Parere del Comitato economico e sociale europeo sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce il Centro europeo di competenza industriale, tecnologica e di ricerca sulla cibersicurezza e la rete dei centri nazionali di coordinamento

[COM(2018) 630 final - 2018/0328 (COD)]

(2019/C 159/10)

Relatore: Antonio LONGO

Correlatore: Alberto MAZZOLA

Consultazione	Consiglio europeo, 5.10.2018 Parlamento europeo, 1.10.2018
Base giuridica	Articoli 173, paragrafo 3, 188 e 304 del trattato sul funzionamento dell’Unione europea
Sezione competente	Trasporti, energia, infrastrutture, società dell’informazione
Adozione in sezione	9.1.2019
Adozione in sessione plenaria	23.1.2019
Sessione plenaria n.	540
Esito della votazione (favorevoli/contrari/astenuti)	143/5/2

1.   Conclusioni e raccomandazioni

1.1.

Il Comitato economico e sociale europeo (CESE) accoglie favorevolmente l’iniziativa della Commissione e la considera funzionale allo sviluppo di una strategia industriale per la cibersicurezza e strategica per raggiungere una solida ed ampia autonomia digitale. Tali fattori sono indispensabili per rafforzare i meccanismi di difesa europea a fronte della guerra cibernetica in atto che rischia di compromettere i sistemi politici, economici e sociali.

1.2.

Il Comitato rileva che qualunque strategia sulla cibersicurezza non possa prescindere da una consapevolezza diffusa e da comportamenti sicuri attuati da tutti gli utenti.

1.3.

Il Comitato condivide gli obiettivi generali della proposta ed è consapevole che specifici aspetti di funzionamento saranno oggetto di un’analisi successiva. Tuttavia, trattandosi di un regolamento, ritiene che taluni aspetti sensibili relativi alla governance, al finanziamento e al raggiungimento degli obiettivi prefissati dovrebbero essere definiti in anticipo. È importante che la futura rete e il Centro europeo facciano tesoro, quanto più possibile, delle capacità cibernetiche e delle conoscenze specialistiche degli Stati membri, e che non vi sia una concentrazione eccessiva dei compiti nell’istituendo Centro europeo. Inoltre, è necessario evitare che gli ambiti di intervento della futura rete e del Centro si sovrappongano a quelli dei meccanismi di cooperazione e delle istituzioni esistenti.

1.4.

Il CESE sostiene l’allargamento della collaborazione al mondo industriale, sulla base di impegni fermi in termini scientifici e d’investimento, includendolo in futuro nel consiglio di direzione. Nell’ipotesi di una collaborazione tripartita tra Commissione europea, Stati membri e Industria, la presenza di imprese provenienti da paesi non-UE dovrebbe limitarsi a quelle da tempo stabilitesi sul suolo europeo e pienamente coinvolte nella base tecnologica e industriale europea, a condizione che siano sottoposte ad adeguati meccanismi di screening e controllo, nonché al rispetto del principio di reciprocità e degli obblighi di riservatezza.

1.5.

La cibersicurezza deve essere un impegno comune di tutti gli Stati membri, che quindi devono partecipare al consiglio di direzione con modalità da definire. In merito al contributo finanziario degli Stati membri, si potrebbe attingere alla dotazione dei fondi europei destinati a ciascuno.

1.6.

La proposta dovrebbe meglio esplicitare con quale modalità il Centro potrà intervenire nel coordinare i finanziamenti dei programmi Europa digitale e Orizzonte Europa e soprattutto secondo quali linee guida saranno stilati ed assegnati eventuali appalti. Questo aspetto è fondamentale per evitare duplicazioni o sovrapposizioni. Inoltre, al fine di aumentare la dotazione finanziaria, si raccomanda di estendere le sinergie con altri strumenti finanziari dell’UE (ad esempio fondi regionali, fondi strutturali, CEF, EDF, InvestEU…).

1.7.

Il CESE ritiene fondamentale definire le modalità di cooperazione e i rapporti tra il Centro europeo e i centri nazionali. Inoltre, è importante che i centri nazionali siano finanziati dall’UE, almeno per i costi amministrativi, facilitando l’armonizzazione amministrativa e delle competenze al fine di ridurre il gap esistente tra gli Stati europei.

1.8.

Il Comitato ribadisce l’importanza del capitale umano ed auspica che il Centro di competenze possa promuovere, in collaborazione con le università, i centri di ricerca e i centri di alta formazione, un’educazione e formazione di eccellenza, anche attraverso specifici percorsi didattici universitari e nelle scuole superiori. Analogamente, è fondamentale prevedere un sostegno specifico per le start-up e le PMI.

1.9.

Il CESE ritiene fondamentale chiarire meglio i rispettivi ambiti di competenza e le linee di demarcazione tra il mandato del Centro e quello dell’European Network and Information Security Agency (ENISA), definendo con chiarezza le modalità di collaborazione e reciproco supporto ed evitando sovrapposizioni di competenze e duplicazione di sforzi. Analoghi problemi si pongono con altri organismi che si occupano di cibersicurezza come l’EDA, Europol e CERT-EU, e si raccomanda la creazione di altrettanti meccanismi di dialogo strutturato tra i vari enti.

2.   Quadro attuale della cibersicurezza

2.1.

La cibersicurezza è uno dei temi in testa all’agenda dell’UE, in quanto è un fattore irrinunciabile per la difesa delle istituzioni, delle aziende, dei cittadini, nonché uno strumento necessario per la tenuta stessa delle democrazie. Tra i fenomeni più preoccupanti si segnala l’aumento esponenziale dei malware diffusi in rete attraverso sistemi automatici, passati da 130 mila nel 2007 a 8 milioni nel 2017. Inoltre l’Unione è un importatore netto di prodotti e soluzioni di cibersicurezza, il che genera un problema di competitività economica e di sicurezza civile e militare.

2.2.

Sebbene l’UE vanti importanti competenze ed esperienze nel campo della cibersicurezza, l’industria del settore, le università e i centri di ricerca appaiono ancora frammentati, disallineati e svincolati da una strategia condivisa di sviluppo. Questo è dovuto al fatto che i settori pertinenti in materia di cibersicurezza (es. energia, spazio, difesa e trasporti) non sono sostenuti a sufficienza, così come non vengono valorizzate le sinergie tra la cibersicurezza civile e della difesa.

2.3.

Per far fronte alle sfide crescenti, l’Unione ha fissato una strategia per la cibersicurezza nel 2013 per promuovere un ecosistema cibernetico affidabile, sicuro e aperto (1). Successivamente, nel 2016, sono state adottate le prime misure specifiche per la sicurezza delle reti e dei sistemi informativi (2). Questo percorso ha portato alla creazione del partenariato pubblico-privato («cPPP») sulla cibersicurezza.

2.4.

Nel 2017 la comunicazione intitolata «Resilienza, deterrenza e difesa: verso una cibersicurezza forte per l’UE» (3) rilevava la necessità di garantire il mantenimento e lo sviluppo di capacità tecnologiche essenziali in materia di sicurezza informatica per tutelare il mercato unico digitale e, in particolare, per proteggere reti e sistemi informativi critici e fornire servizi fondamentali di cibersicurezza.

2.5.

Quindi, l’Unione deve essere in grado di salvaguardare le proprie risorse e processi digitali e competere sul mercato mondiale della cibersicurezza fino a raggiungere una solida ed ampia autonomia digitale (4).

3.   Le proposte della Commissione

3.1.

Il Centro di competenza (o «Centro») avrà l’obiettivo di agevolare e coordinare il lavoro della rete dei centri nazionali e fungere da riferimento per la comunità delle competenze in materia di cibersicurezza, impostando l’agenda tecnologica in tema di cibersicurezza e facilitando l’accesso alle competenze acquisite.

3.2.

In particolare, il Centro dovrebbe attuare le parti pertinenti dei programmi Europa digitale e Orizzonte Europa stanziando fondi e occupandosi degli appalti. Visti gli investimenti ingenti in cibersicurezza che sono stati fatti in altre parti del mondo e considerata la necessità di un coordinamento e di una condivisione delle risorse del settore in Europa, viene proposto di configurare il Centro di competenza come partenariato europeo con una doppia base legale, di modo che risultino agevolati gli investimenti congiunti dell’Unione, degli Stati membri e/o dell’industria.

3.3.

La proposta prevede che gli Stati membri contribuiscano con un importo commisurato alle attività del Centro di competenza e della rete. La dotazione finanziaria prevista dall’UE è di circa 2 miliardi di EUR da parte del programma Europa digitale; un importo proveniente dal programma Orizzonte Europa da determinare; un contributo complessivo degli Stati membri almeno pari a quello comunitario.

3.4.

Il principale organo decisionale sarà il consiglio di direzione, nel quale saranno rappresentati tutti gli Stati membri, ma avranno diritto di voto soltanto quelli che contribuiscono finanziariamente. Il meccanismo di voto seguirà il principio della doppia maggioranza, fissata al 75 % del contributo finanziario e al 75 % dei voti. La Commissione deterrà il 50 % dei voti. Il Centro sarà assistito da un consiglio consultivo industriale e scientifico che garantirà il dialogo con le aziende, i consumatori e gli altri soggetti interessati.

3.5.

Operando a stretto contatto con la rete dei centri nazionali di coordinamento e la comunità delle competenze in materia di cibersicurezza, il Centro costituirebbe l’organo esecutivo principale per le risorse finanziarie dell’UE dedicate alla sicurezza informatica nell’ambito dei programmi proposti, Europa digitale e Orizzonte Europa.

3.6.

I centri nazionali di coordinamento saranno selezionati dagli Stati membri. Questi dovranno disporre di competenze tecnologiche in materia di cibersicurezza o devono potervi accedere direttamente, in particolare in ambiti quali la crittografia, i servizi di sicurezza delle TIC, la rilevazione automatica di intrusioni, la sicurezza dei sistemi, delle reti, del software e delle applicazioni e gli aspetti umani e sociali della sicurezza e della privacy. Inoltre devono essere in grado di interagire e di coordinarsi efficacemente con l’industria, il settore pubblico, fra cui le autorità designate ai sensi della direttiva 2016/1148.

4.   Osservazioni generali

4.1.

Il CESE accoglie favorevolmente l’iniziativa della Commissione e la considera strategica per lo sviluppo della cibersicurezza in attuazione di quanto deciso in occasione del vertice di Tallinn del settembre 2017. In tale circostanza i capi di Stato e di governo hanno invitato l’UE a diventare «un leader mondiale della cibersicurezza entro il 2025, al fine di garantire la fiducia, la sicurezza e la tutela dei nostri cittadini, dei nostri consumatori e delle nostre imprese online e di fare sì che Internet sia libero e regolamentato».

4.2.

Il CESE ribadisce che è in atto una vera e propria guerra cibernetica che rischia di compromettere i sistemi politici, economici e sociali, aggredendo i sistemi informatici di istituzioni, infrastrutture critiche (energia, trasporti, banche e istituti finanziari…) e imprese, e condizionando altresì con le fake-news i processi elettorali e democratici in generale (5). Occorre quindi una presa di coscienza forte e una reazione ferma e tempestiva. Per tali ragioni è necessario stabilire una chiara e ben supportata strategia industriale per la cibersicurezza come precondizione indispensabile al raggiungimento dell’autonomia digitale. Il CESE ritiene che il programma di lavoro dovrebbe dare la priorità a settori individuati dalla direttiva (UE) 2016/1148, che si applica alle aziende fornitrici di servizi essenziali, siano esse pubbliche o private, a causa della loro rilevanza per la società (6).

4.3.

Il Comitato rileva che qualunque strategia sulla cibersicurezza non possa prescindere da una consapevolezza diffusa e da comportamenti sicuri attuati da tutti gli utenti. Per tale ragione, ogni iniziativa tecnologica deve essere accompagnata da adeguate campagne di informazione e sensibilizzazione al fine di creare una «cultura della sicurezza digitale» (7).

4.4.

Il Comitato condivide gli obiettivi generali della proposta ed è consapevole che specifici aspetti di funzionamento saranno oggetto di un’analisi successiva. Tuttavia, trattandosi di un regolamento, ritiene che taluni aspetti sensibili relativi alla governance, al finanziamento e al raggiungimento degli obiettivi prefissati dovrebbero essere definiti in anticipo. È importante che la futura rete e il Centro europeo facciano tesoro, quanto più possibile, delle capacità cibernetiche e delle conoscenze specialistiche degli Stati membri, e che non vi sia una concentrazione eccessiva dei compiti nell’istituendo Centro europeo. Inoltre, è necessario evitare che gli ambiti di intervento della futura rete e del Centro si sovrappongano a quelli dei meccanismi di cooperazione e delle istituzioni esistenti.

4.5.

Il CESE ricorda che, nel suo parere TEN/646 in merito al regolamento sulla cibersicurezza (8), aveva proposto una collaborazione tripartita PPP tra Commissione europea, Stati membri e industria, includendo le PMI, mentre la struttura attuale, la cui forma giuridica deve essere approfondita, prevede sostanzialmente un partenariato pubblico-pubblico tra Commissione europea e Stati membri.

4.6.

Il CESE sostiene l’allargamento della collaborazione al mondo industriale, sulla base di impegni fermi in termini scientifici e d’investimento, includendolo in futuro nel consiglio di direzione. La creazione di un consiglio consultivo industriale e scientifico potrebbe non garantire il costante dialogo con le aziende, i consumatori e gli altri soggetti interessati. Inoltre, nel nuovo contesto disegnato dalla Commissione non appare chiaro quale ruolo avrà l’European Cyber-Security Organization (ECSO), creata nel giugno 2016 su stimolo della Commissione in qualità di controparte della Commissione ed il cui capitale di rete e conoscenze non dovrebbe essere disperso.

4.6.1.

Nell’ipotesi di una collaborazione tripartita è importante prestare attenzione al caso delle aziende provenienti da paesi terzi. In particolare, il CESE sottolinea che questa dovrebbe basarsi su un rigoroso meccanismo per prevenire la presenza di imprese provenienti da Stati non-UE, che potrebbero ostacolare la sicurezza e l’autonomia dell’Unione. Le relative clausole definite nell’EDIDP (9) dovrebbero essere applicate anche in questo contesto.

4.6.2.

Allo stesso tempo, il CESE riconosce che talune imprese provenienti da paesi non-UE, ma da tempo stabilitesi sul suolo europeo e pienamente coinvolte nella base tecnologica e industriale europea, potrebbero essere molto utili per i progetti comunitari, e dovrebbero potervi avere accesso a condizione che gli Stati membri stabiliscano adeguati meccanismi di screening e controllo su tali imprese, nonché a condizione del rispetto del principio di reciprocità e degli obblighi di riservatezza.

4.7.

La cibersicurezza deve essere un impegno comune di tutti gli Stati membri, che quindi devono partecipare al consiglio di direzione con modalità da definire. È altresì importante che tutti gli Stati contribuiscano finanziariamente ed in modo adeguato all’iniziativa della Commissione. In merito al contributo finanziario degli Stati membri, si potrebbe attingere alla dotazione dei fondi europei destinati a ciascuno.

4.8.

Il CESE concorda sul fatto che ogni Stato membro sia libero di designare un proprio rappresentate nel consiglio di direzione del Centro europeo di competenze. Il Comitato raccomanda che i profili curriculari dei rappresentanti nazionali siano chiaramente definiti, integrando le competenze strategiche e tecnologiche con quelle gestionali, amministrative e di bilancio.

4.9.

La proposta dovrebbe meglio esplicitare in quale modalità il Centro potrà intervenire nel coordinare i finanziamenti dei programmi Europa Digitale e Orizzonte Europa, ad oggi ancora oggetto di negoziato, e soprattutto secondo quali linee guida saranno stilati ed assegnati eventuali appalti. Questo aspetto è fondamentale per evitare duplicazioni o sovrapposizioni. Inoltre, al fine di aumentare la dotazione finanziaria, si raccomanda di estendere le sinergie con altri strumenti finanziari dell’UE (ad esempio fondi regionali, fondi strutturali, CEF, EDF, InvestEU). Il Comitato auspica che la rete dei centri nazionali sia coinvolta nella gestione e nel coordinamento di fondi.

4.10.

Il CESE nota che il Comitato consultivo dovrebbe essere composto di 16 membri e che non si esplicitano i meccanismi con i quali si dovrebbe attingere al mondo dell’impresa, dell’università, della ricerca e dei consumatori. Il Comitato ritiene utile ed opportuno che i componenti di tale comitato si contraddistinguano per le elevate conoscenze in materia e siano rappresentativi in modo equilibrato dei diversi settori coinvolti.

4.11.

Il CESE ritiene importante definire le modalità di cooperazione e i rapporti tra il Centro europeo e i centri nazionali. Inoltre, è importante che i centri nazionali siano finanziati dall’UE, almeno per i costi amministrativi, facilitando l’armonizzazione amministrativa e delle competenze al fine di ridurre il gap esistente tra gli Stati europei.

4.12.

In linea con i suoi precedenti pareri (10), il CESE sottolinea l’importanza dell’educazione e formazione di eccellenza di risorse umane nel settore della cibersicurezza, anche attraverso specifici corsi scolastici, universitari e post-universitari. È altresì importante offrire adeguato sostegno finanziario alle PMI e start-up del settore (11), fondamentali nello sviluppo della ricerca di punta.

4.13.

Il CESE ritiene fondamentale chiarire meglio i rispettivi ambiti di competenza e le linee di demarcazione tra il mandato del Centro e dell’ENISA, definendo con chiarezza le modalità di collaborazione e reciproco supporto ed evitando sovrapposizioni di competenze e duplicazione di sforzi (12). Nella proposta di regolamento si prevede la presenza di un delegato dell’ENISA come osservatore permanente in consiglio di direzione, ma detta presenza non è garanzia di un dialogo strutturato tra i due organismi. Analoghi problemi si pongono con altri organismi che si occupano di cibersicurezza come l’EDA, Europol e CERT-EU. A tal proposito è interessante il memorandum d’intesa siglato nel maggio 2018 tra ENISA, EDA, Europol e CERT-EU.

---

(1)  JOIN (2013) 1 final.

(2)  Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

(3)  JOIN (2017) 450 final.

(4)  GU C 227 del 28.6.2018, pag. 86

(5)  Relazione informativa sul tema L'uso dei media per influenzare i processi politici e sociali nell'UE e nei paesi del vicinato orientale, Vareikytė, 2014.

(6)  GU C 227 del 28.6.2018, pag. 86.

(7)  GU C 227 del 28.6.2018, pag. 86.

(8)  GU C 227 del 28.6.2018, pag. 86.

(9)  COM(2017) 294.

(10)  GU C 451 del 16.12.2014, pag. 25.

(11)  GU C 227 del 28.6.2018, pag. 86.

(12)  GU C 227 del 28.6.2018, pag. 86.