Dall’ultima volta nella quale ho affrontato questo tema per L’Unità Europea – L’Unità Europea 2/2022, pag. 7 – i fatti importanti dal punto di vista geopolitico e dal punto di vista epidemiologico – il perdurare dell’aggressione della Russia all’Ucraina e il permanere del “rischio” Covid – costituiscono, certamente, aspetti da considerare quando prendiamo in esame il delicato e strategico tema della cybersecurity.
Infatti, se le guerre sono – e, ancora di più domani, saranno – combattute non più sui tradizionali tre fronti – terra, mare e cielo – ma anche su quelli cyber e space gli aspetti legati alla sicurezza cibernetica devono essere affrontati, in quanto essenziali, sia dal punto di vista tecnologico che normativo.
Relativamente al “rischio” Covid, il conseguente uso di tecnologia, la nostra maggiore confidenza con gli strumenti informatici e la decisa accelerazione della transizione digitale portano a una naturale maggiore esposizione ai rischi cyber. Quando parliamo di cybersecurity o cybercrime e, comunque, più in generale, di strumenti digitali – argomento decisamente vasto e dalle mille sfaccettature – dobbiamo essere consapevoli che il confine tra vita privata e vita lavorativa è divenuto sempre più labile. Potremmo parlare a lungo per comprendere se questa riduzione, per non dire promiscuità, degli spazi fisici e temporali sia un bene oppure una disgrazia ma difficilmente riusciremo a trovare una risposta soddisfacente e definitiva. È semplicemente un dato di fatto col quale ognuno di noi si confronta, cercando di trovare un proprio equilibrio, molto spesso, e questo è il problema, trascurando gli importanti temi legati alla sicurezza informatica per tutti gli aspetti legati allo smart working e all’effettività dei presidi tecnico-organizzativi di sicurezza sui nostri dispositivi e sulle nostre reti internet (casa, ufficio, spazi di co-working).
Solo nel 2021 (Rapporto CLUSIT sulla sicurezza ICT, 2022) gli attacchi informatici sono aumentati del 10% nel mondo e il 21% di questo aumento si registra in Europa. Un fenomeno ancor più preoccupante in quanto il dato è precedente all’inizio della guerra.
Da queste prime considerazioni discende che la trattazione di questa importante questione – la cybersecurity – deve, per forza, andare dalla sicurezza del perimetro nazionale (che può essere violato così come le nostre Istituzioni); alla continuità aziendale, che può essere pregiudicata; allo studio professionale, che può essere hackerato; al trattamento dei dati personali, che possono essere sottratti e utilizzati in modo fraudolento; alle fotografie delle nostre vacanze, che possono essere criptate.
Se l’Unione europea è ancora in ritardo sul fronte dell’autonomia dalla dipendenza tecnologica da altri Paesi – fra tutte la questione microchip è emblematica – va meglio sotto il profilo delle infrastrutture e della connettività, ulteriormente finanziate con il Next generation EU, mentre dal punto di vista normativo l’Unione europea è assolutamente all’avanguardia tanto da rappresentare un modello di riferimento per molti Paesi, non dobbiamo dimenticare che l’Unione Europea nel periodo 2021-2027 si è impegnata a investire nel Programma Europa digitale 1,6 miliardi di Euro sulla cybersecurity e nella diffusione di infrastrutture e strumenti cyber-sicuri a favore di cittadini, imprese e Pubblica Amministrazione.
Le sfide della cybersecurity
In settori critici quali la sanità, i trasporti, l’energia e la finanza la dipendenza dagli strumenti digitali è totale e di conseguenza è molto elevata l’esposizione alle minacce informatiche accentuata – sembra un paradosso – dalle tecnologie legate all’intelligenza artificiale, all’internet of things, alla latenza dei sistemi sempre più ridotta e ai computer quantistici: utili novità con un elevato potenziale crime. Entro il 2024 circa 23 miliardi di dispositivi saranno collegati all’internet delle cose – questo numero deve far riflettere – e le nostre automobili stanno, di fatto, diventando degli smartphone.
Ma cosa significa Cybersecurity? «La Cybersecurity comprende l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche.» Così recita l’Art. 2, p. 1 del Regolamento (UE) 2019/881 del 17 Aprile 2019 relativo all’ENISA (European Union Agency for Cybersecurity), l’Agenzia dell’Unione europea per la cibersicurezza e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione. Quindi, vista l’ampia platea di riferimento, l’obiettivo dell’Unione europea non può che essere quello di rafforzare sistemi informatici che siano resilienti per tutti i cittadini, le imprese e le istituzioni affinché possano utilizzare gli strumenti e i servizi digitali in modo sicuro, affidabile e diffuso. Tutto questo avrà un costo, diventato inevitabile, che dovrà essere catalogato fra gli investimenti anche perché la questione non è più quando o se saremo attaccati ma quali danni subiremo in caso di attacco informatico, se saremo in grado di ripristinare – rapidamente e integralmente – tutto ciò che sarà stato inevitabilmente compromesso e se saremo risarciti.
Vi sono degli orientamenti di mercato – come la crescita dell’internet of things, stimato per l’Italia in oltre 200 milioni di oggetti smart che raddoppieranno ogni due anni, proprio come aveva previsto Gordon Moore per i microchip (Legge di Moore), l’aumento dell’attenzione di cittadini sempre più digitali per scelta o per necessità, l’attenzione a tutta la catena della fornitura al di là delle dimensioni aziendali (supplay chain) e la nascita di nuove figure professionali come il Chief information security officer, le smart city che ci piacerebbe diventassero smart land – che ci indicano che la cybersecurity è contemporaneamente sia un problema da affrontare che un vantaggio competitivo.
Le risposte dell’Unione europea
Fin dal 22 Marzo 2021 il Consiglio europeo ha adeguato la strategia UE in materia di Cybersecurity ritenendola essenziale per costruire un’Unione europea resiliente, verde e digitale. Tale strategia ha fatto emergere la necessità di una Direttiva aggiornata per proteggere meglio la rete e i sistemi informativi e di una nuova Direttiva sulla resilienza dei soggetti critici, atti necessari anche per mettere ordine a una certa proliferazione normativa e ad allineare le norme a un’evoluzione tecnologica con la quale per il legislatore è sempre molto difficile tenere il passo.
Proprio mentre sto scrivendo questo articolo sono state pubblicate sulla Gazzetta ufficiale dell’Unione Europea del 27 Dicembre 2022 tre Direttive – tutte del 14 Dicembre 2022 e che entreranno in vigore il 17 Gennaio 2023: la Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione che ha apportato modifiche a far data dal 18 Ottobre 2024 al Regolamento (UE) 2014/910 e alla Direttiva (UE) 2018/1972 e ha abrogato la Direttiva (UE) 2016/1148 c.d. NIS 2 che dovrà essere recepita dagli Stati membri entro il 17 Ottobre 2024; la Direttiva (UE) 2022/2556, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario che dovrà essere recepita dagli Stati membri entro il 17 Ottobre 2025; la Direttiva (UE) 2022/2557, relativa alla resilienza dei soggetti critici che abroga, dal 18 Ottobre 2024, la Direttiva 2008/114/CE che dovrà essere recepita dagli Stati membri entro il 17 Ottobre 2024. In particolare, nelle Direttive 2555 e 2557 è previsto che la Commissione europea debba riesaminare periodicamente il loro funzionamento.
È rimasto invariato il Regolamento (UE) 2019/881 del 17 Aprile 2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, che abroga il Regolamento (UE) 2013/526 (c.d. «Regolamento sulla cibersicurezza»). Quest’ultimo ha lo scopo di garantire, tramite l’ENISA, e alla prassi comune di certificazione, i più elevati standard di cybersecurity per i prodotti, i servizi e i processi ICT e, al contempo, di porre rimedio alla frammentazione normativa e del mercato dovuti a sistemi di certificazione differenti nei diversi Paesi dell’Unione con gli obiettivi di stimolare la fiducia e il commercio in tutta la UE oltre che stimolare la crescita del mercato della cybersecurity. Inoltre, l’ENISA sosterrà gli Stati membri e le istituzioni della UE nella gestione degli attacchi informatici.
Infine, è di peculiare importanza che con la Direttiva (UE) 2022/2555 venga posta grande attenzione alla promozione e lo sviluppo di attività di istruzione, formazione e sensibilizzazione, di competenze e di iniziative di ricerca e sviluppo in materia di cybersecurity, nonché alla condivisione delle buone pratiche e ai controlli riguardanti l’igiene informatica, destinati ai cittadini e a tutti i portatori d’interessi comprese le PMI escluse dall’ambito di applicazione della Direttiva stessa.
È proprio il caso di dirlo: l’Unione Europea c’è!
Iscriviti alla alla 
