La Commissione Europea ha dichiarato ottobre “mese della sicurezza informatica europea” ed in questo contesto si è svolto a Roma l’incontro sul tema “Cybersecurity Act: strategia europea e priorità dell’Italia”, con la partecipazione di rappresentanti diplomatici e della Commissione stessa, oltre che a vari esponenti di imprese, associazioni per la sicurezza aziendale e per le infrastrutture critiche. Un incontro che, al di là della partecipazione di nomi noti, ha messo in luce ancora una volta i ritardi dell’Europa nell’affrontare seriamente il tema della sicurezza cibernetica. Solo due, infatti, a fronte di più di una decina di interventi sono stati i contributi concreti in grado di sottolineare aspetti non ripetuti centinaia di volte nelle decine di convegni sulla cyber security che da qualche tempo si susseguono a ritmo serrato. E, occorre aggiungere, che hanno centrato il tema in oggetto.
Un’occasione persa, dunque, per poter trattare più in dettaglio il nuovo regolamento europeo in tema di sicurezza cibernetica, ancora in discussione ma che si spera giunga ad approvazione prima della fine della presidenza austriaca. Il regolamento europeo, il Cybersecurity Act, è stato presentato nel settembre 2017 con lo scopo di ridefinire e migliorare la strategia europea in materia del 2013 e di ampliare i compiti dell’ENISA (European Union Agency for Network and Information Security). La nuova normativa, ha sottolineato Roberto Viola, Direttore Generale del DG Connect, trae ispirazione dalla direttiva NIS e rafforza il tema dell’importanza della comunicazione e del coordinamento fra gli Stati membri in caso di attacco cibernetico, il quale, in assenza di questi elementi potrebbe causare danni ancora maggiori.
In breve, la nuova direttiva poggia su tre pilastri fondamentali. Il primo è, come già sottolineato, la ridefinizione del ruolo e dei compiti dell’ENISA. L’Agenzia diventa a tutti gli effetti l’istituzione ufficiale dell’EU in materia di sicurezza cibernetica con un mandato non più provvisorio ma permanente, con funzioni di coordinamento con altri organismi e agenzie, di diffusione della cultura informatica e di supporto alla creazione di standard europei di riferimento. Tra i nuovi compiti dell’ente ci sarà anche quello di supportare gli Stati membri nella gestione tecnica della situazione dopo un attacco cyber e anche quello di condurre l’investigazione post-attacco.
Il secondo riguarda l’introduzione di una certificazione europea di sicurezza per processi, servizi e prodotti digitali immessi sul mercato comunitario. E’ forse questo il pilastro più innovativo del Cybersecurity Act poiché introduce qualcosa che ancora mancava, la certificazione europea, appunto, ossia un marchio che garantisce i necessari controlli per un mercato sempre più digitalizzato e al momento ancora frammentato dai numerosi standard e requisiti dei singoli Stati membri.
Infine, il terzo pilastro è rappresentato dall’istituzione di un centro di competenza tecnica particolare, poiché si tratta in realtà di un riferimento per un network di altri centri che lavorano sulle tecnologie informatiche più avanzate.
La nuova strategia del Cybersecurity Act rappresenta il tentativo dell’Unione Europea di tenere il passo con i cambiamenti che a ritmo sempre più veloce si registrano nel mondo digitalizzato, con attacchi sempre più mirati e in numero crescente. Tuttavia, il nuovo regolamento lascia ancora in sospeso alcuni aspetti e solleva alcuni dubbi. In primo luogo, in base alla normativa, la certificazione è volontaria: le aziende non avranno l’obbligo di richiederla e quindi si creeranno situazioni a macchia di leopardo senza che vi sia un input dall’alto verso standard minimi di sicurezza per tutti i prodotti ICT e per i servizi digitali. E per i consumatori potrebbe risultare difficile capire la differenza in assenza di una buona campagna di comunicazione da parte dell’UE. Secondariamente, accanto al ruolo rafforzato dell’ENISA rimangono le competenze degli enti nazionali e dei molteplici organismi che ruotano attorno alla sicurezza informatica, il che porta a chiedersi quanto possa essere tempestiva una risposta, o meglio la gestione della situazione a seguito di un attacco informatico particolarmente devastante o anche semplicemente effettuato su larga scala in un contesto in cui sono chiamati ad agire molteplici attori. Difficile pensare che un semplice coordinamento tra agenzie nazionali e transnazionali possa fare fronte a scenari che richiedono azioni tempestive. Da un certo punto di vista, si ripropone a livello europeo il quadro nazionale, in cui esistono vari organismi istituzionali e centri specializzati che però agiscono in modo indipendente e ciascuno secondo un proprio regolamento, con poco o nessun collegamento e coordinamento. In altre parole rimane in piedi la domanda: in caso di necessità di reazione rapida ad un attacco cibernetico, c’è una autorità che può decidere e agire senza passare attraverso le richieste formali di autorizzazione che richiedono notoriamente tempi più o meno lunghi?
Da ultimo, ma non da meno, va rilevato che se da una parte i compiti dell’ENISA sono stati ridefiniti assumendo un ruolo operativo e non più solo consultivo, dall’altro le risorse a disposizione per espletare i nuovi compiti sono state aumentate solo della metà, come ha rilevato Giorgio Mosca dell’European Organization for Security (EOS). E purtroppo la disponibilità di risorse sufficienti è elemento fondamentale per l’efficacia di qualunque politica in tema di cyber security. Resilienza e prevenzione, che sono la sola difesa nei confronti degli attacchi cibernetici, richiedono investimenti consistenti e costanti. Lo sanno bene anche negli Stati Uniti, un Paese tecnologicamente più avanzato del nostro, dove rimane acceso il dibattito di chi “governo o settore privato“ debba contribuire maggiormente alla sicurezza informatica del sistema Paese.
Il Cybersecurity Act rappresenta un passo in avanti per la definizione di una politica di sicurezza informatica dell’Unione Europea. Sfortunatamente non lo è abbastanza. Il regolamento è ben lontano dal dare risposte concrete ed immediate “come sono immediati gli attacchi nello spazio cibernetico“ alle minacce presenti e future. Il mondo digitalizzato dell’Internet delle cose e tutto ciò che ad esso è collegato, incluso il crimine cibernetico, non ha confini, né di spazio né, soprattutto, di tempo. La moltiplicazione di enti governativi, organismi specializzati, organismi europei e istituzioni nazionali dedicate creano un mosaico che rallenta necessariamente non solo i tempi di risposta, ma anche la nascita e lo sviluppo di politiche snelle ed efficaci che di per sè sono il punto di partenza della resilienza. Ben 5 anni sono passati dalla formulazione dell’UE della sua prima strategia in materia, un tempo infinito nel cyberspace. Se si considera, inoltre, che la nuova direttiva ancora non è stata approvata definitivamente dal Parlamento e dal Consiglio Europeo, allora forse è lecito pensare che anche in un settore critico come quello della cyber security l’Europa continua a rimanere indietro.
