In un momento in cui Internet e le tecnologie digitali stanno trasformando il nostro mondo, un’Europa pronta per l’era digitale è una delle sei priorità politiche della Commissione Europea. Nel marzo 2021, la Commissione UE propose una via per la Digital Decade: quel programma politico guidato dal Digital Compass 2030, diventato poi un piano per raggiungere la trasformazione digitale dell’economia e della società dell’UE.
Inoltre, il Digital Compass mira a un ecosistema digitale sicuro centrato sull’essere umano, in cui i cittadini siano responsabilizzati e le imprese prosperino grazie al potenziale digitale: esso indica quattro punti cardinali per questa traiettoria: competenze digitali, infrastrutture digitali sicure e performanti, trasformazione digitale delle imprese e digitalizzazione dei servizi pubblici.
Questa agenda politica si allinea alle norme e agli standard dell’UE per rafforzare la sovranità digitale dell’UE.
Diversi strumenti di bilancio stanno già sostenendo gli investimenti necessari per costruire la Decade Digitale UE su basi solide; l’agenda richiede un’intensificazione del lavoro iniziato nel decennio precedente per accelerare la trasformazione digitale dell’Europa, basandosi sui progressi verso un mercato unico digitale completamente funzionante.
I tre pilastri della strategia del Mercato Unico Digitale
La Strategia del Mercato Unico Digitale ha aperto la strada a una maggiore armonizzazione digitale tra gli Stati membri dell’UE. Lanciata nel 2015, mirava a contribuire alla crescita economica, potenziando l’occupazione, la concorrenza, gli investimenti e l’innovazione nell’UE, basandosi su tre pilastri:
- Accesso: miglioramento dell’accesso per consumatori e imprese a beni e servizi digitali in tutta Europa;
- Ambiente: creazione delle condizioni giuste ed eque per far prosperare reti digitali e servizi innovativi;
- Economia e Società: massimizzazione del potenziale di crescita dell’economia digitale.
Poiché il digitale è una priorità dell’UE, è anche una priorità per i paesi partner strategici dell’UE per costruire un ambiente digitale migliore e più armonizzato. Gli obiettivi della politica del Partenariato Orientale (PO) includono azioni mirate che sosterranno lo sviluppo del Mercato Unico Digitale: investimenti in economie competitive e innovative, nelle società delle persone e della conoscenza, nella sicurezza e resilienza cibernetica e nella trasformazione digitale. L’estensione dei benefìci del Mercato Unico Digitale ai paesi partner orientali è un obiettivo importante della Struttura EU4Digital Initiative.
Il Cyber Resilience Act per l’Internet of Things: più sicurezza per i consumatori
Il Presidente del Consiglio Europeo, di concerto con il Parlamento Europeo ha raggiunto, di recente, un accordo provvisorio sulla proposta di legislazione relativa ai requisiti di sicurezza informatica per i prodotti dell’IoT (Internet of Things) con elementi digitali. L’obiettivo è garantire che prodotti connessi ad Internet, come ad esempio, telecamere domestiche, frigoriferi, televisori e giocattoli smart siano sicuri prima di essere immessi sul mercato, come quanto normato dal Cyber Resilience Act (CRA), ovvero una legge comunitaria per tutelare i consumatori e le imprese UE che acquistano o utilizzano prodotti o software con un componente digitale: esso segnerà la fine delle caratteristiche di sicurezza inadeguate con l’introduzione di requisiti obbligatori di sicurezza informatica per i produttori e i rivenditori di tali prodotti, con questa protezione che si estenderà per tutto il ciclo di vita del prodotto.
L’accordo di sicuro rappresenta una pietra miliare verso un mercato unico digitale sicuro in Europa. I dispositivi connessi devono avere un livello di base di sicurezza informatica quando vengono venduti nell’UE, garantendo che imprese e consumatori siano adeguatamente protetti dalle minacce informatiche: questo è esattamente ciò che il CRA otterrà una volta entrato in vigore. La nuova legge, infatti, introduce requisiti di sicurezza informatica a livello comunitario per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software, al fine di evitare requisiti sovrapposti derivanti da diverse legislazioni degli Stati membri dell’UE.
La regolamentazione si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete. Vi sono alcune eccezioni per i prodotti per i quali i requisiti di sicurezza informatica sono già stabiliti nelle attuali normative dell’UE, come ad esempio dispositivi medici, prodotti aeronautici e automobili. Questa proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la legislazione esistente sulla sicurezza informatica, garantendo che i prodotti con componenti digitali siano resi finalmente sicuri in tutta l’UE lungo tutta la catena di approvvigionamento e durante il loro ciclo di vita.
Infine, la regolamentazione consentirà ai consumatori di tenere conto della sicurezza informatica nella scelta e nell’uso dei prodotti che contengono elementi digitali, facilitando loro l’individuazione di prodotti hardware e software con adeguate funzionalità di sicurezza informatica.
Nelle sue conclusioni del 2 dicembre 2020 sulla sicurezza informatica dei dispositivi connessi, il Consiglio UE aveva sottolineato l’importanza di valutare la necessità di una legislazione orizzontale a lungo termine per affrontare tutti gli aspetti rilevanti della sicurezza informatica dei dispositivi connessi, come la disponibilità, l’integrità e la riservatezza, compresi i requisiti per la messa in commercio.
Annunciato per la prima volta dalla Presidente della Commissione Von Der Leyen nel suo discorso sullo stato dell’Unione a settembre 2021, il CRA era stato menzionato alla conclusione del Consiglio del 23 maggio 2022 sullo sviluppo della “posizione cibernetica” dell’Unione Europea, che aveva esortato la Commissione a presentare la sua proposta entro la fine del 2022. Il 15 settembre 2022: essa aveva presentato la proposta per il CRA, che ora completerà il quadro esistente dell’UE in materia di sicurezza informatica dopo la direttiva sulla sicurezza dei sistemi di rete e informazione (direttiva NIS), la direttiva sulle misure per un elevato livello di sicurezza informatica in tutta l’Unione (direttiva NIS 2) e l’ EU Cybersecurity Act sulla sicurezza informatica dell’UE.
Ora, questo storico accordo raggiunto sarà ora sottoposto all’approvazione formale sia del Parlamento che del Consiglio Europei. Una volta adottato, il CRA entrerà in vigore il 20° giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale UE: alla sua entrata in vigore, produttori, importatori e distributori di prodotti hardware e software avranno 36 mesi per adeguarsi ai nuovi requisiti, con l’eccezione di un periodo “di grazia” più limitato di 21 mesi per l’obbligo di segnalazione degli incidenti e delle vulnerabilità da parte dei produttori.
Rafforzamento della Cybersecurity in Europa: l’azione di Google
Google ha già aperto un nuovo centro, il Google Safety Engineering Center (GSEC) a Malaga, sulla costa spagnola. Si tratta di un centro focalizzato sulla sicurezza informatica, con l’obiettivo di rendere Internet più sicuro. Dato che le minacce informatiche diventano sempre più avanzate e dannose, il GSEC di Malaga desidera essere parte della soluzione, collaborando con esperti, accademici, aziende e Governi per condividere conoscenze e ricerche, allineandosi con l’impegno di Google per la sicurezza digitale europea.
Con questo progetto Google riunirà tutti i suoi team per sviluppare e implementare ricerche all’avanguardia e nuovi strumenti per affrontare le crescenti minacce informatiche. Il centro di Malaga si unisce ai già esistenti Google Safety Engineering Centers di Dublino e Monaco, dove gli ingegneri stanno già lavorando attivamente su soluzioni per la sicurezza digitale. Il centro sottolinea anche l’importanza dei princìpi di sicurezza open source.
Potenziare la formazione in sicurezza informatica in tutta Europa
Oltre a tutto ciò, Google ha di recente annunciato un investimento di 10 milioni di dollari per potenziare la formazione in sicurezza informatica in tutta Europa. In collaborazione con l’European Cyber Conflict Research Incubator (ECCRI CIC), Google sta lanciando un nuovo programma di seminari europei sulla sicurezza informatica per avanzare nello sviluppo delle competenze in sicurezza informatica e aiutare le organizzazioni locali a costruire le proprie protezioni online.
Il programma fornirà, ad esempio, alle università un programma e un piano di studi di formazione in sicurezza informatica, consentendo loro di offrire corsi di sicurezza informatica a studenti provenienti da diverse esperienze, e anche senza esperienza precedente. Si prevede di iscrivere oltre 1.600 studenti nel programma iniziale, durante il quale alle università saranno dati due anni per organizzare almeno due seminari di sicurezza informatica ciascuno.
Attualmente, l’Europa soffre di una carenza di talenti nella sicurezza informatica di fino a 500.000 professionisti, con solo il 25% dei posti di lavoro in sicurezza informatica occupati da donne. In mezzo a carenze globali di personale, alcune organizzazioni pagano più di 500.000 dollari per talenti in sicurezza informatica in ruoli specifici di alto livello. Inoltre, questo programma di formazione in cybersecurity supporterà le organizzazioni locali attingendo da studenti del posto: ogni studente che parteciperà al nuovo piano di formazione di Google dovrà mettere in pratica le competenze apprese in classe supportando almeno due organizzazioni comunitarie per potenziare le loro protezioni informatiche.
Gli obiettivi del programma
Le previsioni del gigante di Mountain View stimano di raggiungere almeno 3.200 organizzazioni nei primi due anni del programma; inoltre, ogni gruppo di università selezionato per il finanziamento attraverso il programma di BigG, avrà la possibilità di ricevere una formazione completamente gratuita da parte degli stessi dipendenti di Google, i nuovi “mentori” che daranno informazioni dall’iscrizione all’utilizzo del programma di protezione avanzata di Google.
Il programma finanzierà anche la creazione di risorse educative per le università con percorsi flessibili di sicurezza informatica, offrendo una panoramica di livello base del settore e competenze di base che possono essere utilizzate per supportare le organizzazioni comunitarie più vulnerabili agli attacchi informatici: il piano di studi verrà tradotto in otto lingue europee, tra cui inglese, italiano, spagnolo e ucraino e sarà disponibile gratuitamente per tutte le istituzioni accademiche, insieme a istruzioni didattiche complete.
Perdipiù, l’anno scorso, Google ha lanciato un nuovo certificato di sicurezza informatica di livello base per insegnare ai partecipanti come identificare rischi, minacce e vulnerabilità comuni, nonché le tecniche per mitigarli: questo “Google Cybersecurity Certificate” ha l’obiettivo di preparare i partecipanti ai futuri lavori di livello base in sicurezza informatica in meno di sei mesi senza alcuna esperienza pregressa, creando così maggiori opportunità di lavoro per talenti di tutto il mondo e contribuendo a colmare il crescente numero di ruoli di sicurezza informatica ancora vacanti.
L’impegno di Microsoft nella formazione di competenze in cybersecurity
Anche Microsoft sta offrendo, in questo contesto di continua necessità di figure professionistiche nel settore cyber, un programma di certificazione professionale denominato Microsoft Cybersecurity Analyst Professional Certificate, mediante una celebre piattaforma di formazione continua sul web, in lingua inglese ma con sottotitolaggio anche in italiano.
Nell’odierno mondo guidato dalla disruption della digitalizzazione multisettoriale, la cybersecurity si è affermata come un pilastro critico per la tutela di tutti gli asset digitali globali, affinché possa essere implementata per proteggerci dalle minacce cibernetiche.
Ecco perché Microsoft ha riconosciuto l’urgenza di soddisfare questa domanda negli USA e in Europa, offrendo un’eccezionale opportunità per gli aspiranti analisti di cybersecurity: il suo programma di certificazione professionale è composto da 9 corsi che guideranno gli aspiranti provenienti da diverse esperienze verso la competenza di analisti di cybersecurity.
Il programma è progettato per l’apprendimento di figure professionali di qualsiasi livello di formazione ed expertise professionale, che siano neofiti nel campo o qualcuno desideroso di migliorare le proprie competenze esistenti, abbracciando le seguenti tematiche:
- Introduzione a Computer e Sistemi Operativi e Sicurezza;
- Introduzione a Networking e Cloud Computing;
- Vettori di Minaccia e Mitigazione della Cybersecurity;
- Soluzioni di Identità e Accesso della Cybersecurity utilizzando Azure AD;
- Soluzioni di Cybersecurity e Microsoft Defender;
- Strumenti e Tecnologie della Cybersecurity;
- Gestione e Conformità della Cybersecurity;
- Concetti Avanzati di Cybersecurity e Progetto Capstone.
Il programma inizia offrendo una comprensione approfondita del panorama della cybersecurity approfondendo concetti fondamentali come conformità, sicurezza e soluzioni di identità, fornendo una solida base per il percorso futuro. Poiché offre un’esperienza di apprendimento a proprio ritmo personale, i partecipanti saranno in grado di bilanciare gli studi con i loro impegni esistenti.
Uno dei punti salienti di questo programma è il suo approccio inclusivo. Non è richiesta alcuna esperienza precedente per intraprendere questo percorso di apprendimento. Chiunque sia appassionato di cybersec e sia disposto a dedicare tempo ed energia in questo campo potrà partecipare, acquisendo competenze in vari ambiti, come: Sicurezza delle Reti, Sicurezza del Cloud Computing, Penetration Testing, Gestione degli Incidenti di Sicurezza Informatica e Mitigazione delle Minacce informatiche.
Come Google ed altri player internazionali, anche Microsoft sta offrendo le sue migliori strategie digitali per formare e migliorare la sicurezza cibernetica delle prossime figure lavorative del mondo professionale negli USA e nel Vecchio Continente.
Amazon e l’ACN: una partnership per la sicurezza italiana
Amazon ha ufficialmente avviato una collaborazione strategica con l’Agenzia per la Cybersicurezza Nazionale (ACN), l’ente governativo nazionale incaricato di promuovere la resilienza e la sicurezza informatica dell’Italia nello spazio cibernetico.
Tale partnership è parte integrante del Government Cybersecurity Program (GCSP), un’iniziativa finalizzata alla condivisione delle migliori pratiche nel settore della sicurezza informatica, comprese informazioni dettagliate riguardanti minacce e rischi nel contesto cibernetico, dando il via, così, a dibattiti operativi focalizzati sulla reciproca condivisione di informazioni concernenti tali minacce.
Considerando l’evoluzione e la crescente sofisticazione delle minacce informatiche, Amazon si propone di mettere a disposizione le sue tecnologie avanzate, i suoi servizi cloud altamente sicuri e il proprio bagaglio di competenze per cittadini, imprese e autorità pubbliche italiane, con l’obiettivo di potenziare i sistemi di prevenzione contro gli attacchi mirati alle infrastrutture del paese.
Pioniera nel settore del cloud computing, grazie all’introduzione dei primi servizi di infrastruttura cloud già nel 2006, Amazon ha costantemente posto la sicurezza come sua massima priorità rispondendo ai rigorosi requisiti odierni comunitari di sicurezza richiesti da forze armate, istituti bancari globali e altre organizzazioni altamente sensibili. Così facendo, anche in Italia le organizzazioni di qualsiasi settore saranno rese sempre più competitive, sicure e sostenibili.
Conclusioni
In conclusione, l’impegno congiunto tra l’Unione Europea, le aziende private e le istituzioni pubbliche per rafforzare la resilienza alle minacce attuali della cybersecurity rappresenta un passo significativo verso un futuro digitale più sicuro e resiliente. La sinergia di risorse, competenze e strategie sta creando una rete di difesa robusta, in grado di affrontare sfide sempre più sofisticate nel cyberspazio.
L’Unione Europea, fungendo da catalizzatore per la collaborazione, ha promosso l’adozione di standard di sicurezza elevati e la condivisione efficace delle informazioni tra i suoi membri. Le aziende private, consapevoli della necessità di proteggere le proprie operazioni e i dati dei clienti, hanno abbracciato pratiche avanzate di sicurezza informatica, contribuendo così al tessuto resistente della nostra infrastruttura digitale.
In parallelo, le istituzioni pubbliche hanno giocato un ruolo chiave nel facilitare la comunicazione e la cooperazione tra settori, garantendo che le politiche di cybersecurity siano allineate con le esigenze della società. La collaborazione tra queste entità, condividendo conoscenze e risorse, ha dimostrato che solo attraverso sforzi congiunti possiamo affrontare efficacemente le sfide sempre mutevoli nel panorama della sicurezza cibernetica.
Ora, guardando al futuro, è fondamentale mantenere questa collaborazione dinamica e adattabile, continuando a investire in innovazione, formazione e strategie preventive. Solo con un impegno costante e condiviso possiamo garantire un ambiente digitale sicuro e resistente per le generazioni a venire.
