L’Unione Europea mette insieme competenze e risorse per rinforzare la sicurezza informatica dei suoi cittadini e delle sue imprese e per renderla meno dipendente da soluzioni di paesi terzi. Per farlo sarà necessario sviluppare una comunità europea della cybersicurezza.
Si è infatti da poco conclusa un’importante gara d’appalto organizzata dalla Commissione Europea per supportare il nuovo Centro Europeo di Competenza sulla Cybersicurezza (ECCC) e la rete di Centri di Coordinamento Nazionali (NCC).
Cybersecurity: cosa sono integrità e autenticità delle informazioni e come ottenerle
La creazione dell’ECCC e della rete degli NCC sarà di importanza fondamentale per l’Unione Europea perché aiuterà la comunità di cybersicurezza ad aver accesso ai fondi europei per il digitale, contribuendo a raggiungere gli obiettivi fissati dalla strategia europea di cybersicurezza e al fine di consolidare una posizione di leadership dell’Europa per la transizione digitale.
L’obiettivo della Commissione è quello di aumentare la collaborazione tra il settore pubblico e privato costruendo ponti tra ricerca e mercato. Il centro ECCC coordinerà la collaborazione tra una rete di NCC e la Comunità, intesa come ecosistema di aziende, università e istituti di ricerca, che contribuisce alla cybersicurezza dell’Unione Europea e dei suoi cittadini. Il vincitore di questa gara d’appalto, a cui ha partecipato anche ECSO – European Cyber Security Organisation, aiuterà l’ECCC e gli NCC a creare sinergie tra i diversi membri della Comunità.
Caratteristiche e limiti del mercato cyber europeo
La Comunità di cybersicurezza a livello europeo raggrupperà migliaia di entità diverse ed interconnesse. A differenza di paesi come gli Stati Uniti, dove poche grandi multinazionali controllano il mercato della cybersicurezza, l’Europa contiene una moltitudine di piccole e media imprese, università e centri di ricerca che sono a volte meno conosciute ma che sviluppano soluzioni all’avanguardia.
In Europa sono infatti nate diverse aziende di importanza globale per la cybersicurezza, nonché diversi fornitori di servizi cloud. Se si pensa che lo stesso web è stato creato al CERN di Ginevra, si può facilmente intuire che in Europa esistano tutte le competenze necessarie per creare una comunità per la cybersicurezza dinamica e innovativa.
Ciò malgrado, il mercato europeo resta frammentato, con un livello di investimenti limitato e un forte ritardo nelle piattaforme e infrastrutture strategiche.
Uno degli scopi più importanti della cooperazione tra l’ECCC, gli NCC e la Comunità sarà quello di identificare, finanziare e sviluppare gli obiettivi strategici per incrementare la competenza europea, la sua indipendenza e la sua presenza nel mercato della cybersicurezza.
I passi verso la Comunità Europea per la Cybersicurezza
L’idea di creare una comunità Europea per la cybersicurezza risale al 2009, quando è stato fatto il primo tentativo a livello paneuropeo di sviluppare un dialogo tra il pubblico e privato per affrontare i problemi transfrontalieri di sicurezza e resilienza nei settori delle tecnologie dell’informazione e delle telecomunicazioni.
Nel 2016, su richiesta della Commissione Europea, è stata creata ECSO (Organizzazione Europea della Cybersicurezza) per attuare un PPP (partenariato pubblico privato) sulla sicurezza informatica. La creazione di ECSO si è dimostrata un importante passo avanti, con risultati positivi su temi come certificazioni, investimenti, e sviluppo delle competenze. Grazie al programma della Commissione, Horizon 2020, nel 2018 sono stati creati quattro progetti pilota per prefigurare alcune delle attività dell’ECCC. Con l’esperienza di ECSO e dei quattro progetti pilota, la Commissione Europea ha potuto tracciare le linee guida necessarie per animare la Comunità.
La missione del Centro Europeo di Competenza sulla Cyber
Secondo il regolamento sull’ECCC, il ruolo della Comunità è di contribuire alla missione dell’ECCC e della rete di NCC, condividendo e diffondendo le informazioni e competenze in materia di cybersicurezza.
Riguardo alla missione dell’ECCC e della rete degli NCC, l’articolo 3 del regolamento ECCC recita: “La missione del Centro di competenza e della rete è di aiutare l’Unione a:
a) potenziare la sua leadership e la sua autonomia strategica in materia di cybersicurezza mantenendo e sviluppando le capacità e i mezzi dell’Unione in materia di cybersicurezza a livello accademico, sociale, tecnologico, industriale e della ricerca, necessari per rafforzare la fiducia e la sicurezza, ivi comprese la riservatezza, l’integrità e l’accessibilità dei dati nel mercato unico digitale;
b) sostenere le capacità, i mezzi e le competenze tecnologiche dell’Unione in relazione alla resilienza e all’affidabilità dell’infrastruttura della rete e dei sistemi informativi, ivi comprese le infrastrutture critiche nonché gli hardware e i software comunemente utilizzati nell’Unione; e
c) aumentare la competitività globale dell’industria della cybersicurezza dell’Unione, per garantire standard elevati in materia di cybersicurezza in tutta l’Unione e trasformare la cybersicurezza in un vantaggio competitivo per altri settori industriali dell’Unione”.
I componenti della Comunità Europea per la cybersicurezza
Secondo l’articolo 8.2 del Regolamento ECCC, “La Comunità è composta dall’industria, comprese le PMI, organizzazioni accademiche e di ricerca, altre associazioni pertinenti della società civile e, le pertinenti organizzazioni europee di standardizzazione, gli enti pubblici e le organizzazioni della società civile”.
Tuttavia, una definizione “operativa” dettagliata della “Comunità” è molto più complessa.
Negli ultimi anni abbiamo imparato che questa Comunità è in realtà composta da molte comunità diverse ed eterogenee che possono essere distinte in base alla rappresentazione geografica (locale, regionale, nazionale, europea), al ruolo, all’identità, alla competenza o ai loro obiettivi specifici. Si possono infatti identificare poli e cluster geograficamente connessi, come nel caso del Campus Cyber in Francia o la cooperazione tra regioni europee sviluppata da ECSO (con la partecipazione per l’Italia della regione Toscana).
Esistono comunità di produttori che formano le catene di distribuzione e fornitura e comunità di utilizzatori di prodotti di cybersicurezza. Questi sono sostenuti dalle comunità di investitori, certificatori, PMI, università e centri di ricerca.
Come utilizzatori troviamo le amministrazioni locali, regionali e nazionali del settore pubblico, l’educazione, la salute e le varie infrastrutture critiche del settore privato (energia, trasporti, banche, le telecomunicazioni). Senza dimenticare il settore della produzione industriale (per esempio il settore automobilistico, ma anche quello alimentare), i settori avanzati come la difesa e lo spazio e il sostegno dato dalla comunità degli assicuratori.
Infine, ci sono anche comunità che potremmo definire di “ruolo” come i CISO (Chief Information Security Officer), le donne in cybersicurezza, come nel caso di Women4Cyber, sostenuta da una Fondazione europea iniziata da ECSO e che recentemente ha visto la creazione del capitolo italiano, e dei giovani che avviano alla professione, come nel caso di Youth4Cyber, una iniziativa di ECSO che si sta sviluppando anche in Italia in cooperazione con il CNR.
Ognuna di queste comunità ha i suoi obiettivi, le sue specificità e le sue differenze. La comunità europea esistente, creata da ECSO e dai quattro piloti, è oggi composta da più di 400 organizzazioni e migliaia di esperti. Questa “proto-comunità” si è dimostrata essenziale per sostenere la crescita del settore della cybersicurezza europea e si propone come base di partenza per lo sviluppo dell’intera comunità europea. Infatti, benché sia già composta da centinaia di attori, rappresenta solo una parte della comunità che si creerà a livello europeo, con migliaia e probabilmente decine di migliaia di elementi diversi.
Il ruolo dei Centri di Coordinamento Nazionali
L’ambizione è quella di creare dei forti legami di dialogo e cooperazione tra le diverse comunità, attraverso settori e paesi. In questo ambito, un ruolo fondamentale sarà giocato dai Centri di Coordinamento Nazionali. Voluti dal regolamento ECCC, questi centri sono in fase di creazione in ogni paese dell’UE, normalmente con il sostegno delle agenzie cyber nazionali (per esempio, l’ACN in Italia) e ministeri specifici. Gli approcci sono diversi nei diversi Paesi, ma è proprio il fatto di creare questi centri e di legarli in una rete a livello europeo, che permetterà una crescita più omogenea della cybersicurezza in Europa e accelererà la maturità delle diverse comunità.
Negli ultimi anni, si è assistito a una rapida espansione del mercato della sicurezza informatica e delle minacce informatiche verso la società, l’economia e la sicurezza nazionale, come si è potuto vedere negli ultimi mesi in seguito alla guerra lanciata dai dirigenti russi verso l’Ucraina e indirettamente verso l’Occidente. In questo mondo che cambia, la cybersicurezza non è solo una questione per esperti informatici, ma un dominio vasto che richiede competenze tecniche, economiche, politiche, sociali, giuridiche e di comunicazione. Per questo motivo, la creazione di una comunità che metta insieme e sviluppi queste competenze diventa quanto più essenziale.
Ogni NCC sosterrà lo sviluppo della sua comunità nazionale o, meglio, delle molteplici comunità nazionali, sia a livello geografico – locale o regionale – che di ruolo: fornitori, utilizzatori, ricercatori. Per costruire l’Europa ed evitare che ci siano anelli deboli nella catena che ci lega tutti in questo mondo digitale, bisogna andare oltre ai tradizionali interessi e approcci nazionali e cooperare a livello più ampio, via la rete degli NCCs, l’ECCC e la Comunità Europea della Cybersicurezza.
Conclusioni
L’Unione Europea ha capito che per quanto riguarda la cybersicurezza non si può più aspettare, soprattutto se si considera la crescente importanza di questo settore e della transizione digitale in generale per la nostra economia, società e sicurezza nazionale. La cybersicurezza non può essere delegata: ognuno di noi ne è l’attore. Per costruire l’Europa della cybersicurezza, la comunità ha bisogno di voi.
