Nel dicembre del 2020 la Commissione UE e l’Alto Rappresentante dell’Unione per gli affari esteri e la politica di sicurezza hanno presentato una nuova strategia dell’UE per la cyber security.
La premessa di base della relativa comunicazione congiunta afferma che: “La cyber security è parte integrante della sicurezza degli europei. Che si tratti di utilizzare dispositivi connessi o reti elettriche, oppure di usufruire dei servizi di banche, trasporti aerei, amministrazioni pubbliche o ospedali, i cittadini devono avere la garanzia di essere protetti dalle minacce informatiche. L’economia, la democrazia e la società dell’UE dipendono, ora più che mai, da strumenti digitali e connettività sicuri e affidabili. La cybersicurezza è quindi fondamentale per creare un’Europa digitale, verde e resiliente”.
“Migliorare la cyber security”, si legge ancora nel comunicato congiunto, “è pertanto di fondamentale importanza affinché le persone possano fidarsi, fare uso e beneficiare delle innovazioni, della connettività e dell’automazione, come pure per salvaguardare i diritti e le libertà fondamentali, compresi i diritti alla riservatezza e alla protezione dei dati personali nonché la libertà di espressione e di informazione.”
L’obiettivo della strategia è quello di rafforzare la resilienza collettiva dell’Europa contro le minacce informatiche e garantire a tutti i cittadini e imprese di poter beneficiare appieno di servizi e strumenti digitali sicuri e affidabili.
La strategia definisce in che modo l’UE intende proteggere i cittadini, le imprese e le istituzioni dalle minacce informatiche, promuovere la cooperazione internazionale e contribuire a garantire un’Internet globale e aperta.
Il quadro normativo a supporto della strategia della cyber security si articola in numerose norme, a volte globali a volte specifiche per settore, non del tutto armonizzate tra loro, aspetto questo evidenziato ancora recentemente dal Garante Europeo per la protezione dei dati (EDPS).
Ma in cosa consiste esattamente la strategia europea per la cyber security ed esistono conflitti tra essa e la protezione dei dati?
Indice degli argomenti
La strategia europea per la cyber security: dettagli
La strategia per la cyber security mira a salvaguardare una Internet globale e aperta, offrendo nel contempo un meccanismo di salvaguardia, non solo per garantire la sicurezza ma anche per proteggere i valori europei e i diritti fondamentali di tutti.
Essa contiene proposte e iniziative politiche, di regolamentazione e di investimento in tre diverse aree di intervento individuate dall’Unione, e precisamente:
- resilienza, sovranità tecnologica e leadership;
- sviluppo delle capacità operative volte alla prevenzione, alla dissuasione e alla risposta;
- promozione di un cyberspazio globale e aperto.
Analizziamole nel dettaglio.
Resilienza, sovranità tecnologica e leadership
Le infrastrutture chiave e i servizi essenziali dell’UE, cosi come tutta la catena di approvvigionamento che li rende disponibili, devono essere sicuri fin dalla progettazione, resilienti agli incidenti informatici, e nel caso di vulnerabilità, queste devono essere corrette il più rapidamente possibile. Solo così il settore pubblico e privato avranno la possibilità di scegliere le infrastrutture e i servizi più sicuri.
Infrastruttura resiliente e servizi critici
In quest’ottica va a posizionarsi la revisione delle norme UE in materia di sicurezza delle reti e dei sistemi informativi (NIS).
La Direttiva UE 2016/1148 sulla sicurezza delle reti e dei sistemi informativi o “Direttiva NIS”, uno dei primi tentativi a livello europeo nell’ambito della cyber security, è entrata in vigore nel 2016. In Italia, è stata recepita con il D.lgs. n. 65 del giugno 2018.
L’aspetto più importante della Direttiva è stato quello di individuare un insieme di norme per innalzare, in maniera omogenea in tutti gli Stati europei, le misure di difesa contro gli attacchi informatici a strutture critiche e migliorare quindi la loro cyber resilienza.
I punti chiave della Direttiva:
- obbliga gli Stati membri ad adottare una strategia nazionale in materia di cyber security, con particolare riguardo alle reti e ai sistemi informativi, e a definire
gliobiettivi elemisure adeguate a mettere in atto tale strategia; - istituisce un gruppo, composto da rappresentanti degli Stati membri, dalla Commissione europea, dall’ENISA (Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione) per agevolare la cooperazione e lo scambio di informazioni tra gli Stati europei
- istituisce il CSIRT, ovvero il Computer Security Incident Response Team, quale gruppo di intervento che entra in azione nel caso di compromissione della sicurezza informatica
- obbliga gli Stati membri ad identificare le “infrastrutture critiche”, ovvero quelle infrastrutture che erogano servizi “essenziali”, come acquedotti, strutture sanitarie, etc, e ne suggerisce anche i criteri di identificazione. Attribuisce inoltre agli Stati membri la responsabilità di garantire che tali infrastrutture mettano in campo misure tecniche e organizzative adeguate ai rischi a cui potranno essere soggette e che, nel caso di incidenti, informino senza indugio le autorità competenti.
Negli anni successivi alla sua introduzione, però, la Direttiva NIS cominciò a evidenziare la sua inadeguatezza, dovuta alla grande crescita del mercato digitale, all’evoluzione delle minacce e degli attacchi cyber, sempre più specifici e sofisticati, e alla trasformazione digitale.
Nel dicembre 2020 la Commissione ne propose quindi la revisione con l’obiettivo strategico principale di rendere l’Europa pronta per l’era digitale, introducendo così la Direttiva NIS 2.
Scopo principale della revisione – affermava la Commissione – è stato quello di ridurre le incoerenze nel mercato interno allineando i requisiti riguardanti l’ambito di applicazione, la sicurezza e la segnalazione degli incidenti nonché la vigilanza, l’applicazione a livello nazionale e i poteri delle autorità competenti.
Non è un caso, ad esempio, che uno dei punti chiave riguardi l’estendibilità della direttiva stessa e una nuova classificazione delle aziende, suddivise in “essenziali” e “importanti”, dove, nella categoria “importanti” trovano collocazione servizi come quelli in Cloud, i fornitori di servizi DNS e di infrastrutture digitali. Tra i servizi “essenziali” nella nuova direttiva trovano posto sicuramente i servizi sanitari e i produttori di apparecchi medicali, ma anche il settore alimentare, la gestione delle acque potabili e dei rifiuti, e la pubblica amministrazione in genere. Viene introdotta una soglia dimensionale escludendo, pertanto, dal campo di applicazione della direttiva le piccole o micro imprese, a meno che non siano fornitori di servizi considerati “essenziali”.
Altra azione messa in campo dall’ Unione, riguarda la riforma della legislazione in materia di resilienza delle infrastrutture critiche, con particolare riguardo alla sicurezza delle catene di approvvigionamento, dal momento che proprio gli attacchi informatici degli ultimi anni hanno ampiamente dimostrato come sia praticamente impossibile confinare questi attacchi a una sola porzione del flusso, anzi, una volta che l’attacco va a buon fine, è altamente probabile che esso si propaghi a cascata sul resto della catena.
Nel testo riformato, sono ora presenti ben dieci settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.
La Direttiva dà indicazioni affinché ciascun Stato membro adotti una sua strategia nazionale per garantire la resilienza dei soggetti considerati “critici” con adeguata valutazione periodica dei rischi.
Entro la fine del 2022, inoltre, è atteso l’intervento della Commissione per l’adozione di misure comprendenti un “codice di rete” che stabilisca regole per la cyber security dei flussi transfrontalieri di energia elettrica.
Altre attività sono in corso, e lo saranno nei prossimi anni, per identificare specifici requisiti in settori critici quali i servizi finanziari, i trasporti.
Il Cyber security Act
Al fine di rafforzare la sicurezza informatica dei prodotti ICT e dei servizi digitali in Europa, la Commissione europea ha anche introdotto nel 2019 il Cyber security Act che interviene principalmente su due aspetti: il rafforzamento del mandato dell’ENISA, che viene ad assumere un ruolo primario nella identificazione degli attacchi, e la definizione del quadro europeo delle certificazioni in ambito sicurezza informatica, ovvero l’individuazione di standard – validi in tutto il territorio UE – con cui valutare se prodotti e servizi IT siano effettivamente sicuri e certificabili.
Tale definizione di standard comuni, validi in tutti gli Stati membri, ha lo scopo di facilitare lo scambio e il commercio di tutti prodotti ICT all’interno dell’UE.
Il Cyber Competence Center Europeo
Altro importante regolamento è quello che, nel 2021, ha istituito un nuovo Centro di competenza per la cyber security e una rete di centri nazionali di coordinamento.
Il Centro, con sede a Bucarest, contribuirà a rafforzare le capacità europee di cyber security e a promuovere l’eccellenza della ricerca e la competitività dell’industria dell’Unione nel settore della cyber security.
Creare un cyber scudo europeo
Con il diffondersi della connettività, la crescita del mondo digitale e la crescita di attacchi informatici sempre più sofisticati, diventa fondamentale assicurare un monitoraggio costante degli eventi, tale da rivelare intrusioni e anomalie in tempo reale.
La Commissione ha quindi proposto la creazione di gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) e centri operativi di sicurezza, ovvero i SOC, con l’obbiettivo di analizzare costantemente una grande quantità di dati al fine di rilevare precocemente segnali di attacchi informatici e consentire di intervenire prima che si verifichino violazioni e danni.
L’idea presente nella strategia è quella di creare centri operativi per la sicurezza su tutto il territorio europeo e farli crescere in termini di competenza e professionalità: questi centri saranno quindi capaci di cooperare tra loro al fine di creare una intelligence relativa alle minacce, da condividere anche con gli ISAC (Information Sharing and Analysis Centers) e le autorità nazionali, con l’obiettivo di collegare il maggior numero possibile di centri in tutta l’UE al fine di sviluppare una conoscenza collettiva e condividere le migliori prassi.
Attraverso una collaborazione e una cooperazione continue, tale rete segnalerà tempestivamente eventuali incidenti di cyber security alle autorità e a tutti gli interessati coinvolti, compresa l’unità congiunta per il cyberspazio, e rappresenterà un vero e proprio scudo di cyber security per l’UE.
Un’infrastruttura di comunicazione ultra sicura
Nell’ambito della strategica per la cyber security, gli Stati membri si sono impegnati a lavorare assieme alla Commissione per la realizzazione di un’infrastruttura di comunicazione quantistica sicura per l’Europa.
Questa infrastruttura offrirà alle autorità pubbliche un modo estremamente efficace e nuovo per trasmettere informazioni riservate utilizzando una forma ultra sicura di crittografia creata con tecnologia europea e composta da reti di comunicazione in fibra e satelliti spaziali.
Rendere sicura la prossima generazione di reti mobili a banda larga
All’interno della strategia trova posto un approccio alla cyber security che, sostenuto dalla Commissione e da ENISA, contribuisce a far sì che gli Stati membri portino a termine il pacchetto di strumenti dell’UE per le reti 5G, che definisce un approccio globale e basato sui rischi oggettivi per la sicurezza di dette reti, attuali e di prossima generazione, teso a garantire che i rischi individuati siano adeguatamente mitigati, in modo coordinato, in particolare nell’ottica di ridurre al minimo l’esposizione ed evitare la dipendenza dai fornitori ad alto rischio.
Sostegno all’acquisizione di competenze informatiche
Una parte importante della strategia è dedicata al miglioramento delle competenze di coloro che lavorano e operano nel settore della cyber security.
Diverse le azioni in campo per promuovere le attività di sensibilizzazione in materia di cyber security tra le persone, specialmente i bambini e i giovani, e tra le organizzazioni, in particolare le PMI.
Sviluppo delle capacità operative
Altro aspetto della strategia nasce dalla consapevolezza che per contrastare le minacce informatiche, occorre una risposta collettiva, che non si può ottenere senza una sistematica e completa condivisione delle informazioni. Attraverso la piena attuazione degli strumenti normativi, la mobilitazione e la cooperazione, l’UE mira a sostenere gli Stati membri nella difesa dei loro cittadini, nonché dei loro interessi economici e di sicurezza nazionale.
Un’unità congiunta per il cyberspazio
In quest’ottica si configura il progetto di un’Unità Cybernetica Congiunta (Joint Cyber Unit) volta principalmente ad assicurare la cooperazione tra le varie comunità di cyber security all’interno dell’UE, soprattutto quando si abbia la necessità di contrastare gravi minacce e incidenti informatici di natura transfrontaliera.
Si tratterebbe di una unità di appoggio e avrebbe sostanzialmente tre compiti:
- formazione e preparazione delle comunità di cyber security;
- consapevolezza della situazione corrente (attraverso la condivisione di informazioni);
- rafforzamento della risposta coordinata all’interno dell’unione in caso di incidenti.
Contrastare la criminalità informatica
La strategia è permeata dalla consapevolezza che se vi è criminalità informatica, non vi può essere sicurezza informatica. A livello EU Europol ed ENISA hanno già instaurato una forte cooperazione, che continuerà a essere supportata dalla strategia per la cyber security.
È vero, però, che per poter agire in maniera efficace, le forze dell’ordine dovranno avere una migliore capacità di indagare sulla criminalità informatica, nel pieno rispetto dei diritti fondamentali, e dovranno essere equipaggiati con gli strumenti digitali adatti a compiere questo tipo di indagini.
La strategia prevede, quindi, che la Commissione attivi un piano di azione adeguato.
Pacchetto di strumenti della diplomazia informatica dell’UE
Si tratta di un pacchetto che consente all’Unione Europea di imporre misure restrittive e mirate nei confronti di persone o entità responsabili di attacchi informatici che costituiscono una minaccia esterna per l’Europa o i suoi Stati membri, oppure anche verso Stati Terzi o Organizzazioni internazionali, nel caso in cui tali misure siano considerate necessarie per conseguire gli obiettivi della politica estera e di sicurezza comune (PESC).
Promozione di un cyberspazio globale e aperto
All’interno della strategia, infine, l’idea di cyberspazio è fondata sullo Stato di diritto, sui diritti umani, sulle libertà fondamentali e sui valori democratici che generino sviluppo sociale, economico e politico a livello globale e contribuiscano a un’Unione della sicurezza. La cooperazione internazionale è elemento essenziale per mantenere un cyberspazio globale, aperto, stabile e sicuro.
Per ottenere questo risultato, l’Unione Europea promuoverà norme e standard internazionali, soprattutto in settori come l’IA, il Cloud, il calcolo quantistico, che riflettano tali valori fondamentali dell’UE collaborando con i suoi partner internazionali nelle Nazioni Unite e in altre sedi pertinenti.
La cyber security nelle istituzioni, negli organi e negli organismi dell’UE
A supporto della strategia, è necessario innalzare gli standard per la cyber security e la sicurezza dell’informazione nelle istituzioni, negli organi e negli organismi dell’UE, dal momento che sono regolarmente bersaglio di attacchi informatici, in particolare per quanto riguarda lo spionaggio. La loro resilienza dipende spesso dalla loro maturità ed esperienza, ed è quindi fondamentale migliorare il livello generale di cyber security mediante regole coerenti e omogenee.
Proprio in quest’ottica, due sono le proposte che sono state presentate il 22 Marzo 2022, per stabilire misure comuni in materia di cyber security e sicurezza delle informazioni nelle istituzioni europee, con l’obiettivo di rafforzare le capacità di resilienza e di risposta di questi soggetti rispetto agli incidenti e alle minacce informatiche, e di garantire la resilienza e la sicurezza della pubblica amministrazione europea.
La prima è il “regolamento sulla cyber security” che introdurrà un quadro normativo per la gestione, la governance e il controllo dei rischi nell’ambito della sicurezza.
I punti chiave sono i seguenti:
- rafforzare il mandato del CERT-UE, ovvero il Computer Emergency Responce Team dedicato alle infrastrutture europee;
- istituire un nuovo comitato interistituzionale per la cyber security per guidare e monitorare l’attuazione del regolamento e per indirizzare il CERT-EU;
- rinominare il CERT-UE da “squadra di pronto intervento informatico” in “centro per la cyber security” in linea con gli sviluppi negli Stati membri e a livello globale.
La seconda è il “regolamento sulla sicurezza delle informazioni” che creerà una serie minima di norme e standard sulla sicurezza delle informazioni per tutte le istituzioni, tutti gli organi e tutti gli organismi dell’UE. I punti chiave sono i seguenti:
- creazione di un gruppo di coordinamento interistituzionale per la sicurezza delle informazioni in grado di mettere in atto una governance efficace per gli incidenti di sicurezza
- istituire un approccio comune per la categorizzazione delle informazioni, basato sul livello di riservatezza
- modernizzare la politica di sicurezza delle informazioni (includendo ad esempio il lavoro da remoto)
- razionalizzare le pratiche attuali e conseguire una maggiore compatibilità tra i sistemi e i dispositivi rilevanti.
Interventi di EDPS e il complicato rapporto tra cyber security e protezione dati
L’articolo 5, paragrafo 1, lettera f), del regolamento (UE) 2016/679 (GDPR) ha stabilito che la sicurezza è un requisito essenziale per il rispetto della normativa UE sulla protezione dei dati. L’ Articolo 32 del GDPR definisce ulteriormente i relativi obblighi applicabili sia ai titolari che ai responsabili del trattamento.
Nel suo parere dell’ 11 Marzo 2021, il Garante Europeo per la protezione dei dati (EDPS) si era espresso positivamente riguardo all’aggiornamento proposto dalla Commissione con la Direttiva NIS 2, il cui accordo tra Parlamento e Consiglio è stato poi raggiunto il 13 Maggio di quest’anno, evidenziando però che il perseguire obiettivi di cyber security spesso può anche portare all’adozione di misure che interferiscono con i diritti alla protezione dei dati e alla vita privata delle persone, e suggerendo una serie di modifiche al testo, con l’obiettivo di armonizzare cyber security e protezione dei dati, e in particolare:
- attenzione particolare alla crittografia end-to-end e l’invito a chiarire all’interno della Direttiva il divieto di implementare misure che potrebbero indebolire tale crittografia, in particolare quando si dice che “l’uso della crittografia end-to-end vada riconciliato con le esigenze investigative delle autorità di pubblica sicurezza”;
- maggiore chiarezza tra Direttiva NIS 2 e Normativa sulla Protezione dei Dati (GDPR e Direttiva ePrivacy). Secondo EDPS, nella NIS 2 andrebbe esplicitato in maniera chiara che l’introduzione della Direttiva non deve pregiudicare quanto già previsto dalle norme sulla protezione dei dati, e non deve alterare in alcun modo i compiti e poteri che spettano alle Autorità Garanti;
- il Comitato Europeo per la protezione dei Dati (EDPB) andrebbe coinvolto nell’identificazione di misure e linee guida nell’ambito della cyber security, questo per garantire una maggiore coerenza di applicazione tra norme di cyber security, proprie della NIS 2, e quelle di protezione dei dati (GDPR);
- inclusione nella NIS 2 di alcuni dei principi ben noti e presenti nel testo del GDPR, come la Privacy by Design, proprio per essere certi che, nel disegnare le misure necessarie a garantire la cyber-resilienza, non ci si dimentichi della protezione dei dati. Il riferimento è all’utilizzo di algoritmi di IA per rilevare e rispondere agli attacchi informatici, algoritmi che fanno uso massivo di grandi quantità di dati, e che secondo EDPS dovrebbero applicare i principi di data protection by design e by default (Art. 25 del GDPR);
- estensione della Direttiva NIS 2 anche alle istituzioni europee, proprio per garantire quell’uniformità che è l’obbiettivo sia della Direttiva NIS 2 che della strategia europea per la cyber security.
Il 18 maggio 2022, il Garante Europeo per la protezione dei dati (EDPS) è nuovamente intervenuto a proposito delle proposte di “regolamento sulla cyber security” e “regolamento sulla sicurezza delle informazioni”, e ha pubblicato due pareri: analogamente a quanto accaduto nel caso della Direttiva NIS, ha accolto favorevolmente le proposte, ma ha evidenziato criticità con le norme relative alla protezione dei dati.
“Con la Direttiva NIS 2 appena approvata dai co-legislatori la scorsa settimana” – dice Garante Europeo per la protezione dei dati – “la Commissione Europea ha fatto un ulteriore passo avanti proponendo tempestivamente le norme corrispondenti per le Istituzioni Europee. Non esiste protezione dei dati personali senza una gestione e misure efficaci dei rischi per la sicurezza.”, ma aggiunge –“ Allo stesso tempo, è fondamentale proteggere i dati personali trattati negli ambiti della sicurezza delle informazioni e della sicurezza informatica”.
Nei suoi pareri, l’EDPS riconosce che queste proposte possono avere un impatto positivo nell’ambito della sicurezza, ma allo stesso tempo, evidenzia i rischi per il rispetto della normativa UE sulla privacy e sulla protezione dei dati, e raccomanda di garantire che tutte le misure di sicurezza previste abbiano una base giuridica valida e siano necessarie e proporzionate.
L’EDPS fa notare infatti che per conformarsi a entrambe le proposte, le istituzioni europee e il CERT-EU, dovranno necessariamente implementare processi e misure che implicano un trattamento aggiuntivo dei dati personali. Per garantire la conformità con il regolamento (UE) 2018/1725, EDPS consiglia vivamente che entrambe le proposte forniscano una base legale chiara, includendo in particolare, le finalità del trattamento e le categorie di dati personali che possono essere oggetto di trattamento stesso.
Per quanto riguarda la “proposta sulla cyber security”, l’EDPS ritiene che essa andrebbe allineata a quanto già previsto dalla direttiva NIS 2, in modo da raggiungere regole uguali e uniformi sia per gli Stati membri che per le istituzioni europee ed contribuire così ad aumentare il livello della cyber security europea.
Conclusioni
In un mondo sempre più digitale ed esposto a violazioni informatiche sempre più sofisticate, l’Unione Europea è ancora comunemente ritenuta uno dei luoghi più sicuri e meglio protetti. Tuttavia, questa situazione non può essere data per scontata.
Nel GDPR è ben presente la consapevolezza, si veda il Considerando n.6, di quanto la tecnologia abbia trasformato l’economia e le relazioni sociali, ribadendo che ciò “dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali”.
La strategia sull’Unione getta le basi per un ecosistema della sicurezza che si estende all’intera società europea. È fondata sulla consapevolezza che la sicurezza è una responsabilità condivisa. La sicurezza è una questione che interessa tutti: gli organismi governativi, le imprese, le organizzazioni sociali, le istituzioni e i cittadini; tutti devono assumersi le proprie responsabilità al fine di rendere le nostre società più sicure.
I recenti pareri di EDPS ribadiscono che non dobbiamo mai dimenticare quanto la nostra sicurezza sia legata ai nostri valori fondamentali.
Diventa così centrale ed urgente armonizzare quanto prima le norme relative alla cyber security tra loro ma anche con quelle della privacy e protezione dei dati e garantire così quel livello elevato di sicurezza nazionale ed europeo che l’Europa si propone di raggiungere con la strategia sulla cyber security ed è parte integrante del Regolamento europeo sulla protezione dei dati.
Tutte le azioni e iniziative nell’ambito della cyber security devono continuare a rispettare pienamente i diritti fondamentali e i valori europei, poiché essi rappresentano, appunto, il fondamento della nostra società e devono rimanere al centro di qualsiasi iniziativa dell’Unione.