenti – che lasciano pochi ambiti di manovra agli Stati – quali il Regolamento n. 910/2014 (cd. eIDAS) sui servizi fiduciari e di identificazione elettronica ed il Regolamento n. 679/2016 (cd. GDPR) sulla protezione dei dati e, più recentemente, indicando tra l’altro la struttura organizzativa di cui ciascuno Stato deve dotarsi, con la direttiva n. 1148/2016, cd. Direttiva Network and Information Security (Direttiva NIS) recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, entrata in vigore l’8 agosto 2017.
Sia il Regolamento GDPR sia la direttiva NIS prevedono un periodo transitorio di attuazione che andrà a scadere a maggio 2018, durante il quale gli Stati membri ed i soggetti destinatari dovranno adeguarsi alle previsioni europee.
Mentre i provvedimenti sopra citati prevedono una serie di obblighi da parte degli Stati membri e dei soggetti in essi residenti, con la Raccomandazione della Commissione del 13/09/2017 relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala, viene adottato un programma di cooperazione a livello tecnico, operativo e strategico/politico tra i vari Stati ed i soggetti dell’UE, stabilendo obblighi di coinvolgimento di specifiche strutture europee compresi gli organi politici.
Innanzitutto, è bene precisare che il programma deve essere attuato quando si è in presenza di un incidente di cibersicurezza a livello di Unione Europea, ossia quando gli effetti dell’incidente sono talmente ampi da non poter essere gestiti autonomamente dallo Stato interessato, o qualora coinvolgano due o più Stati ed abbiano un impatto di rilevanza tecnica e politica di così vasta portata da richiedere un coordinamento e una risposta tempestivi a livello unionale.
Il programma sfrutta alcuni degli strumenti già previsti nella normativa europea coordinandoli tra loro introducendo dei veri e propri meccanismi di risposta con l’obiettivo di creare procedure operative standard che consentano una più rapida gestione della crisi.
La Commissione individua, in particolare, alcuni strumenti idonei a fronteggiare ipotesi di attacchi su vasta scala, quali: la creazione di protocolli per la condivisione delle informazioni e la cooperazione; l’individuazione di procedure nazionali atte a gestire in modo adeguato gli incidenti di cibersicurezza; la necessaria integrazione tra le procedure nazionali e quelle europee, garantendo il flusso di informazioni tra i vari soggetti; la condivisione di una tassonomia comune per la descrizione delle cause tecniche e delle ripercussioni degli incidenti; l’organizzazione periodica di esercitazioni per verificare le capacità di risposta agli incidenti a livello nazionale ed europeo.
Obiettivi espliciti del programma sono quelli di:
- Consentire, in caso di crisi in tema di cibersicurezza, una risposta efficace che può essere individuata a) nell’indicazione agli Stati membri di misure tecniche da adottare; b) nell’identificazione dei modi in cui un’organizzazione può valutare se è stata soggetta ad attacco e c) nell’adozione di misure politiche, quali una risposta diplomatica a livello UE o l’attivazione del protocollo di contrasto alle minacce ibride (ossia a quelle minacce che non hanno solo carattere informatico);
- condividere la conoscenza situazionale: che comporta il coinvolgimento dei portatori di interessi nei tre livelli (tecnico, operativo, politico) al fine di ottenere la miglior comprensione degli eventi;
- Concordare i messaggi di comunicazione pubblica: la Commissione individua un duplice scopo delle comunicazioni in caso di incidenti di cibersicurezza. Il primo è relativo alle informazioni che possono essere diffuse ai cittadini ai fini di limitare le conseguenze dell’incidente; il secondo teso ad influenzare gli aggressori attraverso una risposta diplomatica che possa influenzarne il comportamento, segnalando le possibili conseguenze dello stesso a livello Ue.
Oltre agli obiettivi sono precisati anche i principi guida, comunque ispirati a quelli fondamentali dell’Unione Europea, e che permeano, per così dire, tutte le politiche di attuazione del programma.
Così, in base al principio di proporzionalità, si riafferma che la base della cooperazione tra gli Stati membri nell’ambito della cibersicurezza è la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) istituita con la direttiva NIS. Solamente in caso di incidente su vasta scala si attiverebbero le procedure previste dal programma.
Anche la sussidiarietà, quale responsabilità primaria dei singoli Stati a reagire in caso di attacco, è considerata principio fondamentale nel garantire la sicurezza informatica della UE, pur riconoscendo però, che in caso di attacchi di vasta portata, assumono un importante ruolo anche gli organi comunitari, ciò anche per le loro maggiori capacità di coordinamento ed analisi derivanti dall’essere destinatari di un numero maggiore di informazioni provenienti dai vari Stati membri.
Ulteriori principi guida a cui il programma si ispira sono quelli della complementarietà, ossia dell’integrazione dei vari strumenti già esistenti e previsti per la gestione delle crisi a livello Ue (dispositivi integrati per la risposta alle crisi (IPCR), ARGUS) con i nuovi meccanismi introdotti con la direttiva NIS (rete dei CSIRT, ENISA, Europol/EC3, INTCEN, EUMS INT, SITROOM, CERT-UE) e della riservatezza delle informazioni che richiede l’applicabilità agli scambi di informazioni delle norme in tema di sicurezza e di protezione dei dati personali, nonché l’utilizzo degli strumenti accreditati per la trasmissione di informazioni classificate.
È opportuno precisare che il programma si occupa unicamente della gestione di una situazione di crisi e non ha riguardo alle misure di prevenzione – tranne alla previsione di una nuova attività di monitoraggio – od a quelle post-attacco (ambiti questi che sono trattati nella direttiva NIS).
Per consentire il raggiungimento degli obiettivi in caso di crisi su vasta scala (risposta coordinata, condivisione della conoscenza situazionale, comunicazioni pubbliche) è previsto un flusso di informazioni tra i livelli inferiori della cooperazione ed i livelli superiori, con cui i primi allertano e sostengono i secondi i quali forniscono orientamenti e prendono decisioni.
La cooperazione è suddivisa in tre livelli: tecnico, operativo e politico.
A livello tecnico è previsto una sorta di “organigramma” piramidale, con a base la rete dei CSIRT (istituita dalla direttiva NIS) ed al vertice la Commissione europea (e le varie Direzioni competenti). In caso di incidente devono essere attivati i meccanismi previsti per la condivisione della conoscenza situazionale: il presidente della rete CSIRT relaziona alla Commissione, tutte le altre agenzie riferiscono alle Direzioni di riferimento, il CERT-UE fornisce le relazioni tecniche ed insieme ad Europol/EC3 effettua le analisi forensi mentre la cellula dell’UE per le analisi delle minacce ibride relaziona ai dipartimenti del SEAE.
Le informazioni in tale ambito riguardano le caratteristiche tecniche dell’incidente di cibersicurezza, al fine di stabilire cause e misure tecniche di attenuazione. Le attività tecniche di risposta sono coordinate con l’assistenza dell’ENISA (Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione) e della Commissione europea. Anche le attività di comunicazione pubblica sono coordinate da questi due ultimi soggetti (ENISA e Commissione) e vengono divulgate al pubblico dai CSIRT attraverso consigli tecnici ed allarmi sulle vulnerabilità dei sistemi.
Tutti i soggetti cooperano al fine di preparare il processo decisionale a livello politico, coordinare la gestione della crisi e valutarne l’impatto e conseguenze a livello Ue, proponendo eventuali misure di attenuazione.
Il livello operativo prevede le ipotesi di attivazione degli strumenti IPCR – previsti come attuazione dell’art. 222 (cd. Clausola di solidarietà) del Trattato sul funzionamento dell’Unione Europea – con la possibilità di convocare riunioni di crisi da parte della presidenza della Commissione, di attivazione degli strumenti ARGUS (sistema di coordinamento in caso di crisi attivato dalla Commissione Europea) che prevedono il contributo diretto del CERT-UE e dell’EC3 all’interno della Commissione per lo scambio di informazioni, ed in caso di attivazione del SEAE (ossia in caso di crisi che coinvolga la dimensione esterna alla UE) una preminente attività del SIAC (ossia della cellula UE per l’analisi delle minacce ibride).
La risposta alla crisi, che attua la decisione adottata al livello politico, prevede la cooperazione del punto di contatto unico (previsto nella direttiva NIS) per attenuare le conseguenze e gli effetti della crisi, con attivazione delle misure tecniche necessarie a ridurne l’impatto. A seconda dello strumento attivato (ARGUS, IPCR e SEAE) le procedure seguono quelle specifiche del medesimo.
Infine, il livello strategico/politico, che vede coinvolti i ministri degli Stati membri responsabili per la cibersicurezza e i presidenti del Consiglio Europeo, del Consiglio, della Commissione e l’Alto rappresentante dell’Unione per gli affari esteri, provvede alla gestione strategica e politica degli aspetti informatici e non della crisi, avvalendosi delle informazioni rese dal livello tecnico ed operativo e decidendo le risposte più adeguate per il suo contenimento quali: l’attivazione di meccanismi e strumenti supplementari, l’adozione di misure di risposta diplomatica Ue, l’attivazione del Fondo di risposta alle emergenze cibernetiche in favore dei Paesi membri coinvolti (non ancora operativo), la cooperazione e la coordinazione con le organizzazioni internazionali (ONU, OSCE e NATO) e la valutazione delle implicazioni in materia di difesa e sicurezza nazionale. Il livello politico, infine, decide la strategia di comunicazione comune destinata al pubblico.
Dall’analisi delle previsioni della Raccomandazione emerge chiaramente come la Commissione Europea abbia voluto dotare l’Unione di strumenti e procedure idonee a garantire risposte rapide ed efficaci in caso di attacchi informatici che riguardino più Paesi membri.
La formalizzazione delle procedure da attuare e della responsabilità dei vari soggetti coinvolti potrà assicurare una più rapida conoscenza della situazione di crisi con conseguente maggior rapidità e capacità di assumere decisioni in merito alle misure di contrasto.
L’analisi effettuata dalla Commissione ha consentito anche di individuare le lacune esistenti e di colmarle, come, ad esempio, l’assenza di una reportistica periodica a livello UE, ora invece prevista quale attività di monitoraggio e presentazione di relazioni periodiche sulla situazione della cibersicurezza nell’UE da parte dell’ENISA.
Il processo in dieci fasi previsto dalla Commissione per la gestione della cibersicurezza europea, che parte dal monitoraggio periodico e, passando dalle attività tecniche, operative e politiche, individua un preciso percorso per fronteggiare gli attacchi, può essere considerato uno strumento “di chiusura” che sfrutta gli altri strumenti e meccanismi previsti nella legislazione europea, ed, in particolare, dalla direttiva NIS la cui corretta attuazione assume, nel quadro della Raccomandazione, ancora maggior importanza, costituendo la rete dei CSIRT un tassello fondamentale per l’efficace contrasto delle crisi.
