La Commissione Europea ha ufficialmente presentato ieri, dopo tante voci di corridoio circolate sin dai giorni precedenti, quello che è già stato informalmente definito “Cybersecurity package”: ossia un nuovo insieme di azioni ed iniziative, in parte già effettive ed in parte ancora solo proposte, per indirizzare la sicurezza cibernetica dell’Unione nel prossimo decennio. Non è la prima volta che si occupa di cyber, ma questa volta sembra fare sul serio: a cominciare dalle risorse, 4,5 miliardi di euro.
Come cambia la cyberstrategy europea
Cuore del pacchetto è la nuova cyberstrategy europea, seconda revisione della storica strategia emessa per la prima volta nel 2013, che è entrata in vigore da subito. Fra le nuove iniziative ancora allo stato di proposta proposte vi sono tra l’altro l’aggiornamento della Direttiva NIS, con una revisione che a due anni dall’entrata in vigore della norma mira ad estenderla ad altri settori e ad aumentare il livello di protezione comune degli operatori che già ne fanno parte, e l’introduzione di una nuova direttiva sulla resilienza delle entità critiche.
La nuova strategia cibernetica, chiamata “EU’s Cybersecurity Strategy for the Digital Decade”, si propone tre importanti obiettivi:
- aumentare ulteriormente la sicurezza dei servizi essenziali e degli oggetti connessi,
- rafforzare le capacità collettive per rispondere agli attacchi cibernetici,
- sviluppare collaborazioni con partner di tutto il mondo per assicurare la sicurezza e la stabilità del cyberspace.
Per ottenere tali risultati la strategia si sviluppa su tre aree d’azione denominate rispettivamente: “Resilienza, sovranità tecnologica e leadership”, “Costruzione di una capacità operativa per la prevenzione, la deterrenza e la risposta”, e “Promozione di uno spazio cibernetico globale e aperto attraverso una maggiore cooperazione”.
La revisione della direttiva Nis (Nis 2)
Della prima area fa parte principalmente la proposta di revisione della Direttiva NIS, già denominata “NIS 2”, che mira sia ad ampliare la tipologia di servizi essenziali da tutelare che a rafforzare le misure di protezione poste a carico dei rispettivi operatori. Fra le novità annunciate per la nuova Direttiva, che devono comunque ancora essere formalmente sviluppate in una bozza da presentare al Parlamento, vi è l’intenzione di includere fra i servizi tutelati la Pubblica Amministrazione, le aziende e i laboratori di ricerca nel settore farmaceutico e dei dispositivi medici impiantati e dei data center.
Rete europea di Soc
Sempre in quest’area, un po’ sulla falsariga di quanto venne fatto con la prima cyberstrategy per la creazione della rete europea dei CERT, si sviluppa la proposta di creare una rete europea di SOC, ossia di strutture operative dedicate al monitoraggio delle reti allo scopo di rilevare tempestivamente ogni indizio precursore di un attacco cibernetico. Sono previste anche iniziative a sostegno delle PMI e per lo sviluppo delle professionalità richieste dal settore della cybersecurity di cui vi è ancora forte carenza sul mercato europeo del lavoro.
Joint cyber unit
Della seconda area fa parte la prevista creazione da parte della Commissione, ma con la stretta collaborazione degli Stati Membri, di una nuova cosiddetta Joint Cyber Unit (unità cibernetica congiunta) avente lo scopo di rafforzare la cooperazione fra le istituzioni europee e le varie autorità degli Stati Membri, non solo civili e di polizia ma anche negli ambiti della diplomazia e della difesa, responsabili a vario titolo per la prevenzione e la risposta agli attacchi cibernetici. Sempre in quest’ambito si mira a rafforzare la cooperazione fra gli Stati Membri nel settore della cyberdefence, sviluppando specifiche iniziative nell’ambito della già esistente European Defence Agency.
Cooperazione internazionale per i diritti
Nella terza area ci si rivolge soprattutto al mondo delle norme, delle leggi e dei trattati internazionali, per sviluppare iniziative che consentano di rafforzare la cooperazione internazionale allo scopo di promuovere la sicurezza e la stabilità dello spazio cibernetico comune nel rispetto dei diritti e delle libertà fondamentali dei cittadini. In quest’ambito l’Europa ha già varato negli scorsi anni il cosiddetto “EU Cyber Diplomacy Toolbox” che verrà ulteriormente sviluppato per contribuire al dialogo non solo verso i propri partner tradizionali ma anche verso i Paesi terzi e le organizzazioni sovranazionali quali le Nazioni Unite.
In conclusione
Per raggiungere nell’arco del prossimo decennio questi ambiziosi obiettivi la Commissione ha messo sul piatto un piano di investimenti e finanziamenti senza precedenti, che conta di raggiungere la strabiliante cifra di quattro miliardi e mezzo di euro in sette anni. Un atteso effetto collaterale di questo piano di investimenti, che andrà in gran parte alle PMI ma di cui beneficeranno tutti i settori industriali, sarà quello di rafforzare le capacità tecnologica e la competitività delle imprese europee nel settore della cybersecurity, traguardando in anticipo anche tecnologie ancora al di là da venire quali le reti 6G.
Questo obiettivo, lo ricordiamo, era già stato espresso nella prima cyberstrategy europea del 2013 ma ad esso non venne mai dato seguito con un adeguato piano di finanziamenti, e quindi le aspettative dell’epoca rimasero in gran parte lettera morta: questa volta invece la Commissione, forse consapevole dell’errore passato, intende supportare con grande energia lo sviluppo delle capacità delle imprese europee nel settore cyber, a sostegno non solo dell’avanzamento sul piano economico e industriale ma, più in generale, per attuare una strategia che vede nel possesso di tecnologie sovrane l’unico modo per competere sui mercati del prossimo decennio e per garantire ai cittadini europei la disponibilità di reti, servizi e applicazioni sicure ed affidabili a sostegno di ogni aspetto della propria vita on-line.
