I rappresentanti degli Stati membri (Coreper) hanno raggiunto una posizione comune sulla proposta di regolamento presentata dalla Commissione europea il 18 aprile 2023: il Cyber Solidarity Act (CSA) prevede di rafforzare la solidarietà e le capacità dell’Unione europea nel rilevamento delle minacce e degli incidenti di cyber sicurezza, oltre che la preparazione e la risposta agli stessi attraverso la creazione di un cyberscudo europeo e un meccanismo globale per le emergenze.
Cyber Solidarity Act, così l’Europa diventerà resiliente e “solidale” contro i cyber attacchi
Indice degli argomenti
Uno scudo informatico europeo
In base alle recenti statistiche degli attacchi cyber perpetrati nei sistemi informatici, si evince la necessità di rafforzare il sostegno e la capacità dell’Unione Europea nel rilevamento delle minacce e degli incidenti di cybersicurezza.
L’origine della proposta legislativa è multipla e origina già dal dicembre 2020 quando l’UE ha adottato le misure per la cyber sicurezza, includendo scudo informatico europeo.
Successivamente nel marzo 2022 i ministri degli Stati membri dell’UE, responsabili delle telecomunicazioni, hanno partecipato ad un incontro tenutosi a Nevers, nel quale è stata espressa la volontà che l’UE si preparasse adeguatamente ad affrontare gli attacchi informatici su larga scala.
Infine, nel maggio 2022, sulla posizione relativa alla deterrenza informatica, il Consiglio ha sottolineato l’esigenza di affrontare le lacune delle risposte e della preparazione agli attacchi informatici, spronando così la Commissione a presentare una proposta su un nuovo fondo di risposta alle emergenze di cybersicurezza.
Cyber Solidarity Act: il meccanismo di cooperazione UE si rafforza
La proposta di regolamento del CSA è stata accettata dal Coreper convalidando, da una parte, alcuni aspetti e dall’altra modificandone altri rispetto alla proposta originaria della Commissione.
Tale punto d’incontro raggiunto permette di portare a compimento il Cyber Solidarity Act, consentendo la creazione di nuovi strumenti in grado di intensificare il meccanismo di cooperazione che deve esistere all’interno del panorama europeo, rendendolo più resiliente e reattivo.
Il Ministro spagnolo della Trasformazione digitale, José Luis Escrivá, ha espresso il suo pensiero in materia, affermando che “l’accordo è un altro passo verso il miglioramento della resilienza informatica in Europa. Rafforzerà certamente le capacità dell’UE e degli Stati membri di prepararsi alle minacce e agli attacchi informatici su vasta scala, di prevenirli, di rispondervi e di riprendersi dagli stessi in modo più efficiente ed efficace”.
Il punto cardine è la realizzazione dello scudo informatico UE
Il punto cardine del regolamento è la realizzazione dello scudo informatico, il cosiddetto European Cyber Shield, un’infrastruttura composta dai Centri Operativi di Sicurezza – Security Operations Centre (SOC) – di tutta l’Unione europea, riuniti in diverse piattaforme SOC multinazionali finanziate dal programma “DigitalEurope”, il cui compito sarà quello di migliorare il rilevamento, l’analisi e la risposta alle minacce cyber.
I SOC saranno autorizzati ad utilizzare le tecnologie avanzate, come l’intelligenza artificiale, per analizzare i dati e condividere i riscontri sui possibili attacchi con le autorità transfrontaliere.
A loro volta, queste e gli enti competenti saranno capaci di fronteggiare in modo più efficiente ed efficace i gravi incidenti cibernetici. Saranno effettuati dei test sulle realtà maggiormente a rischio come la finanza, l’energia e l’assistenza sanitaria al fine di evidenziare le potenziali debolezze che potrebbero renderli vulnerabili.
Inoltre, con l’assistenza reciproca tra gli Stati membri, verrà istituita una riserva dell’UE per la cyber sicurezza con la quale, in caso di un incidente informatico, sarà possibile dotare di servizi di risposta, procurati dai fornitori privati, i Paesi maggiormente colpiti.
I criteri di selezione di questi fornitori affidabili non sono ancora noti, ma i giganti europei della sicurezza, come Atos, Thales, WithSecure e BitDefender sono i candidati più probabili.
Obiettivo: accrescere il numero di esperti qualificati
Al suo interno il progetto include anche la creazione di un meccanismo di revisione degli incidenti informatici, chiamato Cybersecurity Incident Review Mechanism, il quale è in grado di effettuare una valutazione sugli attacchi informatici significativi che hanno avuto un impatto su larga scala, per trarne le dovute lezioni e, se il caso lo richiedesse, di emettere raccomandazioni per migliorare la resilienza e la posizione cyber dell’UE.
Su richiesta della Commissione o delle autorità nazionali, l’Agenzia europea per la cybersicurezza (ENISA) dovrà riesaminare specifici incidenti di sicurezza informatica, consegnando poi una relazione all’interno della quale verranno spiegati gli insegnamenti tratti e le raccomandazioni e best practices necessarie per una futura risposta dell’UE più significativa.
Parallelamente al CSA, verrà istituita anche una Cybersecurity Skill Academy – Accademia europea di competenze cybersecurity – con l’obiettivo di accrescere il numero di esperti qualificati, colmando il gap di competenze tra gli Stati membri.
Cyber Solidarity Act: come si è arrivati all’ok del Consiglio UE
Il 5 ottobre 2023, la Corte Europea dei Conti (ECA) ha formulato il proprio parere sul CSA, evidenziando il rischio che i meccanismi previsti non siano economicamente sostenibili nel lungo periodo, oltre a rendere più difficile la condivisione di informazioni e più complesso il panorama europeo sulla cyber security, rimandando di fatto la proposta a nuove discussioni e modifiche.
Le discussioni, terminate il 20 dicembre 2023, hanno visto la prima approvazione del progetto da parte del Consiglio UE che ha mantenuto l’orientamento generale proposto dalla Commissione, emendandolo con una terminologia più accurata.
Si è trattato di adeguare alcune definizioni a quelle di altre normative, in particolare per quanto riguarda i SOC e il Cyber Shield, e sottolineare la natura volontaria della partecipazione degli Stati membri ai meccanismi istituiti.
Gli altri cambiamenti che sono stati apportati hanno riguardato l’oggetto e l’ambito di applicazione; quindi, misure di risposta e recupero migliorate dal linguaggio utilizzato; il ruolo dell’ENISA rafforzato e chiarito in tutto il testo ed infine ulteriori miglioramenti per gli appalti, i finanziamenti e la condivisione di dati.
Conclusioni
A questo punto la posizione comune adottata dal Consiglio permette di avviare i negoziati con il Parlamento Europeo, insieme ad alcuni rappresentanti del Consiglio e della Commissione, per l’approvazione in seduta plenaria, della legislazione proposta.
Il bilancio totale per tutte le azioni nell’ambito del Cyber Solidarity Act dell’Ue è di 1,1 miliardi di euro, di cui circa due terzi saranno finanziati dall’Ue attraverso il programma “Digital Europe”.
