Al fine di garantire un cyberspazio aperto e sicuro per tutti i suoi Stati membri, l’Unione europea in questi anni ha adottato diverse strategie per lo sviluppo di una efficace cyber postura e ha messo in campo dei piani d’azione volti al contenimento delle minacce informatiche.
Il rafforzamento delle normative a favore della cyber sicurezza è una priorità assoluta per l’Unione ed è divenuta una necessità a seguito dell’intensificarsi degli attacchi e della situazione internazionale, provenienti da attori sia statali che non statali, ivi compresi un forte e costante aumento delle attività malevole che prendono di mira le infrastrutture critiche, le catene di approvvigionamento e la proprietà intellettuale dell’UE e degli Stati membri.
Cosa ci insegna sulla cyber security lo scontro tra Russia e Ucraina
Indice degli argomenti
Rafforzare la cyber resilienza dell’Unione
Riguardo le Conclusioni del Consiglio dell’Unione europea sullo sviluppo della posizione dell’Unione in materia di deterrenza informatica, approvate nella sessione del 23 maggio 2022, si ribadisce la necessità di rafforzare la cyber resilienza dell’Unione, migliorando la capacità di prevenire gli attacchi informatici attraverso lo sviluppo e il potenziamento delle capacità, la formazione, le esercitazioni, e reagendo con fermezza agli attacchi informatici mediante l’utilizzo di tutti gli strumenti a disposizione.
È inoltre fortemente incoraggiata l’adozione di requisiti comuni agli Stati membri in materia di cyber sicurezza; esemplificativa è la proposta di regolamento che ne stabilisce misure per un livello comune elevato nelle istituzioni, negli organi e negli organismi dell’Unione. Oltre a questo, si dovrebbe agevolare l’emergere nel settore di fornitori di servizi affidabili, sviluppo prioritario per la politica industriale dell’UE.
Si sottolinea dunque l’importanza di integrare considerazioni in materia in tutte le politiche pubbliche dell’Unione, compresa la legislazione settoriale che integra la direttiva NIS 2, per rafforzare la cyber sicurezza lungo l’intera catena di approvvigionamento della base industriale e tecnologica di difesa europea (EDTIB).
In aggiunta, si evidenzia l’importanza di istituire un programma di esercitazioni periodiche intercomunitarie e multilivello, al fine di testare e sviluppare la risposta interna ed esterna dell’UE agli incidenti su vasta scala, con la partecipazione del Consiglio, del Servizio europeo per l’azione esterna (SEAE), della Commissione e dei pertinenti portatori di interessi quali l’ENISA e il settore privato, che sarà articolato e contribuirà alla politica generale dell’Unione in materia di esercitazioni.
Possibili novità potrebbero essere un’esercitazione militare CERT (Computer Emergency Response Team) e un’esercitazione incentrata sulla cooperazione tra istituzioni, organi e agenzie dell’UE in caso di crisi.
Un decreto per la sovranità tecnologica anche nella cyber: le mosse di Italia ed Europa
Promuovere un’efficiente cyber diplomacy
Il Consiglio Europeo mira, inoltre, alla promozione di un’efficiente cyber diplomacy intesa ad una triplice finalità: la prevenzione dei conflitti, la riduzione delle minacce cyber, il rafforzamento e il consolidamento delle relazioni internazionali in materia.
Tramite questi principi viene confermata la visione dell’Unione Europea circa le possibilità di applicare, alla condotta degli Stati nel cyberspazio, i paradigmi del diritto internazionale dei diritti umani e del diritto internazionale umanitario per la risoluzione pacifica delle controversie internazionali.
Viene posto in rilievo, in tal senso, la necessità di assicurare che le regole che governano il cyberspazio si ispirino alla promozione dello Stato di diritto, garantendo libertà e diritti fondamentali e ribadendo la necessità di elevare i principi cardine delle società democratiche.
Per il raggiungimento di tali finalità, è stimolato il rinnovamento degli accordi interstatuali in materia di cybersicurezza e attraverso il rafforzamento della cooperazione internazionale.
Affinché possano emergere i principi delle società democratiche, discostandosi da visioni autoritarie, il Consiglio si impegna alla valorizzazione del dialogo internazionale, in ragione dell’esigenza di proseguire le attività di promozione di programmi che vigilino sul comportamento responsabile degli Stati all’interno del cyberspazio.
In tale prospettiva, la necessità è anche quella di attivare processi di consultazione e di negoziato per una futura convenzione internazionale, in seno alle Nazioni Unite, in materia di contrasto alla criminalità informatica.
Cyber security: serve sviluppare programmi di cooperazione
Il quarto punto sottolineato dal Consiglio Europeo nel documento del 23 maggio 2022 evidenzia come sia necessario migliorare il coordinamento tra la strategia dell’UE per lo sviluppo delle capacità informatiche con le norme delle Nazioni Unite in materia.
L’obiettivo è la promozione e lo sviluppo di programmi di cooperazione e supporto con paesi terzi e con partner del settore pubblico e privato, anche per il tramite di EU CyberNet (la rete UE per lo sviluppo delle capacità informatiche) ed il GFCE (Global Forum on Cyber Expertise).
Nel documento è focalizzata l’attenzione sull’attività dell’Alto Rappresentante dell’UE e della Commissione Europea ai fini della promozione di attività di coordinamento e cooperazione, con l’intento di contribuire al rafforzamento della resilienza dei partners europei rispetto alla gestione delle crisi e delle minacce informatiche e per la prevenzione e la repressione della criminalità informatica.
È sottolineato, altresì, come si renda necessaria la promozione di un’idea condivisa, nell’ambito della comunità internazionale, per l’applicazione del diritto internazionale nel cyberspazio, in modo da contribuire a verificare e garantire il corretto comportamento degli Stati, secondo una proficua diplomazia informatica dell’UE ispirata ad una collaborazione costante con paesi terzi.
Criteri uniformi per individuare e rispondere alle cyber minacce
Nell’ambito del rafforzamento della cooperazione internazionale, con organizzazioni e paesi partner, è promossa la condivisione di criteri uniformi per l’individuazione e la risposta alle minacce informatiche.
Vengono posti in rilievo, in tal senso, i risultati della cooperazione UE-NATO in materia di cybersicurezza, mediante forme di esercitazioni congiunte, condivisione di informazioni tra esperti, applicabilità del diritto internazionale in materia di comportamenti degli Stati nel cyberspazio e nell’attività di risposta alle minacce informatiche.
Sul tema forte è il richiamo all’attuazione dei principi espressi dalle dichiarazioni di Varsavia del 2016 e di Bruxelles del 2018, che garantiscono la condizione dell’indipendenza decisionale, secondo i cardini di trasparenza, reciprocità ed inclusività.
Rispondere rapidamente e con fermezza ai cyber attacchi
Nel documento viene riconosciuta la dimensione conflittuale del cyberspazio, sostenendo come l’Unione Europea debba essere in grado di rispondere rapidamente e con fermezza agli attacchi informatici, anche quando sostenute da Stati ai danni dell’UE e dei suoi Stati membri.
A tal fine, viene invitato l’Alto Rappresentante UE a lavorare ad una nuova versione delle linee guida di attuazione del pacchetto di strumenti della diplomazia informatica europea, entro la fine del primo trimestre del 2023, in modo da promuoverla e rafforzarla mediante il ricorso a strumenti politici, economici, diplomatici e giuridici finalizzati a prevenire, dissuadere e rispondere alle minacce informatiche.
Nonostante venga ribadita l’esclusiva competenza di ogni Stato membro dell’UE in materia di sicurezza nazionale, si prende atto della necessità di valorizzare le procedure di condivisione di intelligence tra Stati membri e con l’INTCEN (Intelligence and Situation Centre), con la finalità di migliorare il processo decisionale in modo da consentire una risposta efficace e rapida alle attività informatiche commesse ai danni dell’UE e dei suoi Stati partner.
Per quanto attiene la cyber difesa, nonostante ne venga riconosciuta l’esclusiva competenza in capo agli Stati membri, viene tra l’altro sottolineata l’esigenza di procedere all’integrazione dello sviluppo di una posizione comune in materia di deterrenza informatica, mediante una proposta (entro la fine del 2022) per una politica dell’UE in materia, capace di valorizzare la sinergia e la condivisione informativa attraverso la cooperazione tra squadre di pronto intervento informatico militari (MilCERT) e con la rete civile (CSIRT).
Sicurezza comune europea, positivi gli impatti sulla protezione dei dati personali: il parere EDPS
Sviluppare una dottrina UE in materia di cyberspazio
In conclusione, viene evidenziato come lo sviluppo di una dottrina dell’UE in materia di azione nel cyberspazio si ispiri e miri a valorizzare il potenziamento della resilienza, lo sviluppo nelle opzioni di risposta, posizioni comuni all’applicazione del diritto internazionale nel cyberspazio, con la finalità di garantire l’implementazione di una condivisa postura dell’Unione in materia di deterrenza informatica.
