(1)

Tutelare i dati e rendere sicure le comunicazioni sensibili sono attività essenziali per la società, l'economia, la sicurezza e la prosperità dell'Unione. La cibersicurezza riveste un'importanza strategica nella costruzione di «un'Europa adatta all'era digitale» (2) e costituisce un obiettivo chiave del programma strategico per il decennio digitale (3).

(2)

Sia la strategia dell'UE per l'Unione della sicurezza (4) che la strategia dell'UE in materia di cibersicurezza (5) evidenziano come la cifratura sia una tecnologia chiave per conseguire la resilienza e la sovranità tecnologica, come pure per sviluppare capacità operative volte a prevenire gli attacchi informatici. La cifratura è infatti essenziale nel mondo digitale al fine di rendere sicuri i sistemi digitali e le transazioni, tutelare una serie di diritti fondamentali e garantire la sicurezza delle capacità di difesa. La corsa verso lo sviluppo di capacità di calcolo quantistico e lo sblocco di nuove opportunità potenzialmente vantaggiose, che vede come protagonisti diversi paesi e soggetti privati, rappresenta una minaccia per le attuali norme crittografiche. Tali norme svolgono un ruolo centrale nel garantire la riservatezza e l'integrità dei dati, la protezione delle comunicazioni sensibili e il sostegno agli elementi essenziali della sicurezza delle reti.

(3)

Il potenziale sviluppo futuro dei computer quantistici in grado di violare la cifratura odierna impone all'Europa di cercare garanzie più rigorose, assicurando la protezione delle comunicazioni sensibili e l'integrità a lungo termine delle informazioni riservate, vale a dire passando alla crittografia post-quantistica il più rapidamente possibile. Questo nuovo tipo di crittografia eliminerà le vulnerabilità note dell'attuale crittografia a chiavi asimmetriche e rafforzerà la solidità di fronte alle minacce poste dall'uso doloso dei computer quantistici.

(4)

Da oltre un decennio la Commissione finanzia la ricerca sulla crittografia post-quantistica e il relativo sviluppo, riconoscendo la potenziale minaccia che il calcolo quantistico rappresenta per la crittografia a chiave pubblica attualmente in uso.

(5)

Gli Stati membri dovrebbero prendere in considerazione la possibilità di procedere quanto prima alla migrazione delle loro infrastrutture e dei loro servizi digitali attuali per le pubbliche amministrazioni, nonché di altre infrastrutture critiche, verso la crittografia post-quantistica, determinando un cambiamento radicale degli algoritmi, dei protocolli e dei sistemi crittografici. Come sottolineato nel recente libro bianco della Commissione dal titolo «Come affrontare adeguatamente le esigenze dell'Europa in termini di infrastruttura digitale?», è necessario uno sforzo coordinato che coinvolga le amministrazioni pubbliche, gli organismi di normazione, i portatori di interessi del settore, i ricercatori e i professionisti della cibersicurezza.

(6)

La presente raccomandazione della Commissione incoraggia gli Stati membri ad elaborare una strategia globale per l'adozione della crittografia post-quantistica al fine di garantire una transizione coordinata e sincronizzata tra i diversi Stati membri e i rispettivi settori pubblici. La strategia dovrebbe definire obiettivi, traguardi e calendari chiari che portino alla definizione di una tabella di marcia comune per l'attuazione della crittografia post-quantistica. Ciò dovrebbe portare alla diffusione, in tutta l'Unione, di tecnologie di crittografia post-quantistica nei sistemi della pubblica amministrazione e nelle infrastrutture critiche esistenti attraverso sistemi ibridi che possono combinare la crittografia post-quantistica con gli attuali approcci crittografici o con la distribuzione quantistica delle chiavi.

(7)

Ai fini di una transizione efficace verso la crittografia post-quantistica, la tabella di marcia per l'attuazione coordinata della crittografia post-quantistica dovrebbe fornire l'elenco delle azioni che gli Stati membri devono intraprendere, compreso un esame degli algoritmi di crittografia post-quantistica, con un calendario chiaro per le diverse fasi e i diversi traguardi da raggiungere, tenendo conto delle loro interdipendenze, come pure i portatori di interessi da coinvolgere.

(8)

Ai fini di un'attuazione armonizzata della crittografia post-quantistica in tutta l'Unione è essenziale elaborare norme europee comuni e sviluppare un quadro per l'individuazione e la selezione degli algoritmi di crittografia post-quantistica da utilizzare nelle reti e nei servizi digitali nell'Unione. Attraverso la partecipazione attiva di ricercatori finanziati dall'UE l'Unione già sostiene lo sviluppo e la sperimentazione di algoritmi di crittografia post-quantistica che possono diventare norme nell'ambito di processi internazionali di selezione nel campo della crittografia post-quantistica. La presente raccomandazione della Commissione incoraggia gli Stati membri a collaborare a livello di UE a stretto contatto con gli esperti dell'Unione in materia di cibersicurezza, con il gruppo di cooperazione NIS e con l'Agenzia dell'Unione europea per la cibersicurezza (ENISA) sulla valutazione e sulla selezione degli algoritmi di crittografia post-quantistica adeguati e sulla loro adozione come norme dell'UE ai fini di un'attuazione armonizzata in tutta l'Unione.

(9)

Gli Stati membri e l'Unione dovrebbero continuare a collaborare attivamente con i loro partner strategici internazionali nell'elaborazione di norme internazionali in materia di crittografia post-quantistica al fine di garantire l'interoperabilità delle comunicazioni in futuro.

(10)

Una volta approvata dagli Stati membri, la tabella di marcia per l'attuazione coordinata della crittografia post-quantistica dovrebbe fungere da modello per la definizione dei piani nazionali di transizione verso la crittografia post-quantistica o, laddove tali piani nazionali già esistano, per il loro allineamento alla tabella di marcia comune per l'attuazione coordinata della crittografia post-quantistica.

(11)

Per assicurare che siano compiuti progressi rispetto agli obiettivi di cui alla presente raccomandazione la Commissione intende monitorare attentamente le azioni intraprese in risposta alla medesima. Al fine di garantire tale monitoraggio gli Stati membri sono pertanto incoraggiati a presentare alla Commissione, su richiesta di quest'ultima, tutte le informazioni pertinenti che possono ragionevolmente fornire. Sulla base delle informazioni così ottenute e di tutte le altre informazioni disponibili la Commissione valuterà gli effetti della presente raccomandazione e stabilirà se siano necessarie ulteriori misure, compresa la proposta di atti vincolanti di diritto dell'Unione.

(12)

La presente raccomandazione relativa alla crittografia post-quantistica si basa sugli obiettivi strategici stabiliti nella strategia dell'UE in materia di cibersicurezza volti a migliorare la sicurezza end-to-end e la resilienza delle infrastrutture e dei servizi digitali dell'Unione per le pubbliche amministrazioni e di altre infrastrutture critiche, risponde agli obiettivi del mercato unico digitale e della comunicazione congiunta sulla «Strategia europea per la sicurezza economica» (10919/23) (6) e prende in considerazione i rischi per la sicurezza fisica e informatica delle infrastrutture critiche, come pure quelli individuati nell'ambito della valutazione dei rischi per le tecnologie quantistiche, di recente esecuzione (7). La raccomandazione rispetta i diritti fondamentali e osserva i principi riconosciuti in particolare dalla Carta dei diritti fondamentali dell'Unione europea (articoli 7, 8 e 11) e dalla Convenzione europea dei diritti dell'uomo (articoli 8 e 10), che comportano obblighi positivi per i governi affinché riducano al minimo il rischio di accesso alle informazioni e di controllo delle stesse in modo illecito, rendendo così necessarie la tutela e la promozione delle tecnologie crittografiche,