Migliorare il coordinamento europeo in caso di crisi cybersecurity. E’ uno degli obiettivi più importanti del nuovo documento pubblicato dalla Commissione europea nei giorni scorsi.
Approfondiamone qui i dettagli.
Tre livelli di gestione
La necessità di dotarsi di un maggiore coordinamento a livello europeo in caso di crisi si era già palesata nella strategia europea di sicurezza cibernetica nel 2013. Tre anni dopo, nel luglio 2016, la comunicazione sul “Rafforzamento del sistema europeo di resilienza cibernetico e la promozione di un’industria di sicurezza cibernetica innovativa e competitiva” evidenziava che la gestione di un incidente cibernetico su larga scala avrebbe potuto generare non pochi grattacapi anche nel nostro continente.
A fronte di minacce che plausibilmente diventeranno più numerose e sofisticate, il blueprint della Commissione mira a rendere più efficace questo coordinamento. Esso si applica in quelle situazioni in cui la portata dell’incidente è tale da non poter essere gestito unicamente da uno stato membro, o nel caso in cui un attacco cibernetico colpisca contemporaneamente uno o più paesi.
Come per altre circostanze, il blueprint prevede che vi siano tre livelli di gestione di una crisi: tattico, operativo e strategico. A livello tattico, lo scopo delle attività è finalizzato alla risoluzione dell’incidente e alla sua analisi. Gli attori principali sono i Cert dei paesi membri coordinati dall’Enisa, la Commissione europea l’Europol, il Cert-Ue e, potenzialmente, il Servizio europeo per l’azione esterna (Seae). A livello operativo, il compito principale è il coordinamento della risposta e la valutazione dell’impatto della crisi.
L’entità sono le stesse che operano a livello inferiore, anche se viene coinvolto il personale che si trova ad un livello gerarchico più alto, al fine di poter dare una valutazione strategica di quello che sta accadendo. Rispetto al livello tattico, vi è un primo coinvolgimento del Consiglio dell’Ue, nelle varie configurazioni che esso può assumere a seconda dell’entità della crisi. A livello strategico, vengono coinvolti i maggiori decisori politici a livello nazionale (i vari ministri responsabili per la sicurezza cibernetica) e a livello europeo (il Presidente del Consiglio dell’Ue, della Commissione europea, il Comitato politico e di sicurezza e l’Alto rappresentante), i quali decidono se attivare ulteriori misure per la risoluzione della crisi e il coordinamento con altre organizzazioni internazionali come la Nato, l’Onu e l’Osce.
Infine, il blueprint integra la gestione degli incidenti cibernetici su larga scala all’interno dei dispositivi integrati dell’Ue per la risposta politica alle crisi (in inglese, Ipcr), che dovrebbero attivarsi in caso di crisi di varia natura, ma anche e soprattutto qualora uno stato membro invocasse l’articolo 222 (“Clausola di solidarietà”) del trattato sul funzionamento dell’Unione europea.
Una volta valutata, la raccomandazione della Commissione richiede agli Stati membri di adottare “un framework per la gestione delle crisi cibernetiche” e rendere così effettivo lo schema proposto nel blueprint. In questo contesto, è molto interessante anche l’idea di istituire un “fondo per la gestione delle emergenze cibernetiche”, che potrebbe essere impiegato per dotare gli stati delle risorse economiche e tecnologiche necessarie per poter superare le fasi più acute di una crisi.
I dubbi
A dispetto di un’evidente esigenza di coordinamento europeo, a dire la verità il blueprint non ha tolto tutti i dubbi sulla gestione di una crisi cibernetica di una certa dimensione. In prima battuta, la quantità forse eccessiva di attori europei e nazionali sulla carta coinvolti rende inevitabilmente più complesso la risposta a situazioni che probabilmente beneficerebbero di processi decisionali più snelli, anche se è vero che non tutti gli attori verranno necessariamente chiamati a rispondere nel momento del bisogno.
In secondo luogo, sarà interessante vedere come l’elemento cibernetico verrà contestualizzato all’interno di altri meccanismi di gestione di crisi come il già citato Ipcr, ma anche il sistema di risposta del Seae, attivabile nelle situazioni in cui la sicurezza dell’Ue venga giudicata a rischio oppure quando potrebbero essere colpiti gli interessi esterni dell’Unione.
In questo ambito, il blueprint non ha fornito particolari indicazioni riguardo al rapporto con la NATO, soprattutto nel caso, finora non ancora realizzatosi, in cui a un attacco cibernetico di particolare entità si decida di rispondere in maniera più decisa, magari anche attraverso un’azione di tipo militare. Ma come spesso accade, le cose complesse in teoria diventano più semplici con la pratica. Nuove esercitazioni europee, come ad esempio gli esercizi “Cyber Europe” organizzati da Enisa, e la maggiore cooperazione con la Nato nel settore sicurezza cibernetica, concordata nel dicembre 2016, saranno gli strumenti essenziali per arrivare a una mitigazione fluida e ben oleata di crisi di una certa rilevanza.
