Dalla resilienza delle reti al 5G: cosa prevede la strategia UE per la cybersicurezza

CybersicurezzaCyber-resilienza dei settori pubblici e privati, sovranità tecnologica, tutela dei diritti fondamentali e sviluppo del 5G, sono i cardini della strategia europea per la cybersicurezza presentata dalla Commissione UE. Gli interventi proposti per traghettare l'UE verso il Digital Decade beneficieranno dei fondi europei stanziati da Horizon Europe, Digital Europe e Next Generation EU per il prossimo settennato.

Cloud, 5G e intelligenza artificiale per il futuro digitale dell'Europa post Covid-19

La nuova strategia per la cybersicurezza mira a salvaguardare un'Internet globale e aperto, offrendo nel contempo un meccanismo di salvaguardia, non solo per garantire la sicurezza ma anche per proteggere i valori europei e i diritti fondamentali di tutti.

I pilastri della strategia UE per la cybersicurezza

La strategia europea per la cybersecurity contiene proposte concrete di iniziative politiche, di regolamentazione e di investimento in tre aree d'azione:

  1. Resilienza, sovranità tecnologica e leadership

In questa linea d'azione la Commissione propone di riformare le norme sulla sicurezza delle reti e dei sistemi informatici nell'ambito di una direttiva sulle misure per un elevato livello comune di cybersicurezza in tutta l'Unione (direttiva NIS rivista o "NIS 2"), al fine di aumentare il livello di cyber-resilienza dei settori pubblici e privati essenziali: strutture ospedaliere, reti energetiche, ferrovie, ma anche centri dati, amministrazioni pubbliche, laboratori di ricerca e produzione di dispositivi medici e medicinali, nonché altre infrastrutture e servizi essenziali che devono rimanere impermeabili in un contesto di minacce sempre più repentine e complesse.

La Commissione propone inoltre di avviare una rete di centri operativi per la sicurezza in tutta l'UE, alimentati dall'intelligenza artificiale (IA), che costituirà per l'UE una vera e propria barriera di cybersicurezza in grado di rilevare tempestivamente i segnali di un attacco informatico e consentire un'azione proattiva prima che si verifichino danni.

Ulteriori misure comprenderanno un sostegno dedicato alle piccole e medie imprese (PMI) nel quadro dei poli dell'innovazione digitale e maggiori sforzi per migliorare le competenze della forza lavoro, attirare e trattenere i migliori talenti in materia di cybersicurezza e investire per una ricerca e un'innovazione aperta, competitiva e basata sull'eccellenza.  

  1. Sviluppo della capacità operativa di prevenzione, deterrenza e risposta

Nell'ambito di un processo progressivo e inclusivo portato avanti con gli Stati membri, la Commissione sta preparando, una nuova unità congiunta per il cyberspazio allo scopo di rafforzare la collaborazione tra gli organismi dell'UE e le autorità degli Stati membri responsabili della prevenzione, della deterrenza e della risposta agli attacchi informatici, comprese le comunità civili, diplomatiche, di contrasto e di difesa informatica.

Sono state presentate anche proposte per rafforzare il pacchetto di strumenti della diplomazia informatica dell'UE al fine di prevenire, dissuadere e rispondere in modo efficace alle attività informatiche dolose, in particolare quelle che interessano le nostre infrastrutture, le catene di fornitura, le istituzioni e i processi democratici essenziali.

L'UE mira inoltre a rafforzare ulteriormente la collaborazione in materia di cyberdifesa e a sviluppare capacità di cyberdifesa all'avanguardia, basandosi sul lavoro svolto dall'Agenzia europea per la difesa e incoraggiando gli Stati membri a sfruttare appieno la cooperazione strutturata permanente e il Fondo europeo per la difesa.  

  1. Promozione di un cyberspazio globale e aperto grazie a una maggiore cooperazione

L'UE intensificherà la collaborazione con i partner internazionali per rafforzare l'ordine mondiale basato su regole, promuovere la sicurezza e la stabilità nel cyberspazio e proteggere i diritti umani e le libertà fondamentali online. Promuoverà norme e standard internazionali che riflettano questi valori fondamentali dell'UE cooperando con i suoi partner internazionali nell'ambito delle Nazioni Unite e in altri contesti pertinenti.

L'UE rafforzerà ulteriormente il suo pacchetto di strumenti della diplomazia informatica e intensificherà gli sforzi per la creazione di capacità informatiche nei paesi terzi sviluppando un'apposita agenda esterna dell'UE. Saranno intensificati i dialoghi in materia di cybersicurezza con i paesi terzi e le organizzazioni regionali e internazionali, nonché con la comunità multipartecipativa. L'UE istituirà inoltre una rete per la diplomazia informatica in tutto il mondo per promuovere la propria visione del cyberspazio.

L'UE si è impegnata a sostenere la nuova strategia per la cybersicurezza nei prossimi sette anni con investimenti nella transizione digitale dell'UE a livelli finora mai raggiunti, attraverso il Quadro finanziario pluriennale 2021-2027, in particolare tramite:

Gli Stati membri sono pertanto incoraggiati a utilizzare appieno il Recovery and resilience facility per rafforzare la cybersicurezza e a fare investimenti a pari livello di quelli dell'UE. L'obiettivo è raggiungere fino a 4,5 miliardi di euro di investimenti combinati da parte dell'UE, degli Stati membri e dell'industria, in particolare nell'ambito del Centro di competenza sulla cybersicurezza e della rete dei centri di coordinamento e garantire che una parte importante di questi investimenti siano effettivamente attribuiti alle PMI.

La Commissione mira inoltre a rafforzare le capacità industriali e tecnologiche dell'UE in materia di cybersicurezza, anche tramite progetti finanziati congiuntamente dall'UE e dai bilanci nazionali. L'UE ha l'opportunità unica di mettere in comune le proprie risorse per rafforzare la sua autonomia strategica e promuovere la sua leadership nel campo della cybersicurezza lungo tutta la catena di fornitura digitale (compresi dati e cloud, tecnologie per processori di prossima generazione, connettività ultrasicura e reti 6G), in linea con i suoi valori e le sue priorità.

Sicurezza delle reti e infrastrutture critiche: rivedere le regole UE

La Commissione UE propone anche di aggiornare le misure esistenti a livello europeo per proteggere i servizi e le infrastrutture essenziali dai rischi sia informatici che fisici.

Da un lato c'è la proposta di revisione della direttiva NIS - ribattezzata direttiva NIS rivista o NIS 2 - sulle misure per un elevato livello comune di cybersicurezza in tutta l'Unione, che riguarderà le entità di medie e grandi dimensioni di diversi settori in base alla loro importanza per l'economia e la società. La direttiva NIS 2 renderà più rigidi i requisiti di sicurezza imposti alle imprese, affronterà la sicurezza delle catene di fornitura e delle relazioni con i fornitori, semplificherà gli obblighi di notifica, introdurrà misure di vigilanza più rigorose per le autorità nazionali e obblighi di esecuzione più severi e avrà l'obiettivo di armonizzare i regimi sanzionatori in tutti gli Stati membri. La normativa contribuirà ad aumentare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale e dell'UE.

Dall'altro lato c'è la direttiva sulla resilienza dei soggetti critici che intende estendere sia l'ambito di applicazione, sia la profondità della direttiva sulle infrastrutture critiche europee del 2008. Sono ora contemplati dieci settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.

Nell'ambito della direttiva ciascuno Stato membro adotterebbe una strategia nazionale per garantire la resilienza dei soggetti critici ed effettuerebbe valutazioni periodiche dei rischi. Tali valutazioni contribuirebbero a individuare un sottoinsieme più ristretto di soggetti critici cui incomberebbero obblighi volti a rafforzarne la resilienza di fronte ai rischi non informatici, comprese le valutazioni dei rischi a livello di soggetto, l'adozione di misure tecniche e organizzative e la notifica degli incidenti.

A sua volta la Commissione fornirebbe sostegno complementare agli Stati membri e ai soggetti critici, per esempio sviluppando una visione d'insieme a livello dell'UE dei rischi transfrontalieri e intersettoriali e delle migliori pratiche, metodologie e attività di formazione e di esercizio transfrontaliere per testare la resilienza dei soggetti critici.

Garantire la sicurezza delle reti di prossima generazione: 5G e oltre

Nell'ambito della nuova strategia per la cybersicurezza gli Stati membri sono incoraggiati a portare a termine l'attuazione del pacchetto di strumenti dell'UE per le reti 5G, che definisce un approccio globale e basato sui rischi oggettivi per la sicurezza delle reti 5G e di prossima generazione.

Sebbene la maggior parte degli Stati membri è già a buon punto nell'implementazione delle misure raccomandate, ora dovrebbero mirare a completarne l'attuazione entro il secondo trimestre del 2021 e a garantire che i rischi individuati siano adeguatamente mitigati, in modo coordinato, in particolare nell'ottica di ridurre al minimo l'esposizione ed evitare la dipendenza dai fornitori ad alto rischio.

> Consulta la strategia UE per la cybersicurezza

Questo sito web utilizza i cookie! Acconsenti ai nostri cookie, se continui ad utilizzare questo sito web.