Intervento effettuato durante la Web Conference del 10 Settembre “L’ESPERIENZA DELLA CYBERSECURITY IN TEMPI DIFFICILI: COSA ABBIAMO IMPARATO”, appuntamento del Digital Italy Program 2020

#LaVisioneDeiLeader

Negli ultimi anni la Commissione Europea ha prestato grande attenzione all’ambito della cybersecurity: nel 2013 si è partiti con una strategia cybersecurity europea, che è stata rivista successivamente e ha portato al primo atto legislativo a livello europeo in materia di cybersecurity, la Direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva Nis) entrata in vigore nel 2016. Il regolatore europeo ha quindi proseguito nel 2017 con il Cybersecurity Package e con il Cybersecurity Act (entrato in vigore nel 2019), con cui ha introdotto il sistema di certificazione. Gli anni a venire ci vedranno impegnati su diversi fronti, con la prevista revisione della Direttiva Nis, l’implementazione del Cybersecurity Act e della certificazione, la finalizzazione di un’altra proposta legislativa riguardante il  Centro di Competenza Europeo per la cybersecurity (ancora in fase negoziale, si punta a concludere entro l’anno).

Per quanto riguarda la revisione della prima direttiva Nis, questa mira a promuovere e rafforzare la capacità di resilienza e di cybersecurity attraverso gli Stati membri dell’Unione Europea, ad assicurare quindi che ci sia un livello omogeneo di resilienza in tutta l’Unione. La Commissione ha deciso di anticipare la revisione della direttiva per perfezionare il funzionamento di alcuni punti chiave della Direttiva come ad esempio  il processo di identificazione da parte degli Stati membri degli operatori di servizi essenziali

Il processo di revisione include varie fasi: una valutazione di come gli Stati membri abbiano identificato gli operatori di servizi essenziali sul territorio; visite in tutti gli Stati membri per avere una risposta sui punti di forza e sui punti deboli della direttiva; una consultazione aperta a tutti gli stakeholders per contribuire al processo di revisione; il processo formale di valutazione della direttiva e l’analisi di impatto sulla futura direttiva rivista, per passare infine al processo di policy making con il coinvolgimento di Parlamento e Consiglio.

Dal punto di vista invece dei vantaggi prodotti dalla Nis, la maggiore capacità degli Stati membri nel rispondere agli attacchi cyber e anche una migliore cooperazione a livello operativo attraverso la rete europea dei centri di risposta a livello nazionale. Anche durante la pandemia, questi   meccanismi sono stati utili per facilitare lo  scambio di informazioni sugli incidenti cyber che toccavano ai vari Stati membri. Inoltre, la direttiva ha mirato a promuovere per la prima volta una cultura di gestione del rischio nei vari Stati membri e ad aumentare il livello di sicurezza delle reti e dei sistemi d’informazione a livello europeo.

Le nuove iniziative dell’Unione Europea mirano a rafforzare la cybersecurity dei prodotti, dei servizi e dei processi, grazie al Cybersecurity Act, o a promuovere l’attività di ricerca e sviluppo di soluzioni cyber. Per quanto riguarda il Cybersecurity Act, la novità è l’introduzione di un quadro di certificazione volontaria a livello europeo, con norme che facilitano il set up di vari schemi parametrati per prodotti, servizi e processi cyber. Inoltre, è stato rinnovato anche il processo che porta all’emergenza dei vari schemi, partendo da un Union Rolling Work Programme con le priorità per quanto riguarda la certificazione di prodotti, servizi e processi. Questo programma è ora in fase di redazione, con due gruppi di lavoro, lo Stakeholder cybersecurity certification group e l’European cybersecurity certification group, il primo con stakeholders privati (daranno un input dal punto di vista degli operatori di servizi critici e dei produttori, dei laboratori per esempio), mentre il secondo gruppo di lavoro è composto dalle autorità nazionali dei paesi membri. Una volta stilato questo programma, la Commissione potrà richiedere all’ ENISA  di redigere una prima bozza di schema. Infine, un terzo aspetto è come saranno gestiti i futuri fondi di ricerca dell’Unione Europea in materia di cybersecurity; a questo riguardo, la proposta è quella di creare un centro di competenza per gestire i fondi per la cybersecurity derivanti dai nuovi programmi di ricerca e innovazione dell’Unione, il futuro programma Horizon Europe e il Digital Europe Program. Il centro Europeo, che gestirà un network di centri di competenza nazionali, dovrà contare anche sulla partecipazione degli  stakeholders privati (qualora decidessero di far parte di questa comunità). In ultimo, un accenno anche al Fondo CEF – Connecting European Facilities, attualmente è aperta una call per la cybersecurity che offre la possibilità di inviare una proposta entro fine novembre.