Si è detto e scritto molto sulla sovranità digitale europea e, sebbene ciò abbia contribuito a sensibilizzare e a rendere maggiormente matura la comunità tecnologica, ha anche creato una certa confusione su questi termini.
Dopo molte discussioni con rappresentanti del settore pubblico e privato in tutta Europa, è tempo di fare una semplice distinzione tra sovranità e autonomia digitale.
La sovranità può essere definita come il potere di un Paese di definire e applicare in modo indipendente una legge o un regolamento (inclusi standard e certificazioni). Il settore privato deve rispettare queste leggi, sia come utente che come fornitore.
L’autonomia digitale si può intendere come la capacità di uno stakeholder (pubblico o privato) di padroneggiare determinate tecnologie, sistemi o servizi. La produzione di questi componenti, apparecchiature o sistemi può essere effettuata al di fuori di un Paese (o dell’Europa, nel nostro caso) se il produttore controlla l’intera catena di distribuzione. Tuttavia, questo è quasi impossibile considerando la complessità dei sistemi odierni delle tecnologie dell’informazione. Pertanto, la piena autonomia digitale in generale, ma anche per apparecchiature o sistemi specifici, è praticamente impossibile in quanto gli investimenti sarebbero colossali, vista anche la veloce evoluzione del settore. Dovremmo quindi piuttosto parlare di “incremento dell’autonomia digitale”.
Catene di fornitura affidabili per componenti digitali
Per costruire una catena di fornitura affidabile, come possiamo controllare determinati componenti, apparecchiature o sistemi che non sono prodotti nel Paese? Qui, il concetto di sovranità torna utile. Le amministrazioni nazionali possono certificare (seguendo determinate regole) che alcuni componenti o apparecchiature fabbricati in qualche parte del mondo e i loro possibili aggiornamenti / patch sono conformi alle leggi di sicurezza nazionale (leggi sulla sovranità) e che possono essere utilizzati con sicurezza nella catena di fornitura. Il sistema o servizio finale può quindi essere considerato “sovrano” in quanto rispetta le legislazioni nazionali.
La diversificazione dei fornitori contribuisce anche a questo concetto in quanto la sovranità, per un Paese, implica anche la capacità di fornire servizi sicuri o vitali ai suoi cittadini, alla società o all’economia indipendentemente dalle (potenzialmente) situazioni critiche (es.: dipendenza europea dalle attrezzature sanitarie all’inizio della crisi COVID-19 in un solo Paese e un numero troppo limitato di fornitori).
Sciogliere il Nodo gordiano
Le amministrazioni nazionali potrebbero cercare un alto livello di autonomia digitale per questioni di sicurezza nazionale o servizi vitali, ma potrebbero anche tollerare un livello inferiore di autonomia quando si considerano questioni economiche (i costi di acquisto e di esercizio) o altre questioni politiche (rapporti specifici con i Paesi fornitori o importanti investimenti nel Paese e/o grande forza lavoro occupata).
Le amministrazioni nazionali potrebbero anche essere interessate al concetto di sovranità per le stesse ragioni: sicurezza nazionale e servizi vitali, questioni economiche e questioni politiche. In tal caso, la formulazione e l’attuazione delle legislazioni sulla sovranità saranno più o meno rigorose e molto probabilmente molto diverse tra i diversi Paesi (europei). Per questo motivo, a oggi una “sovranità europea” globale è praticamente impossibile. Allo stesso modo, una tassazione europea comune che potrebbe supportare soluzioni europee e contribuire a mantenere i dati in Europa, fornendo condizioni di parità, sembra essere ancora un obiettivo remoto.
Potrebbero esserci esempi di tale sovranità quando i Paesi concordano e attuano uno specifico regolamento o legislazione dell’UE, ma già nel caso delle direttive europee, il loro recepimento è legato alle leggi nazionali e in qualche modo il concetto comune di sovranità europea è degradato. Inoltre, alcuni Paesi potrebbero imporre condizioni o requisiti specifici, aumentando così la frammentazione. Gli standard possono aiutare l’interoperabilità di componenti/sistemi tra i Paesi. È necessario sviluppare competenze per progettare o mantenere i componenti secondo “linee guida sulla sovranità” (o potrebbe esserci una crescente dipendenza da Paesi terzi, ad esempio per il lock-in dei fornitori di servizi cloud).
Maturità crescente
L’Europa sta accrescendo il proprio livello di maturità digitale e sta progressivamente comprendendo che in questo campo è necessaria una cooperazione più forte tra stati membri per costruire una più forte sovranità europea comune. Ma questo richiederà tempo.
In questo processo di maturità, il dialogo pubblico-privato sarà essenziale per identificare il percorso della sovranità europea comune e sostenere l’aumento dell’autonomia digitale (strategica), in particolare se collegata agli investimenti necessari e alle regole di acquisizione per applicazioni sensibili. Questa è esattamente l’area in cui ECSO con i suoi membri pubblici e privati stanno portando un alto valore aggiunto in Europa.
Alcuni stakeholder europei che chiedono una maggiore sovranità non sono necessariamente quelli che stanno investendo una quantità sufficiente di risorse per aumentare il livello di autonomia e / o per trovare soluzioni europee. Ciò potrebbe avere una conseguenza negativa indesiderata, poiché l’Europa, pur cercando soluzioni più autonome fornite dai produttori dell’UE, potrebbe non investire risorse sufficienti per sviluppare e utilizzare tali soluzioni, rimanendo così indietro nel mercato e spingendo gli utenti ad adottare e utilizzare soluzioni non europee.
Affrontare la sfida
Un possibile supporto alle sfide legate alla crescita dell’autonomia digitale dell’UE potrebbe essere fornito dalle amministrazioni nazionali, con l’introduzione di alcune normative specifiche a sostegno dell’uso obbligatorio di soluzioni comunitarie o imponendo restrizioni nel modo in cui le soluzioni (europee ed extraeuropee) vengono utilizzate (ad esempio la futura “European sovereign cloud”: GAIA-X).
Mentre le pubbliche amministrazioni definiranno la legislazione per l’uso di soluzioni sovrane per un’elevata sicurezza e applicazioni vitali, la priorità principale per il settore privato sarà esaminare come aumentare la propria autonomia digitale e la propria capacità di padroneggiare soluzioni strategiche. Questo aumento dell’autonomia digitale potrebbe essere realizzato al meglio in stretta collaborazione con le amministrazioni pubbliche sostenendo la crescita dell’autonomia strategica con adeguate politiche di acquisto.
La gestione dei dati a livello europeo potrebbe essere soggetta all’uso di “soluzioni UE” con determinati requisiti dettati da questioni di sovranità (sicurezza nazionale). In altri casi, quando i dati potrebbero essere sfruttati per un valore economico aggiunto in un migliore rispetto dei valori fondamentali, le soluzioni comunitarie potrebbero essere utilizzate per supportare una “maggiore autonomia digitale” (ma non per la giustificazione di una maggiore sovranità).
Le domande da porsi sono molteplici: quali tecnologie/componenti/apparecchiature/sistemi/servizi sarebbero necessari per garantire la sicurezza nazionale (seguendo le linee guida delle amministrazioni nazionali) e per la crescita economica (strategica)? Quali possibilità e capacità sono presenti in Europa, cosa manca, cosa dovrebbe/potrebbe essere sviluppato e quando (e quali investimenti sono necessari) e cosa dovrebbe essere acquistato all’esterno e reso “affidabile” (tramite convalida/certificazione, quando necessario)?
Conclusioni
ECSO ha appena creato il Cyber Security Sovereignty and Autonomy Working Party per trovare possibili risposte a queste domande e per discutere quali priorità sviluppare e utilizzare per aumentare l’autonomia strategica europea nel settore della cybersecurity. Il confronto con il settore pubblico consentirà il miglior incontro tra legislazione sulla sovranità e soluzioni tecniche (sempre più autonome), considerando anche la necessità di utilizzare soluzioni extra UE quando non disponibili in Europa.
Se l’applicazione non è sensibile, potrebbe non essere necessario limitare il tipo di fornitori. Tuttavia, in caso di applicazioni sensibili (identificate dalle amministrazioni nazionali), le soluzioni extra UE implementate nei sistemi/servizi dovrebbero essere convalidate dalle amministrazioni nazionali fornendo una sorta di “convalida sovrana”.
In questo futuro complesso, ECSO continuerà a federare la comunità di cybersecurity pubblica e privata in Europa, a sviluppare la competitività dei suoi membri e l’ecosistema di cybersecurity europeo, supportando l’aumento dell’autonomia digitale europea.
