Strategia dell'UE in materia di cibersicurezza per il decennio digitale: Domande e risposte

È giunto il momento di una nuova visione e di un nuovo piano dell'UE in materia di cibersicurezza per tre motivi. In primo luogo, sempre più servizi critici ed essenziali, così come miliardi di altri oggetti di uso quotidiano in casa e nella produzione si stanno connettendo a Internet. Anche gli attacchi che mirano a sfruttare le vulnerabilità in questi prodotti e servizi stanno proliferando di numero e aumentando di complessità. La trasformazione digitale verde è una priorità assoluta per l'UE e questo può avere successo solo se la sicurezza è integrata in tutti gli investimenti previsti, altrimenti non ci sarà fiducia nella tecnologia. In secondo luogo, il cyberspazio è il luogo di un concorso geopolitico e l'idea di un Internet globale aperto e di un quadro normativo internazionale è costantemente messa in discussione. Infine, la pandemia ha accelerato la nostra dipendenza da questi strumenti e servizi digitali. La società e l'economia non torneranno alle norme pre-lockdown. Sono necessari ingenti investimenti nel settore della cibersicurezza e per garantire che l'Europa sia strategicamente autonoma a tale riguardo, guidando lo sviluppo di tecnologie sicure lungo l'intera catena di approvvigionamento digitale.

La strategia descrive in che modo l'UE può sfruttare e rafforzare tutti i suoi strumenti e le sue risorse per essere tecnologicamente sovrana e strategicamente autonoma. Descrive inoltre in che modo l'UE può intensificare la cooperazione con i partner di tutto il mondo che condividono i nostri valori di democrazia, Stato di diritto e diritti umani. Questa autonomia strategica deve fondarsi sulla resilienza di tutti i servizi e prodotti connessi. Tutte e quattro le comunità informatiche (quelle che si occupano del mercato interno, dell'applicazione della legge, della diplomazia e della difesa) devono lavorare più strettamente per una consapevolezza condivisa delle minacce. Inoltre, devono essere pronti a rispondere collettivamente quando si materializza un attacco, in modo che l'UE possa essere più forte della somma delle sue parti.

Sono state annunciate diverse nuove iniziative strategiche. Tra questi figurano un ciberscudo a livello dell'UE composto da centri operativi per la sicurezza che utilizzano l'intelligenza artificiale e l'apprendimento automatico per rilevare i segnali precoci di attacchi informatici imminenti e consentire di intervenire prima che si verifichino danni, un'unità congiunta per il ciberspazio che riunirà tutte le comunità della cibersicurezza per condividere la consapevolezza delle minacce e rispondere collettivamente a incidenti e minacce e soluzioni europee per rafforzare la sicurezza di Internet a livello mondiale, compreso un regolamento sui servizi di risoluzione dei sistemi di nomi di dominio pubblici dell'UE per garantire un'Internet delle cose sicure. La strategia introduce un maggior numero e un rafforzamento dei dialoghi in materia di cibersicurezza con i paesi terzi e le organizzazioni regionali e internazionali, compresa la NATO, un programma d'azione delle Nazioni Unite per affrontare la sicurezza internazionale nel ciberspazio e un pacchetto di strumenti della diplomazia informatica dell'UE più forte per prevenire, scoraggiare e rispondere agli attacchi informatici. Vi saranno inoltre un'agenda dell'UE per lo sviluppo delle capacità informatiche esterne e un comitato interistituzionale dell'UE per lo sviluppo delle capacità informatiche al fine di aumentare l'efficacia e l'efficienza dello sviluppo delle capacità informatiche esterne dell'UE.

L'UE ha bisogno di mezzi agili per individuare e deviare attacchi informatici sempre più complessi e frequenti. Attualmente, i centri di condivisione e analisi delle informazioni (ISAC) aiutano le parti interessate dell'industria e le autorità pubbliche a scambiare informazioni sulle minacce. Ma dobbiamo monitorare costantemente le reti e i sistemi informatici per rilevare intrusioni e anomalie in tempo reale. Molte aziende private, organizzazioni pubbliche e autorità nazionali lo fanno attraverso centri operativi di sicurezza. Si tratta di un lavoro molto impegnativo e frenetico, motivo per cui l'IA, e in particolare le tecniche di apprendimento automatico, possono fornire un supporto inestimabile ai professionisti. La Commissione propone di creare una rete di centri operativi di sicurezza in tutta l'UE e di sostenere il miglioramento dei centri esistenti e la creazione di nuovi centri. Sosterrà la formazione e lo sviluppo delle competenze del personale che gestisce questi centri. Questa rete fornirà avvisi tempestivi sugli incidenti di cibersicurezza alle autorità e a tutti i portatori di interessi, compresa l'unità congiunta per il ciberspazio, come una rete di torri di guardia.

Gli investimenti nell'intera catena di approvvigionamento delle tecnologie digitali, che contribuiscono alla transizione digitale o ad affrontare le sfide che ne derivano, dovrebbero ammontare ad almeno il 20 %, pari a 134,5 miliardi di EUR, dei 672,5 miliardi di EUR del dispositivo per la ripresa e la resilienza, costituiti da sovvenzioni e prestiti. Nel quadro finanziario pluriennale 2021-2027 sono previsti finanziamenti dell'UE per la cibersicurezza nell'ambito del programma Europa digitale. Nel frattempo sono previsti finanziamenti per la ricerca sulla cibersicurezza nell'ambito di Orizzonte Europa, con particolare attenzione al sostegno alle PMI. In totale, ciò potrebbe ammontare a 2 miliardi di euro, più gli investimenti degli Stati membri e dell'industria. Il Fondo europeo per la difesa (FED) sosterrà le soluzioni europee di ciberdifesa nell'ambito della base industriale e tecnologica di difesa europea. La cibersicurezza è inclusa negli strumenti finanziari esterni a sostegno dei nostri partner, in particolare lo strumento di vicinato, cooperazione allo sviluppo e cooperazione internazionale.

L'unità congiunta per il ciberspazio è una piattaforma che contribuirà a proteggere meglio l'UE dagli attacchi di cibersicurezza più gravi, in particolare quelli transfrontalieri. Si basa sul concetto che la condivisione di informazioni tra i pertinenti portatori di interessi dell'UE e nazionali può dare un impulso significativo alla risposta dell'UE ai rischi e alle minacce per la cibersicurezza, come richiesto dalla Presidente della Commissione nei suoi orientamenti politici del 2019. Ciò vale in particolare per tutte le comunità, come la difesa, i civili, le forze dell'ordine e l'azione esterna. Pertanto, l'unità congiunta per il ciberspazio potrebbe aiutare i partecipanti ad acquisire una comprensione comune del panorama delle minacce e aiutarli a coordinare la loro risposta. Abbiamo bisogno dell'unità congiunta per il ciberspazio per molte ragioni. In primo luogo, l'UE non dispone attualmente di spazi per facilitare una cooperazione strutturata tra gli Stati membri e tutte le istituzioni, gli organi e le agenzie pertinenti dell'UE in materia di cibersicurezza. In secondo luogo, le reti e le comunità esistenti devono sfruttare appieno il loro potenziale e intensificare la condivisione delle informazioni, anche con il settore privato. Questo è qualcosa che oggi non accade abbastanza. In terzo luogo, l'unità congiunta per il ciberspazio colmerebbe le lacune e rafforzerebbe il quadro esistente per la cooperazione tra le istituzioni, gli organi e le agenzie dell'UE e le autorità degli Stati membri in caso di gravi incidenti o minacce informatici transfrontalieri. Infine, l'unità fornirebbe uno spazio per la collaborazione tra le comunità civili, diplomatiche, delle autorità di contrasto e della difesa in materia di cibersicurezza. Inoltre, offrirebbe ai portatori di interessi nel settore della cibersicurezza, compresi i fornitori di prodotti per la cibersicurezza e i partner di paesi terzi, un punto focale per la condivisione di informazioni sulle minacce. L'unità congiunta per il ciberspazio non costituirebbe un organismo aggiuntivo autonomo né inciderebbe sul ruolo e sulle funzioni delle autorità esistenti, ma contribuirebbe a riunirle e ad attingere alle reciproche competenze.

L'istituzione dell'unità è prevista in quattro fasi: 1. definire e mappare le capacità disponibili; 2. istituire un quadro per la cooperazione e l'assistenza strutturate; 3. attuazione del quadro; 4. ampliando le capacità, con il contributo dell'industria e dei partner.

La creazione di una piattaforma operativa comune richiede la fiducia e l'adeguato coinvolgimento di tutti i partecipanti interessati. Ciò non può accadere da un giorno all'altro e deve essere attentamente definito e preparato prima che tutte le capacità dell'unità siano implementate. Inoltre, è necessario innanzitutto creare meccanismi correttamente funzionanti tra i portatori di interessi istituzionali dell'UE, in primo luogo gli Stati membri, prima di poterli estendere ai portatori di interessi del settore privato. In linea con quanto è stato fatto negli ultimi mesi, da qui a febbraio la Commissione continuerà a consultarsi con le parti interessate al fine di individuare il processo, le tappe fondamentali e i tempi più appropriati per realizzare l'unità.

Ogni cosa connessa contiene vulnerabilità che possono essere sfruttate e influenzare altri servizi, reti o anche intere economie. Le norme del mercato interno comprendono misure di salvaguardia contro prodotti e servizi non sicuri. La certificazione ai sensi del regolamento sulla cibersicurezza mira a incentivare prodotti e servizi sicuri senza compromettere le prestazioni. Il primo programma di lavoro evolutivo dell'Unione, che sarà adottato nel primo trimestre del 2021, consentirà all'industria, alle autorità nazionali e agli organismi di normazione di prepararsi ai futuri sistemi europei di certificazione della cibersicurezza. Tuttavia, abbiamo bisogno di un approccio ancora più globale. La Commissione prevede già di aggiornare le norme nell'ambito della direttiva sulle apparecchiature radio. Prenderà inoltre in considerazione nuove norme orizzontali per tutti i prodotti connessi e i servizi associati, compreso un nuovo obbligo di diligenza per i fabbricanti di dispositivi connessi al fine di affrontare le vulnerabilità del software, richiedendo la prosecuzione degli aggiornamenti del software e della sicurezza e garantendo, alla fine del ciclo di vita, la cancellazione dei dati personali e di altri dati sensibili. Ciò integrerebbe sia il regolamento sulla sicurezza generale dei prodotti (che deve essere aggiornato nel 2021 ma non affronta direttamente la cibersicurezza) sia l'iniziativa "diritto alla riparazione di software obsoleti" presentata nel piano d'azione per l'economia circolare.

Se si desidera accedere a una risorsa — come una pagina web — con un determinato nome di dominio come .eu o .com su Internet, la richiesta deve essere tradotta o "risolta" dal nome del sito a un numero. Più specificamente, l'indirizzo IP (Internet Protocol) numerico. Un servizio resolver invierà quindi la richiesta ai server DNS (Domain Name System) in modo da poter accedere alla pagina Web. Tuttavia, la struttura di base di Internet, così come i suoi protocolli di base e l'infrastruttura di supporto, è vulnerabile agli attacchi e alle interruzioni. Questo include il Domain Name System (DNS). La maggior parte delle imprese dell'UE si affida a pochi risolutori DNS pubblici gestiti da soggetti non appartenenti all'UE. Se uno di questi servizi risolutori viene interrotto, diventa molto più difficile per le autorità dell'UE affrontare eventuali attacchi informatici dolosi e gravi incidenti geopolitici e tecnici. Per questo motivo la Commissione incoraggia le imprese dell'UE, i fornitori di servizi Internet e i fornitori di browser a diversificare la loro dipendenza dai servizi di risoluzione DNS. Per aiutarli ulteriormente, la Commissione sosterrà lo sviluppo di un servizio pubblico europeo di risoluzione DNS. "DNS4EU" offrirà un servizio europeo alternativo per l'accesso a Internet a livello mondiale. Sarà trasparente, conforme alle più recenti norme e regole in materia di sicurezza, protezione dei dati e privacy fin dalla progettazione e per impostazione predefinita e farà parte dell'Alleanza industriale europea per i dati e il cloud.