Politiche di sicurezza informatica

Strategia per la cibersicurezza

Alla fine del 2020 la Commissione europea e l'alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza hanno presentato una nuova strategia dell'UE in materia di cibersicurezza.

La strategia riguarda la sicurezza di servizi essenziali quali ospedali, reti energetiche e ferrovie. Copre anche la sicurezza del numero sempre crescente di oggetti connessi nelle nostre case, uffici e fabbriche.

La strategia si concentra sulla costruzione di capacità collettive per rispondere ai principali attacchi informatici e sulla collaborazione con partner di tutto il mondo per garantire la sicurezza e la stabilità internazionali nel ciberspazio. Illustra in che modo un'unità congiunta per il ciberspazio può garantire la risposta più efficace alle minacce informatiche utilizzando le risorse e le competenze collettive a disposizione dell'UE e degli Stati membri.

Legislazione e certificazione

Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l'Unione (direttiva NIS2)

Le minacce alla cibersicurezza sono quasi sempre transfrontaliere e un attacco informatico alle strutture critiche di un paese può colpire l'UE nel suo complesso. I paesi dell'UE devono disporre di organi governativi forti che supervisionano la cibersicurezza nel loro paese e che collaborano con i loro omologhi in altri Stati membri condividendo informazioni. Ciò è particolarmente importante per i settori che sono fondamentali per le nostre società.

La direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), che tutti i paesi hanno ora attuato, garantisce la creazione e la cooperazione di tali organismi governativi. La presente direttiva è stata riesaminata alla fine del 2020.

A seguito del processo di riesame, la proposta di direttiva relativa a misure per un livello comune elevato di cibersicurezza in tutta l'Unione (direttiva NIS2) è stata presentata dalla Commissione il 16 dicembre 2020. 

La direttiva è stata pubblicata nella Gazzetta ufficiale dell'Unione europea nel dicembre 2022 ed è entrata in vigore il 16 gennaio 2023. Gli Stati membri avranno 21 mesi dall'entrata in vigore della direttiva per integrare le disposizioni nel loro diritto nazionale (data effettiva: 18 ottobre 2024).

ENISA — Agenzia dell'UE per la cibersicurezza

L'ENISA (Agenzia dell'Unione europea per la cibersicurezza) è l'agenzia dell'UE che si occupa della cibersicurezza. Fornisce sostegno agli Stati membri, alle istituzioni dell'UE e alle imprese in settori chiave, compresa l'attuazione della direttiva NIS.

Il Cyber Resilience Act

La proposta di regolamento sui requisiti di cibersicurezza per i prodotti con elementi digitali, nota come Cyber Resilience Act, rafforza le norme in materia di cibersicurezza per garantire prodotti hardware e software più sicuri.

Legge sulla cibersicurezza

La legge sulla cibersicurezza rafforza il ruolo dell'ENISA. L'Agenzia ha ora un mandato permanente e ha il potere di contribuire a intensificare la cooperazione operativa e la gestione delle crisi in tutta l'UE. Ha anche più risorse umane e finanziarie di prima. Il 18 aprile 2023 la Commissione ha proposto una modifica mirata della legge dell'UE sulla cibersicurezza.

Legge sulla solidarietà cibernetica

Il 18 aprile 2023 la Commissione europea ha proposto la legge dell'UE sulla solidarietà informatica per migliorare la risposta alle minacce informatiche in tutta l'UE. La proposta comprenderà uno scudo europeo per la cibersicurezza e un meccanismo globale di ciberemergenza per creare un migliore metodo di ciberdifesa.

Certificazione

La nostra vita digitale può funzionare bene solo se c'è fiducia del pubblico nella sicurezza informatica dei prodotti e dei servizi IT. È importante che possiamo vedere che un prodotto è stato controllato e certificato per essere conforme a elevati standard di sicurezza informatica. Attualmente esistono vari sistemi di certificazione della sicurezza per i prodotti informatici in tutta l'UE. Disporre di un unico sistema comune di certificazione sarebbe più facile e più chiaro per tutti.

La Commissione sta pertanto lavorando a un quadro di certificazione a livello dell'UE, con al centro l'ENISA. La legge sulla cibersicurezza delinea il processo di realizzazione di questo quadro.

Investimento

Piano di recupero

La cibersicurezza è una delle priorità della Commissione nella sua risposta alla crisi del coronavirus, in quanto durante il confinamento sono stati aumentati gli attacchi informatici. Il piano per la ripresa per l'Europa comprende ulteriori investimenti nella cibersicurezza.

Sostegno alla ricerca e all'innovazione: Orizzonte 2020 e cPPP; Orizzonte Europa

La ricerca sulla sicurezza digitale è essenziale per costruire soluzioni innovative in grado di proteggerci dalle minacce informatiche più recenti e più avanzate. Ecco perché la cibersicurezza è una parte importante di Orizzonte 2020 e del suo successore Orizzonte Europa. 

In Orizzonte Europa, per il periodo 2021-2027, la cibersicurezza fa parte del polo tematico "Sicurezza civile per la società". 

Nell'ambito di Orizzonte 2020, la Commissione ha cofinanziato la ricerca e l'innovazione in settori quali la preparazione alla cibersicurezza attraverso gli intervalli informatici e la simulazione, la cibersicurezza per le piccole e medie imprese, la cibersicurezza nel sistema elettrico e energetico e la cibersicurezza e la protezione dei dati nei settori critici. Questi temi rientrano nel polo tematico "Società sicure — Proteggere la libertà e la sicurezza dell'Europa e dei suoi cittadini".

Nel 2016 è stato istituito il partenariato pubblico-privato (cPPP) sulla cibersicurezza di Orizzonte 2020 tra la Commissione europea e l' Organizzazione europea per la sicurezza informatica (ECSO), un'associazione composta da membri dell'industria cibernetica, del mondo accademico, delle pubbliche amministrazioni e altro ancora.

Sostegno alle capacità informatiche e alla diffusione

Le nostre infrastrutture fisiche e digitali sono strettamente intrecciate. La Commissione ha pertanto investito anche nella cibersicurezza nell'ambito del suo programma di finanziamento degli investimenti nelle infrastrutture, il meccanismo per collegare l'Europa (MCE), per il periodo 2014-2020.

Il sostegno dell'MCE è stato fornito alle squadre di risposta agli incidenti di sicurezza informatica, agli operatori di servizi essenziali (OES), ai fornitori di servizi digitali (DSP), ai punti di contatto unici (SPOC) e alle autorità nazionali competenti (ANC). Ciò rafforza le capacità di cibersicurezza e la collaborazione transfrontaliera all'interno dell'UE, sostenendo l'attuazione della strategia dell'UE in materia di cibersicurezza.

Il programma Europa digitale, per il periodo 2021-2027, è un programma ambizioso che prevede di investire 1,9 miliardi di EUR nella capacità di cibersicurezza e nell'ampia diffusione di infrastrutture e strumenti per la cibersicurezza in tutta l'UE per le pubbliche amministrazioni, le imprese e i privati.

Anche la cibersicurezza fa parte di InvestEU. InvestEU è un programma generale che riunisce molti strumenti finanziari e utilizza gli investimenti pubblici per garantire ulteriori investimenti dal settore privato. Il suo strumento di investimento strategico sosterrà le principali catene del valore nell'ambito della cibersicurezza. Si tratta di una parte importante del pacchetto per la ripresa in risposta alla crisi del coronavirus.

Centro e rete di competenza in materia di cibersicurezza; Atlante

Il centro europeo di competenza industriale, tecnologica e della ricerca in materia di cibersicurezza metterà in comune le competenze e allineerà lo sviluppo e la diffusione a livello europeo della tecnologia di cibersicurezza. Lavorerà con l'industria, la comunità accademica e altri per costruire un'agenda comune per gli investimenti nella cibersicurezza e decidere le priorità di finanziamento per la ricerca, lo sviluppo e l'introduzione di soluzioni in materia di cibersicurezza attraverso i programmi Orizzonte Europa e Europa digitale.

Attualmente sono in corso quattro progetti pilota per gettare le basi per il Centro di competenza e la rete. Coinvolge più di 170 partner.

Per una migliore panoramica delle competenze e delle capacità in materia di cibersicurezza in tutta l'UE, la Commissione ha sviluppato una piattaforma globale denominata Atlante per la cibersicurezza.

Orientamenti politici

Progetto di risposta coordinata ai principali attacchi informatici

Il piano della Commissione per la risposta rapida alle emergenze fornisce un piano in caso di incidente o crisi informatica transfrontaliera su vasta scala. Definisce gli obiettivi e le modalità di cooperazione tra gli Stati membri e le istituzioni dell'UE per rispondere a tali incidenti e crisi. Spiega in che modo i meccanismi esistenti di gestione delle crisi possono sfruttare appieno i soggetti esistenti in materia di cibersicurezza a livello dell'UE.

Unità congiunta per il ciberspazio

Come seguito, la presidente della Commissione Ursula von der Leyen ha annunciato una proposta per un'unità congiunta per il ciberspazio a livello dell'UE. La raccomandazione sulla creazione dell'unità congiunta per il ciberspazio annunciata dalla Commissione il 23 giugno 2021 costituisce un passo importante verso il completamento del quadro europeo per la gestione delle crisi in materia di cibersicurezza. Si tratta di un risultato concreto della strategia dell' UE in materia di cibersicurezza e della strategia dell'UE per l'Unione della sicurezza, che contribuisce a un'economia e una società digitali sicure.

L' unità congiunta per il ciberspazio fungerà da piattaforma per garantire una risposta coordinata dell'UE agli incidenti e alle crisi cibernetici su larga scala, nonché per offrire assistenza per il recupero da tali attacchi.

Diffusione sicura del 5G nell'UE

Le reti 5G dovrebbero essere implementate in tutta l'UE. Essi offriranno enormi vantaggi, ma avranno anche più potenziali punti di ingresso per gli aggressori a causa della natura meno centralizzata della loro architettura, un maggior numero di antenne e una maggiore dipendenza dal software. Il pacchetto di strumenti dell'UE sul 5G stabilisce misure per rafforzare i requisiti di sicurezza per le reti 5G, applicare restrizioni pertinenti per i fornitori considerati ad alto rischio e garantire la diversificazione dei fornitori.

Garantire il processo elettorale

Le nostre democrazie europee sono diventate sempre più digitali: le campagne politiche si svolgono online e le stesse elezioni avvengono attraverso il voto elettronico in molti paesi. 

La Commissione ha formulato raccomandazioni per la cibersicurezza delle elezioni per il Parlamento europeo, nell'ambito di un più ampio pacchetto di raccomandazioni per sostenere elezioni europee libere ed eque. Un mese prima delle elezioni europee del 2019, il Parlamento europeo, i paesi dell'UE, la Commissione e l'ENISA hanno effettuato una prova in tempo reale della loro preparazione.

Competenze e consapevolezza

Abilità

Possiamo garantire la sicurezza digitale solo se abbiamo esperti con le giuste conoscenze e competenze, e al momento non ce ne sono abbastanza. Per questo motivo la Commissione si sta adoperando per stimolare lo sviluppo delle competenze in materia di cibersicurezza.

La Commissione ha elaborato un invito a presentare un quadro coerente per l'insegnamento delle competenze in materia di cibersicurezza nell'istruzione universitaria e professionale. I quattro progetti pilota che preparano il centro di competenza e la rete in materia di cibersicurezza da parte dell'ECSO stanno attualmente lavorando a tale scopo. Ci sono anche iniziative ricorrenti destinate direttamente agli studenti, come la sfida annuale europea in materia di cibersicurezza.

Le competenze in materia di cibersicurezza rientrano nell'agenda generale della Commissione sulle competenze digitali. Fanno anche parte degli sforzi di finanziamento nell'ambito di Orizzonte 2020, Orizzonte Europa e del programma Europa digitale. Un esempio è il finanziamento di "cyber range", che sono ambienti di simulazione dal vivo di minacce informatiche per la formazione.

Consapevolezza

Il fattore umano è spesso l'anello debole della sicurezza informatica: qualcuno che fa clic su un link di phishing può avere enormi conseguenze. Pertanto, la Commissione sensibilizza in merito alla cibersicurezza e promuove le migliori pratiche presso il grande pubblico. Ad esempio, una volta all'anno organizza il mese europeo della sicurezza informatica insieme all'ENISA.

L'Accademia dell'UE per le competenze in materia di cibersicurezza

L' Accademia dell'UE per le competenze in materia di cibersicurezza, lanciata nell'ambito dell'Anno europeo delle competenze, riunirà iniziative pubbliche e private a livello europeo e nazionale per colmare il divario nella forza lavoro in materia di cibersicurezza. L'iniziativa sarà ospitata online sulla piattaforma per l'occupazione e le competenze della Commissione e comprenderà opportunità di finanziamento, formazione e certificazioni provenienti da tutta l'UE, per coloro che sono interessati a una carriera nel settore della cibersicurezza.

Comunicazione sull'Accademia dell'UE per le competenze informatiche

Scheda informativa dell'Accademia dell'UE per le competenze informatiche

Cyber community

ENISA — Agenzia dell'UE per la cibersicurezza

L'ENISA è l'agenzia dell'UE che si occupa della cibersicurezza. Fornisce sostegno agli Stati membri, alle istituzioni dell'UE e alle imprese in settori chiave, compresa l'attuazione della direttiva NIS.

ISAC

I centri di condivisione e analisi delle informazioni (ISAC) promuovono la collaborazione tra la comunità della cibersicurezza in diversi settori dell'economia. L'ulteriore sviluppo degli ISAC a livello sia dell'UE che nazionale è una priorità per la Commissione. In collaborazione con l'ENISA, la Commissione promuove inoltre la creazione di nuovi ISAC in settori non contemplati. Il "consorzio ISAC che potenzia l'UE", sotto la supervisione della Commissione, fornisce sostegno giuridico, tecnico e organizzativo agli ISAC.

CCR

Il Centro comune di ricerca (JRC) della Commissione contribuisce attivamente alla cibersicurezza nell'UE. Ad esempio, il CCR ha sviluppato una tassonomia sulla cibersicurezza. Ciò allinea la terminologia utilizzata nella cibersicurezza in modo da poter avere una visione più chiara delle capacità in materia di cibersicurezza nell'UE.

Il CCR ha anche recentemente pubblicato una relazione che fornisce informazioni sull'attuale panorama della cibersicurezza dell'UE e sulla sua storia, dal titolo"Cbersecurity — Our digital anchor".

CSIRT/CERT

Ai sensi della direttiva NIS, gli Stati membri dell'UE sono tenuti a garantire che dispongano di squadre di risposta agli incidenti di sicurezza informatica ("CSIRT"), note anche come squadre di pronto intervento informatico ("CERT"). Questi team si occupano di incidenti e rischi di sicurezza informatica nella pratica. Cooperano tra loro a livello dell'UE e collaborano anche con il settore privato.
Tutti i tipi di operatori di servizi essenziali e i fornitori di servizi digitali devono essere coperti da CSIRT designati.

I compiti principali dei CSIRT sono:

• monitorare gli incidenti a livello nazionale;
• fornitura di allarme rapido, avvisi, annunci e altre informazioni su rischi e incidenti alle parti interessate;
• rispondere agli incidenti;
• fornire analisi dinamiche dei rischi e degli incidenti e consapevolezza situazionale;
• partecipazione alla rete CSIRT.

ECSO

L'Organizzazione europea per la cibersicurezza (ECSO) è stata creata nel 2016 per fungere da controparte della Commissione in un partenariato pubblico-privato contrattuale riguardante Orizzonte 2020 negli anni dal 2016 al 2020. La maggior parte dei 250 membri dell'ECSO appartiene al settore della cibersicurezza o a istituti di ricerca e accademici del settore. In misura minore, i membri dell'ECSO comprendono anche attori del settore pubblico e industrie dal lato della domanda.

Oltre a formulare raccomandazioni su Orizzonte 2020, l'ECSO svolge varie attività volte alla costruzione di comunità e allo sviluppo industriale a livello europeo.

Women4Cyber

È importante sottolineare il ruolo delle donne nella comunità della sicurezza informatica, che sono sottorappresentate. Per questo motivo la Commissione ha istituito il registro Women4Cyber, in collaborazione con l'iniziativa Women4Cyber dell'ECSO. Rende più facile per i media, gli organizzatori di eventi e altri trovare le molte donne di talento che lavorano nella sicurezza informatica, in modo che queste donne diventino più visibili e prominenti nella comunità cibernetica e nel dibattito pubblico.

Dialoghi cibernetici

L'UE collabora con i partner per promuovere interessi condivisi nella politica in materia di cibersicurezza. Il 9º dialogo UE-USA sul ciberspazio si è svolto a Bruxelles nel dicembre 2023. L'UE e gli Stati Uniti hanno una cooperazione avanzata in settori quali la diplomazia informatica, la gestione delle crisi, lo sviluppo di capacità, la cibersicurezza delle infrastrutture critiche (compresa lasegnalazione degli incidenti), la cibersicurezza dei prodotti hardware e software (compreso ilpiano d'azione congiuntosui prodotti informatici)e gli aspetti relativi alla cibersicurezza delle tecnologie emergenti come l'IA.

Dal 2 021 l'UE e l'Ucraina hanno tenuto due dialoghi sul ciberspazio. Nel 2 023 l'Agenzia dell'UE per la cibersicurezza (ENISA) ha formalizzato un accordo di lavoro con le controparti ucraine per promuovere lo sviluppo di capacità, lo scambio di migliori pratiche e la consapevolezza situazionale. L'UE ha inoltre avviato dialoghi informatici con l'India, il Giappone, la Repubblica di Corea e il Brasile. Il primo dialogo UE-Regno Unito sul ciberspazio si è svolto a Bruxelles nel dicembre 2023.

La cibersicurezza è discussa anche nel contesto dei partenariati digitali bilaterali e dei dialoghi digitali, nonché dell'alleanza digitale UE-ALC, del dialogo normativo UE-Balcani occidentali, del dialogo strutturato UE-NATO sulla resilienza e del dialogo strutturato UE-NATO sulla cibersicurezza e la difesa. Nel 2023 la task force UE-NATO sulla resilienza delle infrastrutture critiche ha pubblicato una relazione che ha mappato importanti settori trasversali.

Altri settori di politica informatica

Criminalità informatica

I criminali ordinari fanno uso di attacchi informatici che minacciano gli europei. Il dipartimento Migrazione e affari interni della Commissione monitora e aggiorna il diritto dell'UE in materia di criminalità informatica e sostiene le capacità di contrasto. La Commissione collabora inoltre con il Centro europeo per la criminalità informatica di Europol.

Diplomazia informatica

L'UE si sta adoperando per proteggersi dalle minacce informatiche provenienti dall'esterno dei suoi confini. In tale contesto, la Commissione collabora con il Servizio europeo per l'azione esterna e gli Stati membri per l'attuazione di una risposta diplomatica congiunta alle attività informatiche dolose (" il pacchetto di strumenti per la diplomazia informatica"). Tale risposta comprende la cooperazione e il dialogo diplomatici, le misure preventive contro gli attacchi informatici e le sanzioni nei confronti di coloro che sono coinvolti in attacchi informatici che minacciano l'UE.

La Commissione assiste il processo decisionale in materia di risposta alle minacce informatiche esterne, ove necessario. Finanzia inoltre direttamente l'iniziativa dell' UE di sostegno alla diplomazia informatica in corso.

Ciberdifesa

Il 10 novembre 2022 la Commissione e l'alto rappresentante hanno presentato una comunicazione congiunta su una politica dell'UE in materia di ciberdifesa per affrontare il deterioramento del contesto di sicurezza a seguito dell'aggressione della Russia nei confronti dell'Ucraina e per rafforzare la capacità dell'UE di proteggere i suoi cittadini e le sue infrastrutture.  

La politica dell'UE in materia di ciberdifesa si basa su quattro pilastri che coprono un'ampia gamma di iniziative che aiuteranno l'UE e gli Stati membri a essere meglio in grado di individuare, scoraggiare e difendere dagli attacchi informatici:

1. Agire insieme per rafforzare la ciberdifesa dell'UE

2. Proteggere l'ecosistema della difesa

3. Investire nelle capacità di ciberdifesa

4. Partner per affrontare le sfide comuni

La nuova politica richiede investimenti nelle capacità di ciberdifesa a pieno spettro e rafforzerà il coordinamento e la cooperazione tra le comunità informatiche militari e civili dell'UE. Rafforzerà la cooperazione con il settore privato e un'efficiente gestione delle crisi informatiche all'interno dell'Unione. La nuova politica contribuirà anche a ridurre le nostre dipendenze strategiche nelle tecnologie informatiche critiche e a rafforzare la base industriale tecnologica europea di difesa (EDTIB). Stimolerà la formazione, attraendo e trattenendo i talenti informatici.

L'UE coopera in materia di difesa nel ciberspazio attraverso le attività della Commissione europea, del Servizio europeo per l'azione esterna (SEAE), dell' Agenzia europea per la difesa, nonché dell'ENISA e dell'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol).

Sviluppo di capacità informatiche nei paesi terzi

L'UE coopera con altri paesi per contribuire a rafforzare la loro capacità di difendersi dalle minacce alla cibersicurezza. La Commissione sostiene vari programmi di cibersicurezza nei Balcani occidentali e nei sei paesi del partenariato orientale nell'immediato vicinato dell'UE, nonché in altri paesi del mondo attraverso il suo dipartimento Cooperazione internazionale e sviluppo.