10.3.2017   

IT

Gazzetta ufficiale dell’Unione europea

C 75/124

Relatore:

Thomas McDONOGH

1.1.

Il Comitato accoglie con favore la comunicazione della Commissione dal titolo «Rafforzare il sistema di resilienza informatica dell’Europa e promuovere la competitività e l’innovazione nel settore della cibersicurezza». Il Comitato condivide la preoccupazione della Commissione per la persistente vulnerabilità dell’Europa agli attacchi informatici, e osserva che almeno l’80 % delle imprese europee ha registrato come minimo un incidente di sicurezza informatica nel corso dell’ultimo anno e che il numero di incidenti di questo tipo verificatisi nei diversi settori a livello mondiale è aumentato del 38 % nel 2015 (The Global State of Information Security Survey 2016, PWC). Il Comitato, pertanto, conviene con la Commissione sul fatto che occorra adottare una serie di misure per rafforzare il sistema di resilienza informatica dell’Europa e promuovere un settore della cibersicurezza in Europa competitivo e innovativo.

1.2.

Il Comitato plaude a tale proposta soprattutto nel contesto della direttiva sulle reti e i sistemi informativi (cosiddetta direttiva NIS) (1), approvata recentemente per armonizzare l’approccio alla cibersicurezza nell’Unione europea, e della più ampia strategia per la cibersicurezza (2), volta a delineare la posizione attuale in merito a come prevenire e combattere al meglio le interferenze e gli attacchi informatici onde promuovere ulteriormente i valori europei di libertà e democrazia e assicurare che l’economia digitale possa crescere in un contesto di sicurezza.

1.3.

Il CESE conviene sul fatto che siano necessarie misure di ampio respiro per proteggere ulteriormente le infrastrutture e i servizi digitali europei di importanza vitale dalle minacce alla sicurezza e apprezza il fatto che le misure ora proposte si spingano molto in là nel dare attuazione a molte delle raccomandazioni formulate dal Comitato in numerosi pareri precedenti (3) sul rafforzamento della cibersicurezza nell’Unione.

1.4.

Il CESE plaude al fatto che la Commissione abbia firmato l’accordo contrattuale per un partenariato pubblico-privato (PPP contrattuale) sulla cibersicurezza, che dovrebbe sbloccare 1,8 miliardi di EUR di investimenti nel settore della sicurezza informatica dell’UE onde promuovere la cooperazione nelle fasi iniziali del processo di ricerca e di innovazione e sviluppare soluzioni per la cibersicurezza per diversi settori, come l’energia, la sanità, i trasporti e la finanza. Il CESE auspica fortemente che questo PPP contrattuale venga usato per sostenere lo sviluppo di società di cibersicurezza di recente creazione nell’Unione.

1.5.

Il Comitato accoglie con favore l’intenzione della Commissione di valutare la necessità di rivedere o ampliare il mandato dell’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) entro il 2017 e attende con interesse di essere consultato in merito dalla Commissione. Il CESE ritiene che un eventuale ampliamento del mandato dell’ENISA dovrebbe includere un maggior ruolo operativo per l’Agenzia per aumentare più efficacemente la sensibilizzazione nei confronti della minaccia di attacchi informatici in tutta l’Unione e darvi una risposta più adeguata, nonché prevedere una responsabilità più diretta dell’Agenzia per l’educazione e per programmi di sensibilizzazione alla sicurezza informatica destinati in particolar modo ai cittadini e alle piccole e medie imprese (PMI).

1.6.

Allo scopo di fornire il forte ruolo guida e a di realizzare l’integrazione di cui vi è bisogno a livello dell’UE per affrontare il complesso lavoro di attuazione di una strategia europea efficace in materia di sicurezza informatica., il Comitato chiede alla Commissione di valutare la possibilità di cambiare lo status dell’ENISA in quello di un’autorità europea per la sicurezza informatica sul modello dell’Agenzia europea per la sicurezza aerea (AESA), l’autorità centrale per il settore dell’aviazione. Se tale cambiamento del mandato di ENISA non è fattibile, il CESE sostiene la creazione di una tale autorità ex novo.

1.7.

Il CESE chiede alla Commissione di prendere in considerazione la creazione di un modello di sviluppo nazionale della cibersicurezza e di un corrispondente sistema di rating, analogo al Modello di completezza delle risorse (Capability Maturity Model — CMM) nell’industria informatica, al fine di misurare in maniera oggettiva lo status di resilienza informatica di ciascuno Stato membro.

1.8.

Il Comitato prende atto del fatto che la Commissione valuterà la necessità di aggiornare, nel prossimo futuro, la strategia dell’UE per la cibersicurezza del 2013 e attende di essere consultato, a tempo debito, in merito alle riflessioni della Commissione.

1.9.

Considerate l’importanza della sicurezza informatica e la crescente minaccia rappresentata dalla criminalità informatica, il Comitato chiede l’assegnazione di fondi e risorse adeguati al Centro europeo per la lotta alla criminalità informatica presso Europol e all’Agenzia europea per la difesa.

1.10.

Data la grande importanza della protezione delle informazioni personali dei cittadini conservate da uffici e agenzie della pubblica amministrazione, il Comitato chiede una formazione speciale sulla governance delle informazioni, sulla protezione dei dati e sulla cibersicurezza per gli impiegati della pubblica amministrazione.

1.11.

Partendo da una visione complessiva della protezione dell’UE dalla criminalità e dagli attacchi informatici, nonché dello sviluppo di un forte settore europeo della cibersicurezza, il CESE ritiene che la strategia e la politica di sicurezza informatica dell’UE debbano produrre risultati in particolare per quanto riguarda i seguenti aspetti: un forte ruolo guida dell’UE; politiche di sicurezza informatica che rafforzino il livello di sicurezza in questo campo pur garantendo il diritto alla riservatezza e altri diritti fondamentali; sensibilizzazione dei cittadini e promozione di approcci proattivi in materia di protezione; una governance globale da parte degli Stati membri; un’azione informata e responsabile delle imprese; un solido partenariato tra governi, settore privato e cittadini; livelli adeguati di investimenti; norme tecniche di qualità e sufficienti investimenti in ricerca, sviluppo e innovazione; impegno sul piano internazionale.

2.1.

La comunicazione presenta misure volte a rafforzare il sistema di resilienza informatica dell’Europa e promuovere la competitività e l’innovazione nel settore della cibersicurezza in Europa, come annunciato nella strategia dell’UE per la cibersicurezza e nella strategia per il mercato unico digitale.

2.2.

A tal fine, le misure proposte dalla Commissione fanno leva sulle disposizioni della direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione per consolidare la cooperazione in fatto di sicurezza informatica, la condivisione delle informazioni, la formazione e l’organizzazione della sicurezza in tutta l’Unione. La Commissione completerà inoltre una valutazione dell’ENISA entro la fine del 2017 ed esaminerà l’esigenza di modificare o di prorogare il mandato dell’ENISA.

2.2.1.

La Commissione, inoltre, intende collaborare fattivamente con gli Stati membri, l’ENISA, il SEAE e altri organismi competenti dell’UE per istituire una piattaforma di formazione sulla cibersicurezza.

2.2.2.

Vi sono una serie di misure proposte per affrontare le interdipendenze intersettoriali e per migliorare la resilienza delle infrastrutture di rete pubbliche fondamentali, compreso lo sviluppo di centri europei settoriali di condivisione e di analisi delle informazioni e la loro collaborazione con i CSIRT (gruppi di intervento per la sicurezza informatica in caso di incidente). La Commissione propone inoltre che le autorità nazionali siano autorizzate a chiedere ai CSIRT di effettuare controlli regolari delle principali infrastrutture di rete.

2.3.

Le misure proposte dalla Commissione risponderanno, inoltre, alla necessità di sostenere in modo più robusto la crescita e lo sviluppo di un settore della cibersicurezza europeo forte attraverso la formazione, gli investimenti, la definizione di requisiti per il mercato unico e l’istituzione di un nuovo partenariato pubblico-privato sulla cibersicurezza che dovrebbe stimolare investimenti per 1,8 miliardi di EUR entro il 2020.

2.3.1.

Si propone anche di definire e presentare entro la fine del 2017 una proposta relativa a un quadro europeo per la certificazione della sicurezza delle TIC e di valutare la fattibilità e l’impatto di un quadro europeo snello per l’etichettatura relativa alla cibersicurezza;

2.3.2.

Per far crescere gli investimenti nella cibersicurezza in Europa e sostenere le PMI, la Commissione s’impegnerà perché la comunità della cibersicurezza sia meglio informata sui meccanismi di finanziamento esistenti; farà maggiore ricorso agli strumenti e ai meccanismi dell’UE per sostenere le PMI innovative nell’esplorazione della possibilità di sinergie tra il mercato della cibersicurezza del settore civile e del settore della difesa (ad esempio, la rete Enterprise Europe e la rete europea di regioni connesse con il settore della difesa offriranno alle regioni nuove opportunità per esplorare la possibilità di una cooperazione transfrontaliera nel settore dei prodotti a duplice uso, anche per quanto riguarda la cibersicurezza, e presenteranno alle PMI nuove opportunità per partecipare ad attività di matchmaking); studierà la possibilità di agevolare l’accesso agli investimenti attraverso una piattaforma specifica per gli investimenti nella cibersicurezza o altri strumenti; svilupperà una piattaforma di specializzazione intelligente per aiutare gli Stati membri e le regioni interessati a investire nel settore della cibersicurezza (RIS3).

2.3.3.

Inoltre, per stimolare e favorire lo sviluppo dell’industria europea della sicurezza informatica attraverso l’innovazione, la Commissione firmerà un partenariato pubblico-privato contrattuale (PPP contrattuale); lancerà inviti a presentare proposte nell’ambito di Orizzonte 2020 correlati al PPP contrattuale sulla cibersicurezza; assicurerà il coordinamento del PPP contrattuale sulla cibersicurezza con le pertinenti strategie settoriali, gli strumenti di Orizzonte 2020 e i PPP settoriali.

3.1.

Oltre un quinto della crescita del PIL nell’UE è dovuto all’economia digitale e ogni anno la maggior parte dei cittadini europei effettua acquisti online. Dipendiamo da Internet e dalle tecnologie digitali connesse a questo strumento per la continuità di servizi essenziali quali quelli nei settori dell’energia, della sanità, dell’amministrazione e delle finanze. Tuttavia, le infrastrutture e i servizi digitali essenziali, che hanno un ruolo così importante nel nostro quotidiano sul piano sia economico che sociale, sono esposti al rischio crescente di reati e attacchi informatici che minacciano la nostra prosperità e la nostra qualità di vita.

3.2.

Governi e uffici e agenzie pubblici detengono in forma elettronica un gran volume di informazioni personali riguardanti tutti i cittadini. Per questo motivo, la governance delle informazioni, la cibersicurezza e la protezione dei dati rivestono una grande importanza per i cittadini di tutta l’Unione, che devono avere la garanzia che le loro informazioni personali e il loro diritto alla riservatezza siano protetti a norma delle direttive e dei regolamenti dell’UE. È questo in particolare il caso per i dati personali concernenti la salute, le questioni finanziarie, legali e di altro genere che potrebbero essere usati per rubare un’identità o essere comunicati in modo inappropriato a terzi. È di vitale importanza che tutte le persone che lavorano nel settore pubblico siano adeguatamente formate nella governance delle informazioni, nella cibersicurezza e nella protezione dei dati.

3.3.

Fornire ai cittadini una formazione in materia di sicurezza informatica personale, compresa quella dei dati, dovrebbe essere un elemento fondamentale di qualunque programma di alfabetizzazione digitale. Un programma educativo promosso dall’UE può puntellare gli sforzi degli Stati membri meno attivi e far sì che la strategia venga correttamente assimilata, attenuando così i timori in merito alla riservatezza dei dati e rafforzando la fiducia nell’economia digitale. Un programma del genere potrebbe essere attuato con il coinvolgimento delle associazioni dei consumatori e delle organizzazioni della società civile di tutta l’Unione, comprese le istituzioni che si occupano di programmi educativi per i cittadini anziani.

3.4.

Ogni Stato membro dovrebbe mettere in grado le sue esistenti organizzazioni per lo sviluppo industriale di informare, educare e sostenere il settore delle PMI su questioni riguardanti la cibersicurezza. Le grandi società possono facilmente acquisire le conoscenze di cui hanno bisogno, mentre le PMI devono essere sostenute.

3.5.

Sarebbe molto utile disporre di una misura obiettiva del livello di resilienza informatica di ciascuno Stato membro in modo da poter usare le comparazioni per rimediare alle carenze e stimolare i miglioramenti. Si potrebbe probabilmente creare un modello dello sviluppo nazionale in materia di cibersicurezza, e un sistema di rating corrispondente, analogo al Modello di completezza delle risorse dell’industria informatica, per misurare lo status della protezione informatica e della resilienza informatica di un paese.

3.6.

Una strategia complessiva per la cibersicurezza dovrebbe prevedere le seguenti azioni:

4.1.

Sulla base del quadro per la governance della sicurezza informatica delineato nella direttiva Sicurezza delle reti e dei sistemi informativi e delle ulteriori misure previste nella comunicazione all’esame, l’UE dovrebbe valutare l’opportunità di affrontare il problema dell’approccio frammentato al miglioramento della cibersicurezza nell’Unione con la creazione di un’autorità per la cibersicurezza forte e centralizzata analoga all’Agenzia europea per la sicurezza aerea (AESA) o al Federal Chief Information Security Officer creato di recente negli USA (Cybersecurity National Action Plan, White House, 9 febbraio 2016), conferendo a tale autorità il mandato di sorvegliare l’attuazione della politica della sicurezza informatica a livello dell’UE e di integrare gli sforzi delle varie agenzie che operano in questo campo.

4.2.

Il Comitato è favorevolmente colpito dalle competenze che l’ENISA ha sviluppato nel corso degli anni e ritiene che essa potrebbe offrire un contributo ancora maggiore alla resilienza informatica e alla cibersicurezza dell’Europa. Il mandato dell’ENISA dovrebbe essere potenziato per accrescere con maggiore efficacia la consapevolezza della minaccia di attacchi informatici e per migliorare la capacità di risposta in tutta l’Unione. Una revisione del mandato è opportuna, data i cambiamenti intervenuti nell’ambiente della cibersicurezza da quando è stata istituita l’ENISA. Basandosi sulla direttiva sulla sicurezza delle reti e dei sistemi informativi, forse il ruolo operativo dell’ENISA potrebbe essere esteso per aumentare il valore che può offrire all’UE, agli Stati membri, ai cittadini e alle imprese, sfruttando le sue competenze e le sinergie con i lavori di altre istituzioni, agenzie e organismi dell’UE e degli Stati membri, come la squadra di pronto intervento informatico — CERT-EU, il Centro europeo per la lotta alla criminalità informatica e l’Agenzia europea per la difesa. All’ENISA dovrebbe inoltre essere attribuita una responsabilità più diretta per i programmi di educazione e di sensibilizzazione alla sicurezza informatica destinati specificamente ai cittadini e alle PMI.

4.3.

Quando il Centro europeo per la lotta alla criminalità informatica (EC3) è stato creato nel 2013, il suo bilancio operativo era di soli 7 milioni di EUR, meno del 10 % del bilancio totale di Europol (Commissione europea Nota/13/6 del 9 gennaio 2012). Nel 2014, il direttore dell’EC3 ha affermato che i tagli hanno fortemente ridotto le risorse stanziate per la sua struttura e che si registravano difficoltà a tenere il passo con la rapida evoluzione delle minacce rappresentate dalla criminalità informatica (rivista Security Magazine del 1o novembre 2014). Il CESE ritiene che le risorse destinate a Europol per combattere la criminalità informatica debbano essere aumentate per tenere il passo con l’evoluzione della minaccia. Il bilancio di Europol per il 2016 è comunque di soli 100 milioni di EUR (4).

4.4.

Il Comitato accoglie con favore le disposizioni della direttiva sulla sicurezza delle reti e dei sistemi informativi e le azioni proposte nella comunicazione miranti a migliorare la cooperazione tra gli Stati membri in materia di cibersicurezza. Per la sicurezza di tutti i cittadini e per conseguire una solida resilienza informatica in tutta l’UE, in cui spesso i sistemi informativi di infrastrutture di importanza critica sono interconnessi, è importante che le misure di cooperazione rimedino al divario crescente tra i paesi più avanzati in tema di cibersicurezza e gli altri Stati membri in cui tali competenze sono meno sviluppate.