La cybersecurity e, in particolare, la sicurezza della rete e dei sistemi di ICT sono diventati una priorità fondamentale per il legislatore europeo. E tuttavia ci sono ancora molti passaggi normativi da ultimare, in Europa e in Italia.
Cybersecurity, status quo e strategie
Bisogna fare presto. Secondo un recente report pubblicato da Accenture, nel 2019 ogni azienda ha subìto, in media, 145 attacchi cyber. Tale dato dimostra un incremento nel numero degli attacchi di circa l’11% rispetto al 2017. L’impatto economico di tali attacchi, con consequenziale effetto sul PIL di ogni stato e la loro natura transfrontaliera hanno reso chiara la necessità di un’azione collettiva da parte di tutti gli attori coinvolti, a livello internazionale.
Consapevole della necessità di sviluppare azioni comuni per affrontare tale problematica l’Unione Europea, su iniziativa della Commissione ha iniziato a sviluppare negli ultimi venti anni iniziative legislative atte a rafforzare la cooperazione tra stati membri al fine di assicurare ai cittadini Europei un mercato unico sicuro. Tale sicurezza, nel momento in cui il mercato unico sta diventando sempre più un mercato digitale risulta infatti elemento essenziale per rafforzare la fiducia dei consumatori, e consequenzialmente perché le aziende europee, con i loro servizi e prodotti possano crescere e affermarsi sul panorama internazionale.
L’articolo 349 del Trattato sul Funzionamento dell’Unione Europea (TFUE), che nella gerarchia delle fonti ha valore primario, stabilisce che il Consiglio, uno dei tre organi legislativi dell’Unione Europea (UE), dovrebbe adottare misure coerenti con i dispositivi fino a quel momento prese nell’ordinamento europeo. Nonostante questo riferimento normativo, che trova riscontro in altri articoli del TFUE, risulta difficile dare una definizione concreta del concetto di coerenza.
Dal punto di vista giuridico per coerenza deve intendersi il principio che descrive e caratterizza una serie di atti legislativi che, combinati sinergicamente, apportano un valore aggiunto a un quadro normativo specifico. Nel contesto europeo la nozione di coerenza risulta utile per comprendere ed analizzare in maniera critica lo sviluppo e l’interazione tra le relazioni orizzontali e verticali che caratterizzano l’UE e le politiche sviluppate al suo interno.
Nello specifico contesto della cybersecurity, come affermato da più autori, senza un approccio e riconoscimento universale qualsiasi legislazione rischia, anche per mancanza di una coerenza strutturale, di essere inefficace. In pratica, quando si tratta di definire il livello di rischio di una specifica attività, prodotto o servizio, i diversi approcci presi a livello nazionale dai vari stati membri potrebbero determinare per la natura transfrontaliera delle minacce che caratterizzano tale ambito, un aumento del rischio.
Cybersecurity nell’Ue in cerca di armonia
La prima difficoltà nel valutare la coerenza della legislazione Europea in ambito cybersecurity deriva dall’assenza di una definizione di sicurezza informatica tra gli atti legislativi vincolanti prodotti a livello europeo. Mentre a livello nazionale molti stati membri hanno sviluppato nei loro ordinamenti una definizione.
L’unica descrizione completa di cosa s’intenda per cybersecurity è data dalla comunicazione, che dal punto di vista giuridico non ha valore vincolante ma è più che altro da considerarsi come uno strumento interpretativo e d’indirizzo degli atti vincolanti prodotti nello stesso contesto, che accompagna la strategia dell’UE sulla cybersecurity del 2013 (EUCSS 2013).
Tale comunicazione insieme alla definizione di cosa debba intendersi quando ci si riferisce a cybersecurity anche la definizione, di ben più ampio respiro, di cybercrime. Secondo la definizione fornita per cybersecurity (tradotto nel documento italiano con il termine cybersicurezza) deve intendersi l’insieme delle “precauzioni e interventi che si possono prendere per proteggere il cyberdominio, in campo sia civile che militare, nei confronti delle minacce associate o che possono nuocere alle loro reti e infrastrutture di informazione interdipendenti. La cybersicurezza si propone di salvaguardare la disponibilità e l’integrità delle reti e dell’infrastruttura e la riservatezza delle informazioni che esse contengono”.
La cybersecurity e, in particolare, la sicurezza della rete e dei sistemi di ICT sono diventati una priorità fondamentale per il legislatore Europeo. Le prime iniziative prese dalla Commissione Europea, attraverso attraverso molteplici comunicazioni, hanno da sempre sottolineato la necessità di armonizzare, a livello europeo, le misure sostanziali (definizioni di crimini e protocolli di sicurezza) e procedurali (organizzativi) tra i vari stati UE per combattere per assicurare un adeguato livello di cybersecurity.
Cybersecurity, l’iter europeo
La prima misura in ambito cybersecurity che presa a livello europeo è la comunicazione della Commissione Europea sulla sicurezza delle reti del 2001. Qui la Commissione sottolinea come “le misure politiche in tale ambito possono avere un duplice beneficio: rafforzare dal punto di vista economico il mercato interno e allo stesso tempo, dal punto di vista giuridico, migliorare il quadro giuridico”.
In tale contesto, la comunicazione fornisce un elenco di azioni per rafforzare la cooperazione tra tutte le parti interessate, vale a dire, stati membri, privati ed organismi dell’UE. La comunicazione sottolinea inoltre l’importanza di avere un approccio coordinato non solo a livello europeo ma a livello internazionale. Nonostante molti spunti degni d’interesse, ad un’analisi attenta la suddetta comunicazione, pur sottolineando l’importanza di azioni coordinate, non fornisce una definizione sostanziale degli elementi che devono presi in considerazione per sviluppare una strategia organizzativa comune tra gli stati, nello specifico, quali siano i rischi e le minacce da tenere in considerazione.
Mentre per quel che riguarda l’attuazione delle misure previste nella Cybercrime Convention, anche nota come Convenzione di Budapest, la decisione quadro 2005/222 e la NIS Directive del 2013 hanno consentito l’armonizzazione di norme sostanziali e procedurali in ambito cybercrime. Sfortunatamente, la Convenzione di Budapest e l’attuazione delle iniziative legislative dell’UE si concentrano sull’ambito cybercrime e non coprono gli aspetti di cybersecurity, mantendo una discrepanza tra due ambiti, tra loro complementari.
Cybersecurity dell’Ue, la svolta 2013
L’Agenda digitale europea rappresenta uno dei pilastri del programma Europa 2020, che fissa programmaticamente gli obiettivi per la crescita dell’UE. Una delle priorità è rappresentata dal rafforzamento della fiducia e della sicurezza dei consumatori nel contesto digitale. La strategia dell’UE del 2013 (EUCSS 2013) comprende una serie d’iniziative legislative vincolanti e non vincolanti volte a stabilire un cyberspazio aperto, sicuro e protetto.
Per fare ciò gli atti che compongono tale strategia sviluppano azioni atte a combattere il cybercrime proteggendo al tempo stesso a livello comunitario le infrastrutture critiche, rinforzando la sicurezza delle reti. In conclusione, l’EUCSS 2013 ha avuto l’ambizioso obiettivo sviluppare per la prima volta una strategia a livello comunitario in ambito cybersecurity. Compongono l’EUCSS 2013 la direttiva NIS e la Comunicazione della Commissione che sottolinea l’importanza della cooperazione tra il settore pubblico e privato riconoscendo il valore strategico della partnership.
Lo sviluppo della direttiva Nis
La Direttiva NIS è la prima iniziativa legislativa orizzontale vincolante dell’UE nell’area della cybersecurity e rappresenta la pietra angolare dell’EUCSS 2013. La direttiva NIS è stata sviluppata seguendo due obiettivi complementari: protezione delle infrastrutture critiche, promozione e potenziamento del mercato interno dell’UE. In linea con qesto approccio la base giuridica della direttiva NIS è l’articolo 116 del TFUE sul mercato unico, materia in cui l’UE ha la competenza esclusiva di legiferare.
Questa decisione è stata criticata da numerosi autori e anche da alcuni stati membri dal momento che in concreto la NIS si occupa di sicurezza, un’area in cui l’UE e gli stati membri condividono le competenze legislative. Per quel che riguarda la coerenza di tale iniziativa nel contesto della cybersecurity vale la pena soffermarsi sul recital 5 della direttiva NIS, che conferma come il diverso livello di preparazione tra gli stati membri abbia creato asimmetrie e conseguentemente aumentato i rischi per imprese ed utenti. Per ovviare ad eventuali asimmetrie a livello nazionale come a livello comunitario le misure incluse nella Direttiva NIS si rivolgono agli Stati membri, agli operatori di servizi essenziali ed ai digital service providers (es. mercati online, motori di ricerca online e servizi di cloud computing) che vengono inclusi nello scopo di applicazione di tale Direttiva per la crescente importanza che tali providers hanno nel panorama internazionale. La NIS è il risultato di quasi dieci anni di iniziative legislative nel campo della sicurezza informatica ed incorpora la maggior parte delle indicazioni incluse nelle precedenti comunicazioni della Commissione Europea.
Analizzando la coerenza di tale iniziativa legislativa all’interno della strategia Europea in ambito cybersecurity bisogna notare che la direttiva NIS si concentra maggiormente sull’armonizzazione degli aspetti procedurali per gestire i rischi invece che sul fornire sostanziali chiarimenti in merito a quali siano i rischi e le minacce per cui tali procedure devono essere messe in atto. Infatti, mentre le procedure di coordinamento e di notifica degli incidenti tra i differenti attori sono ben definite, alcuni importanti elementi chiave che caratterizzano la valutazione dei rischi sono lasciati alle procedure di attuazione della direttiva in oggetto dai vari stati membri.
Concretamente, la direttiva NIS non chiarisce quando un incidente informatico ha un impatto c.d. sostanziale, ma solo quali sono gli elementi che dovrebbero essere considerati per tale valutazione. In definitiva, la direttiva NIS non fornisce una comprensione coerente e sostanziale degli elementi essenziali che compongono e caratterizzano l’ambito cybersecurity (rischi e minacce). Viene insomma a mancare il risk-base approach.
Cybersecurity, le nuove sfide affrontate dalle Ue
Tenendo conto dell’evoluzione delle soluzioni tecniche e operative in ambito cybersecurity e del ruolo crescente che gli attori coinvolti in tale ambito hanno nell’economia dell’UE, la Commissione Europea ha rivisitato la sua strategia in ambito cybersecurity nel 2017 con la pubblicazione del pacchetto di norme che comprende una serie di misure, vincolanti e non, con le quale la Commissione ha inteso affrontare le nuove sfide che caratterizzano tale ambito.
Le misure previste da un lato mirano a sostenere gli stati membri e i digital service providers individuati nell’Allegato III della direttiva NIS nell’attuare le disposizioni NIS chiarendono gli aspetti più problematici. D’altro canto armonizzando, attraverso il potenziamento delle capacità dell’agenzia europea ENISA, il processo di certificazione della sicurezza informatica per prodotti, servizi e processi ICT.
In particolare, il Cybersecurity Act, la principale iniziativa legislativa vincolante del pacchetto, mostra un nuovo approccio da parte della Commissione Europea in ambito cybersecurity, muovendosi in maniera proattiva rispetto all’approccio della NIS, principalmente incentrato sul coordinamento interistituzionale e sulle procedure di scambio di informazioni, verso uno orientato alla costruzione di un sistema condiviso di comprensione dei rischi peculiari della cybersecurity. Un risk-base approach come quello applicato nel contesto privacy e data protection dalla GDPR.
L’arrivo del Cybersecurity Act
Il Cybersecurity Act può essere suddiviso in due sezioni, tra loro complementari: la prima si concentra sull’implementazione delle tasks e risorse di ENISA che diventerà Agenzia Europea per la cybersecurity, mentre la seconda stabilisce la creazione di un sistema di certificazione della cybersicurezza dell’UE per prodotti, servizi e processi ICT.
Nel complesso, il nuovo regolamento mira a rafforzare il ruolo dell’UE nello scenario globale, migliorando il coordinamento transfrontaliero, dando impulso alle misure atte a migliorare l’armonizzazione sostanziale e procedurale in ambito cybersecurity e promuovendo uno standard europeo in ambito cybersecurity. Inoltre, il previsto riconoscimento reciproco da parte degli stati membri delle certificazioni UE per prodotti, servizi e processi ICT ha come principale obiettivo aumentare il coordinamento anche tramite l’aumento di un eguale livello di awareness in tutta l’area del’UE. Inoltre, la coesistenza tra certificazioni pubbliche e le già esistenti certificazioni private (es. ISO) ambisce a creare quel know-how a livello europeo in grado di garantire un appropriato livello di cybersecurity.
Raccomandazione Ue su 5G e cybersecurity
L’approccio dell’UE in ambito cybersecurity, specie con l’approvazione del Cybersecurity Act è lodevole ed incoraggiante. L’indirizzo dato a livello europeo in tale ambito, con l’obiettivo di creare un comune know-how in tale ambito è lodevole. Il risk-base approach, alla base del Cybersecurity Act, se propriamente implementato, potrà diventare uno strumento a vantaggio delle imprese che in Europa decideranno di adottarlo per aumentare il proprio fatturato e potenzialmente imporsi a livello internazionale, assicurando allo stesso tempo un livello adeguato in ambito cybersecurity.
In controtendenza con questo approccio, va annotata la raccomandazione della Commissione Europea su 5G e cybersecurity di ottobre 2019. La raccomandazione, come strumento legislativo, non ha valore vincolante. Ciononostante, è considerato strumento prodromico all’implementazione, a seconda degli outcomes generati nei soggetti interessati da tale atto, di strumenti legislativi vincolanti come direttive e regolamenti. La raccomandazione della Commissione su 5G e cybersecurity ha come obiettivo l’implementazione di strumenti legislativi non a livello Europeo ma a livello nazionale per sviluppare misure atte a mettere in sicurezza l’infrastruttura necessaria ad implementare il 5G, siano essi prodotti, servizi o processi.
La raccomandazione si rivolge a stati membri e istituzioni Europee. In particolare, per quel che riguarda gli stati membri, entro il giugno del 2019 hanno dovuto comunicare alla Commissione Europea il proprio piano nazionale per mettere in sicurezza l’infrastruttura legata all’implementazione del 5G. Inoltre, la raccomandazione richiede agli stati membri di aggiornare, qualora necessario, gli attuali criteri necessari per assicurare la sicurezza di tali assets.
In aggiunta, viene data la possibilità agli stati membri il potere (golden power) di escludere compagnie private per motivi di sicurezza. L’italia ha risposto alle sollecitazioni della Commissione Europea con il decreto-legge in ambito di perimetro di sicurezza cibernetica. Per quel che riguarda l’EU, la raccomandazione specifica che i certificati previsti dal Cybersecurity Act per processi, servizi e prodotti ICT devono essere implementati da ENISA partendo da quelli che verranno riconosciuti necessari per l’implementazione dell’infrastruttura del 5G. Considerando il contesto internazionale in cui tale atto ha visto la luce, il riferimento a Huawei, sembra consequenziale.
Cybersecurity Ue, strategie nazionali a rischio
Analizzando la situazione attuale dal punto di vista della coerenza e utilizzando l’interpretazione fornita è possibile notare l’esistenza di asimmetrie tra gli stati membri.
In particolare, sembra non essere stata risolta la mancanza di un approccio coerente all’interno dell’UE, che nella pratica ha comportato politiche diverse nella valutazione e consequenziale allocazione di risorse e capacità (legale, finanziaria e politica) da parte degli stati membri. Allo stesso tempo, lo sviluppo legislativo di una strategia in ambito cybersecurity a livello Europeo ha ridotto le consistenti asimmetrie tra gli Stati membri. In tale contesto la recente iniziativa della Commissione Europea ed il consequenziale ritorno a misure basate su strategie nazionali sembra essere un passo indietro rispetto agli atti ed iniziative fino ad oggi implementate dall’EU.
