Il Consiglio dell’Ue ha adottato il Cyber solidarity act riconoscendo l’importanza di non lasciare i singoli Stati membri davanti alle crisi informatiche. La riserva selezionata è in linea con le indicazioni del ministro italiano Crosetto, osserva l’avvocato Mele
Ieri il Consiglio dell’Unione europea ha adottato due nuove leggi che fanno parte del pacchetto legislativo sulla sicurezza informatica: il cosiddetto Cyber solidarity act (legge sulla solidarietà informatica) e un emendamento mirato al Cybersecurity act. L’obiettivo è “rafforzare la solidarietà e le capacità dell’Unione europea di rilevare, preparare e rispondere alle minacce e agli incidenti informatici”, ha precisato il Consiglio.
Cosa prevede il Cyber Solidarity Act
Il Cyber solidarity “stabilisce le capacità dell’Unione europea per rendere l’Europa più resiliente di fronte alle minacce informatiche, rafforzando al contempo i meccanismi di cooperazione”, si legge in una nota. In particolare, istituisce un sistema di allerta per la sicurezza informatica, cioè un’infrastruttura paneuropea composta da hub informatici nazionali e transfrontalieri in tutta l’Unione europea. Si tratta di entità incaricate di condividere informazioni e incaricate di rilevare e agire sulle minacce informatiche. Gli hub informatici utilizzeranno tecnologie all’avanguardia, come l’intelligenza artificiale e l’analisi avanzata dei dati, per rilevare e condividere avvisi tempestivi sulle minacce informatiche e sugli incidenti oltre confine. “Rafforzeranno l’attuale quadro europeo e, a loro volta, le autorità e le entità pertinenti saranno in grado di rispondere in modo più efficiente ed efficace agli incidenti di sicurezza informatica”.
Verso una riserva cyber?
Il nuovo regolamento prevede anche la creazione di un meccanismo di emergenza per la sicurezza informatica per aumentare la preparazione e migliorare le capacità di risposta agli incidenti nell’Unione europea”, ha precisato il Consiglio. Nello specifico, sosterrà “azioni di preparazione, tra cui enti di test in settori altamente critici (sanità, trasporti, energia, eccetera) per potenziali vulnerabilità, sulla base di scenari di rischio e metodologie comuni”; “una nuova riserva di sicurezza informatica dell’Unione europea composta da servizi di risposta agli incidenti del settore privato pronti a intervenire su richiesta di uno Stato membro o di istituzioni, organi e agenzie dell’Ue, nonché di Paesi terzi associati, in caso di un incidente di sicurezza informatica significativo o su larga scala”; “assistenza tecnica reciproca”. Infine, la nuova legge istituisce un meccanismo di revisione degli incidenti per valutare, tra le altre cose, l’efficacia delle azioni nell’ambito del meccanismo di emergenza informatica e l’uso della riserva di sicurezza informatica, nonché il contributo di questo regolamento al rafforzamento della posizione competitiva dei settori dell’industria e dei servizi.
Cosa c’è nell’emendamento
Per quanto riguarda la modifica mirata alla legge sulla sicurezza informatica del 2019, il Consiglio ha evidenziato che “punta a migliorare la resilienza informatica dell’Unione europea consentendo la futura adozione di schemi di certificazione europei per i cosiddetti ‘servizi di sicurezza gestiti’. La nuova legge riconosce la crescente importanza dei servizi di sicurezza gestiti nella prevenzione, individuazione, risposta e ripristino da incidenti di sicurezza informatica”, si legge. Questi servizi possono consistere, ad esempio, nella gestione degli incidenti, nei test di penetrazione, negli audit di sicurezza e nella consulenza relativa al supporto tecnico. Tale emendamento mirato “consentirà l’istituzione di schemi di certificazione europei per questi servizi di sicurezza gestiti. Aiuterà ad aumentare la loro qualità e comparabilità, a promuovere l’emergere di fornitori di servizi di sicurezza informatica affidabili ed evitare la frammentazione del mercato interno, dato che alcuni stati membri hanno già avviato l’adozione di schemi di certificazione nazionali per i servizi di sicurezza gestiti”. Dopo la loro firma da parte dei presidenti del Consiglio e del Parlamento europeo, entrambi gli atti legislativi saranno pubblicati nella Gazzetta ufficiale dell’Ue nelle prossime settimane ed entreranno in vigore 20 giorni dopo tale pubblicazione.
Il commento dell’avvocato Mele
Come detto, il Cyber solidarity act è uno strumento normativo dell’Unione europea per la solidarietà tra Stati membri in caso di incidenti strutturati e sistemici. “L’Unione europea si è accorta della miopia di immaginare che nel cyberspazio i Paesi membri possano gestire una crisi cyber da soli”, spiega Stefano Mele, partner dello studio Gianni & Origoni, di cui è responsabile del dipartimento cybersecurity, privacy & space economy law. “Ciò pone in evidenza l’importanza della collaborazione fattiva tra pubblico e privato, tanto da richiedere formalmente una riserva selezionata in ambito cyber dove i privati fidati, addestrati e consapevoli di ciò che fanno si mettono a disposizione le proprie competenze del governo nazionale e dell’Unione europea. È un approccio che appare in linea con quanto indicato da Guido Crosetto, ministro della Difesa italiano, che ha sottolineando l’importanza di valorizzazione anche le competenze dei privati, che probabilmente in Italia sono almeno dello stesso livello rispetto alla pubblica amministrazione, se non maggiori in alcuni casi”, osserva ancora l’esperto. “Se correttamente utilizzate, queste competenze possono rafforzare la sicurezza nazionale e far crescere sempre più il mercato interno delle nostre aziende strutturate e startup”, conclude osserva come una riserva selezionata possa essere un impulso positivo così come la proposta di una forza armata cyber avanzata dallo stesso ministro.
Una forza armata cyber?
Poco più di un mese fa, infatti, Crosetto aveva indicato l’opportunità per il suo ministero di dotarsi di una forza armata cyber, con ufficiali e sottoufficiali che per l’intera carriera militare si possano occupare esclusivamente del cyberspazio e al ruolo che Difesa deve svolgere in questo dominio. Si tratta di un dossier aperto anche in altri Paesi occidentali, come dimostra l’articolo di ieri in cui il Wall Street Journal ragiona sull’opportunità di una forza armata cyber, sganciata dal Cyber Command, che rientra all’interno del Pentagono e attinge dalle risorse delle altre forze, che hanno diversi standard di reclutamento, formazione e impegno nell’ambito cyber.
