Gli attacchi informatici emersi nelle ultime settimane hanno chiarito — come se ce ne fosse stato ancora bisogno! — che l’Occidente è nel mirino, anche nell’arena cyber. “C’è qualcosa di sempre più chiaro: che l’Europa è un obiettivo”, ha spiegato Margaritis Schinas, vicepresidente della Commissione europea per la promozione dello stile di vita europeo, con riferimento al recente attacco hacker contro l’Agenzia europea del farmaco.

L’ANNUNCIO DI OGGI

Il numero due dell’esecutivo europeo ha presentato il nuovo pacchetto della Commissione europea per la sicurezza cibernetica. “Sappiamo da molto tempo che dobbiamo agire”, ha detto Thierry Breton, Commissario per il Mercato interno che ieri aveva annunciato con la collega Margrethe Vestager la stretta europea sui colossi della tecnologia. “L’Unione europea si sta attivando per proteggere i suoi governi, i cittadini e le imprese dalle minacce informatiche globali e per avere una leadership nel cyberspazio”, ha affermato invece l’Alto rappresentante Josep Borrell.

IL PACCHETTO

Il pacchetto europeo si compone di quattro elementi: una “grande strategia”; una proposta di aggiornamento della direttiva Nis del 2016 sulla sicurezza delle reti; una proposta di nuova direttiva per i settori strategici; un rapporto sulla sicurezza del 5G. In particolare, il primo elemento — la “grande strategia” — suona come un promemoria all’Italia (ma non solo) dell’importanza di dotarsi al più presto di un centro per la sicurezza cibernetica (che potrebbe essere il tanto discusso Istituto italiano per la cybersicurezza) dopo l’individuazione di Bucarest come sede dello European Cybersecurity Competence Centre. Invece, l’aggiornamento della direttiva Nis a soli due anni dalla sua implementazione rende evidente l’accelerazione nel settore collegata alla pandemia e all’aumento delle minacce cibernetiche.

LA “GRANDE STRATEGIA”

Nel documento intitolato “La strategia dell’Unione europea sulla sicurezza cibernetica per il decennio digitale” firmato dalla Commissione e dalla diplomazia europea vengono messi in risalto elementi come le crescenti minacce informatiche e la mancanza di consapevolezza dei rischi nel quinto dominio nei 27 Stati membri. Il tutto in una fase storica contraddistinta da una sempre più forte interconnessione e da tensioni globali. La proposta della Commissione europea ruota attorno alla creazione di uno “scudo cyber”, una rete di centri operativi per la sicurezza in tutta l’Unione europea che “sosterrà la formazione e lo sviluppo delle competenze del personale che gestisce questi centri” con l’Agenzia dell’Unione europea per la sicurezza informatica (Enisa). “Gli Stati membri sono incoraggiati a co-investire in questo progetto”, si legge. Obiettivo ultimo: “Collegare il maggior numero possibile di centri in tutta l’Unione europea per creare conoscenza collettiva e condividere le best practice”. Ma siamo ancora in attesa dell’anello mancante: l’attesa Joint Cyber Unit, pensata per rafforzare la cooperazione tra gli organismi comunitari e le autorità nazionali, che dovrebbe essere presentata a febbraio. Intanto, però, già emerge qualche criticità di questa strategia. A pagina 17 la Commissione e la diplomazia Ue chiedono che il requisito per imporre le sanzioni per i cyber-attacchi sia la maggioranza qualificata del Consiglio europeo (e non l’unanimità): per rendersi conto di quanto la richiesta sia alta basti pensare che tra le debolezze del nuovo regime sanzionatorio Ue sui diritti umani c’è proprio il requisito dell’unanimità, condizione che rischia di rendere — nuovamente — i diritti umani merce di scambio nelle discussioni europee. Ecco perché la strada che porta al superamento di questo principio potrebbe essere messa in salita da alcuni Stati membri (con il favore di Stati noti per le loro cyber-incursioni come la Cina, la Russia, la Corea del Nord e l’Iran).

LE NUOVE DIRETTIVE

Il passaggio fondamentale della proposta di aggiornamento della direttiva Nis è l’articolo 31, che prevede multe fino a 10 milioni di euro o al 2% del fatturato annuo mondiale (si sceglie il maggiore) delle aziende considerate strategiche in caso di violazione dei requisiti di sicurezza informatica. Tra i “settori essenziali” individuati come destinatari dei requisiti severi ci sono, tra gli altri, (previsti dalla proposta di nuova direttiva sui settori strategici) energia, trasporti, servizi finanziari, cloud, telecomunicazioni, sanità, manifattura e amministrazioni pubbliche. A cui si aggiungerebbero, in base alla Nis 2 (che, come detto, si dimostra al passo con i tempi difficili che viviamo), produttori di medicinali e vaccini, società di telecomunicazioni (inclusi servizi di videoconferenza), fornitori di servizi cloud e dati, operatori del settore aerospaziale e sistemi IT dei governi centrali. Le multe, che sarebbero imposte dalle autorità nazionali, “sono l’ultima spiaggia” in caso di “ripetute violazioni”, ha spiegato Breton. Che però ha sottolineato che la sicurezza informatica “inizia dal Ceo e dal consiglio di amministrazione”. Infatti, sono previsti “ban temporanei” per i manager. Si tratta di un modo per sensibilizzare anche i vertici aziendali (una delle categorie meno consapevoli dei rischi cyber). In questo caso l’Italia fa scuola: infatti, la Commissione europea ha optato per lo stesso approccio scelto dal legislatore italiano, che ha previsto il reato presupposto per la responsabilità degli enti relativi a violazioni del Perimetro di sicurezza nazionale cibernetica.

IL RAPPORTO SUL 5G

Nelle stesse ore in cui il governo tedesco dava a Huawei cinesi quella che il Wall Street Journal ha definito “luce verde condizionata” (ma il passaggio della legge al Bundestag si prevede assai complicato), la Commissione europea ha pubblicato anche una valutazione degli sforzi degli Stati membri per la sicurezza del 5G. Si tratta di un rapporto molto tecnico (non compaiono le parole Huawei, Zte, “China” o “Chinese”, per fare qualche esempio) che, in linea con la Strategia annunciata, invita gli Stati membri a “un’ulteriore convergenza negli approcci di mitigazione del rischio”. Tuttavia, il riferimento alla Toolbox 5G, che prevede la valutazione dei fornitori e le restrizioni a quelli “considerati ad alto rischio”, sembra confermare l’impostazione comunitaria votata al rafforzamento delle aziende europee (Nokia ed Ericsson) escludendo quelle non Ue. Una distinzione che può funzionare anche con gli Stati Uniti fino a quando viene utilizza nel campo del 5G, dove non sono presenti “campioni” a stelle e strisce. A differenza, per esempio, del mercato del cloud.