Il Parlamento Europeo ha alzato il tiro sulla cyber difesa con la presentazione di una proposta di regolamento per intensificare e uniformare il livello di cyber security degli uffici dell’Unione Europea.
I numerosi attacchi agli organismi dell’UE, le minacce rilevate e in generale l’aumento delle attività malevole in rete hanno spinto le istituzioni a preoccuparsi di organizzare un regolamento che ricorda molto il nostro Perimetro di Sicurezza Nazionale Cibernetica.
Alla rilevazione delle minacce si aggiunge la consapevolezza dell’incremento dello smart working a seguito della pandemia che ha proiettato in avanti di venti anni tutto il mondo del punto di vista digitale, la migrazione dei sistemi verso il cloud e il crescente outsourcing dei servizi IT.
Tutti fenomeni che conosciamo molto bene anche in Italia e che hanno spinto, con due anni di anticipo, anche le nostre Istituzioni verso una maggiore consapevolezza cyber e una postura di sicurezza generalizzata.
Un decreto per la sovranità tecnologica anche nella cyber: le mosse di Italia ed Europa
Indice degli argomenti
I dettagli del regolamento UE sulla cyber security
Il regolamento prevede obblighi per le istituzioni, gli organismi, gli uffici e le agenzie dell’Unione Europea in merito a:
- realizzare un framework interno di governance, controllo e gestione del rischio cyber;
- istituire un reporting organizzato e costante delle entità in merito ad eventi di cyber security e in merito alle analisi del rischio effettuate;
- organizzare e rendere operativo un CERT EU dedicato agli organismi europei e un Interinstitutional Cybersecurity Board.
Tra gli obblighi, sempre risk based come tutte le norme di sicurezza degli ultimi cinque anni, vi è:
- un maturity assessment;
- piani di gestione.
Viene quindi istituito un Interinstitutional Cybersecurity Board (IICB) cui partecipano tutte le istituzioni europee a partire da ENISA, l’Agenzia per la sicurezza delle reti e dell’informazione europea.
Infine vengono definiti i compiti del CERT-EU.
Le analogie con il perimetro cyber italiano
Tutto questo impianto ci ricorda l’architettura nazionale di cyber security italiana e il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), del quale comunque non assorbe ancora tutte le svariate potenzialità, tralasciando per esempio gli aspetti di censimento, misure minime, validazione e certificazione, controllo e definizione delle strategie.
L’Italia è dunque avanti e costituisce un punto di esempio per l’Europa che, spinta anche dai recenti eventi legati al conflitto russo ucraino, si muove adesso per cercare di rendere maggiormente sicure le proprie istituzioni.
Il regolamento parla anche di cloud, rispetto al quale, ancora una volta, l’Italia si è già mossa inserendolo al pari del 5G nel recente decreto che affronta anche il rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie endpoint detection and response e web application firewall.
Come sappiamo, le pubbliche amministrazioni vengono chiamate a provvedere alla diversificazione degli strumenti di cui alle categorie suddette.
Tutte le PA costrette a rimuovere tecnologia cyber russa: il decreto per la sovranità tecnologica
Di fronte a tale decreto abbiamo visto reazioni disparate, persino PMI che si sono poste il dilemma di continuare a usare un firewall originato nella Federazione oppure spegnerlo definitivamente (senza aver provveduto a sostituirlo). Come ha affermato recentemente il dr. Alessio Pennasilico su Agenda Digitale, oggi più che mai occorre tenere i nervi saldi.
L’Europa si muove con una forma regolatoria che le consentirà immediatezza e tempestività: un regolamento infatti diventa obbligatorio appena emanato. L’Italia è in pole position e funge da esempio.
Ora non ci resta che fare squadra apprezzando gli sforzi fino ad oggi sostenuti dalle nostre Istituzioni e muoverci, uniti, per difendere i nostri interessi, i nostri valori, la nostra economia.
