Il 20 aprile scorso il Consiglio europeo ha dato il suo via libera al regolamento che istituisce il Centro europeo di competenza per la cibersicurezza – che avrà sede a Bucarest e il cui consiglio direttivo “ombra” si è riunito per la prima volta il 16 aprile – e la rete dei centri nazionali di coordinamento.

Manca soltanto il voto in seconda lettura del Parlamento europeo, previsto nel corso della sessione plenaria di metà maggio. Poi il regolamento verrà pubblicato sulla Gazzetta ufficiale dell’Unione europea ed entrerà in vigore 20 giorni dopo. Da quel momento partirà il conto alla rovescia: gli Stati membri avranno sei mesi di tempo per individuare l’istituto nazionale che si collegherà con il centro di Bucarest.

Il nuovo Centro e la nuova rete saranno chiamati a svolgere un ruolo fondamentale nel contribuire a garantire la sicurezza informatica anche di settori cruciali quali la sanità, i trasporti, l’energia, i mercati finanziari e i sistemi bancari. Ma non soltanto: “Rafforzeranno la competitività globale dell’industria della cibersicurezza dell’Unione europea, in particolare delle Pmi, nonché la nostra leadership e autonomia strategica nel settore della cibersicurezza”, ha annunciato Mariana Vieira da Silva, ministra di Stato del Portogallo, presidente di turno del Consiglio dell’Unione europea.

Rispetto alla proposta iniziale della Commissione, il testo ha subito alcune modifiche concordate da entrambi i colegislatori europei. In particolare, è stato rafforzato il ruolo dell’Enisa (l’Agenzia dell’Unione europea per la cibersicurezza), che sarà un osservatore permanente nel consiglio di direzione del Centro di competenza e potrà fornire consulenza e contributi per l’elaborazione dell’agenda e dei programmi di lavoro annuale e pluriennale. Sono anche state introdotte nuove disposizioni relative ai centri nazionali di coordinamento, in particolare per quanto riguarda la designazione dei centri e la valutazione della Commissione.

Il paragrafo 5 dell’articolo 6 del regolamento precisa i criteri per la designazione del centro nazionale di coordinamento, che dev’essere “un ente del settore pubblico o un ente a partecipazione pubblica maggioritaria che esercita funzioni amministrative pubbliche ai sensi del diritto nazionale, anche per delega, ed è in grado di sostenere il Centro di competenza e la rete nell’assolvimento della loro missione”. E ancor: “Esso dispone di competenze in materia di cibersicurezza nell’ambito della ricerca e della tecnologia o vi ha accesso. Esso è in grado di interagire e di coordinarsi efficacemente con l’industria, il settore pubblico, la comunità accademica e della ricerca e i cittadini, nonché con le autorità designate a norma della direttiva (Ue) 2016/1148” (cioè la direttiva Nis).

Il Centro e la rete verranno finanziati da due programmi dell’Unione europea, Orizzonte Europa e Europa digitale: si tratta di 5 miliardi di euro in totale per i 27. Si tratta di matching fund, ossia finanziamenti che richiedono pari stanziamenti da parte dello Stato membro. Ma proprio la distribuzione dei fondi da manuale Cencelli tra gli Stati membri fa storcere il naso a diversi esperti che auspicano si tratti di un passaggio intermedio. Verso una suddivisione futura che premi i Paesi come Francia, Germania e Italia in cui si fa il grosso dell’innovazione nell’Unione europea. Un passaggio, dicono, fondamentale per contrastare le minacce che vengono dall’Est e competere con quelli di Ovest.

Intanto, il Piano nazionale di ripresa e resilienza italiano già prevede per la cibersicurezza 620 milioni di euro per rafforzare il livello delle nostre difese cyber, a partire dalla piena attuazione del Perimetro di sicurezza nazionale cibernetica.

Un’architettura che condivide almeno due elementi con il progetto europeo. Il primo è il calendario: giugno è il mese deciso sia per il Perimetro (il 23, come annunciato da Roberto Baldoni, vicedirettore generale del Dis, inizieranno i sei mesi di test) sia per l’avvio delle procedure di individuazione dei centri nazionali delle rete europea. Il secondo è il ruolo del Dis, che sta lavorando all’implementazione del Perimetro (di cui nei giorni scorsi è stato pubblicato in Gazzetta Ufficiale il secondo di cinque decreti attuativi) e sta lavorando alla “traduzione” italiana del regolamento europeo.

Alcuni Paesi europei si sono già messi all’opera. La Francia ha messo in piedi un Cyber campus di 25.000 metri quadrati che sorgerà a Parigi da novembre ed è dotato di governance mista con capitale pubblico (49%) e privato (51%). La Finlandia ha annunciato il Nsab (Network Security Advisory Board), un organismo che riunisce agenzie del governo, intelligence e imprese. L’anno scorso la Germania si è dotato di un centro, staccato dall’agenzia di cyber 007 (Bsi), che si occuperà anche di coordinare la ricerca.

Come già raccontato su queste pagine, dopo la bocciatura dell’Istituto italiano di cybersicurezza inserito dal governo Conte bis nella manovra di bilancio, l’Italia sta cercando una soluzione. Una via d’uscita l’ha indicata il nuovo sottosegretario di Stato con delega alla Sicurezza, Franco Gabrielli. “La necessità di creare un approccio olistico alla cybersecurity rispecchia anche l’agenda europea che, tra le altre cose, prevede la creazione di centri di competenza nazionali di cybesecurity che dovranno coordinarsi con il centro di competenza europeo da poco istituito a Bucarest”, hanno evidenziato su Formiche.net il prefetto Adriano Soi e Luigi Martino. Dunque, da una parte un centro di competenza privato ma di operatività nel mondo dell’intelligence e destinato solo a ricerca e sviluppo degli investimenti tech. Dall’altra una nuova agenzia per la cybersicurezza, anch’essa fuori del sistema Dis, che risponda al presidente del Consiglio lavorando in raccordo con il centro.

Il tutto, ha assicurato il sottosegretario Gabrielli al Copasir, tenendo il Parlamento aggiornato costantemente sugli sviluppi per evitare un nuovo incidente come quello sull’Istituto voluto dall’ex presidente del Consiglio Giuseppe Conte.