Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52009AE1948

Parere del Comitato economico e sociale europeo in merito alla comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni — Proteggere le infrastrutture critiche informatizzate — «Rafforzare la preparazione, la sicurezza e la resilienza per proteggere l'Europa dai ciberattacchi e dalle ciberperturbazioni» COM(2009) 149 def.

OJ C 255, 22.9.2010, p. 98–102 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

22.9.2010   

IT

Gazzetta ufficiale dell’Unione europea

C 255/98


Parere del Comitato economico e sociale europeo in merito alla comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni — Proteggere le infrastrutture critiche informatizzate — «Rafforzare la preparazione, la sicurezza e la resilienza per proteggere l'Europa dai ciberattacchi e dalle ciberperturbazioni»

COM(2009) 149 def.

(2010/C 255/18)

Relatore: MCDONOGH

La Commissione europea, in data 30 marzo 2009, ha deciso, conformemente al disposto dell'articolo 262 del Trattato che istituisce la Comunità europea, di consultare il Comitato economico e sociale europeo in merito alla:

Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni - Proteggere le infrastrutture critiche informatizzate - «Rafforzare la preparazione, la sicurezza e la resilienza per proteggere l'Europa dai ciberattacchi e dalle ciberperturbazioni»

COM(2009) 149 def.

La sezione specializzata Trasporti, energia, infrastrutture, società dell'informazione, incaricata di preparare i lavori del Comitato in materia, ha formulato il proprio parere in data 12 novembre 2009, sulla base del progetto predisposto dal relatore MCDONOGH.

Alla sua 458a sessione plenaria, dei giorni 16 e 17 dicembre 2009 (seduta del 16 dicembre), il Comitato economico e sociale europeo ha adottato il seguente parere con 179 voti favorevoli e 4 astensioni.

1.   Conclusioni e raccomandazioni

1.1   Il Comitato economico e sociale europeo (CESE) accoglie con favore la comunicazione della Commissione avente ad oggetto il piano d'azione per proteggere le infrastrutture critiche informatizzate in Europa. Esso condivide le preoccupazioni della Commissione riguardo alla vulnerabilità dell'Europa ai ciberattacchi su vasta scala, ai guasti tecnici, agli attentati e ai disastri naturali, nonché riguardo all'entità dei danni all'economia e al benessere dei cittadini europei che tali attacchi causerebbero. Per questo è d'accordo con la Commissione sulla necessità di agire con urgenza per aumentare il coordinamento e la cooperazione a livello europeo al fine di affrontare questo problema così importante. Il CESE è altresì d'accordo sull'esigenza di delineare in tempi brevi un quadro politico articolato per proteggere le infrastrutture critiche informatizzate.

1.2   Il CESE prende nota delle conclusioni della Conferenza ministeriale dell'UE sul tema Proteggere le infrastrutture critiche informatizzate ed esprime la propria preoccupazione per il fatto che l'Europa non è adeguatamente preparata ad affrontare eventuali ciberattacchi e ciberperturbazioni delle sue infrastrutture critiche informatizzate a causa dell'eterogeneità e dello scarso coordinamento degli approcci adottati nei singoli Stati membri per proteggerle. È noto che la grave situazione in cui versa l'Europa è il risultato dell'evoluzione di Internet e dell'assenza di una strategia per i grandi sistemi tesa a garantire la sicurezza e la resilienza delle infrastrutture dell'informazione. Ciò nonostante, ora che ci si è resi conto della necessità di agire, il CESE chiede alla Commissione di affrontare il problema con determinazione e in tempi brevi.

1.3   Il CESE è favorevole al piano d'azione di alto livello basato su cinque assi d'intervento descritto nella comunicazione e si congratula con la Commissione per il lavoro svolto. È estremamente difficile sviluppare un approccio integrato, che coinvolga un gran numero di parti interessate a vari livelli per migliorare la sicurezza e la resilienza delle infrastrutture critiche informatizzate, soprattutto quando il gruppo di soggetti interessati è così disomogeneo e le infrastrutture informatizzate in Europa sono così complesse. Inoltre, il CESE riconosce la funzione di supporto e il contributo dell'ENISA (l'Agenzia europea per la sicurezza delle reti e dell'informazione) al raggiungimento degli obiettivi di questa comunicazione.

1.4   Il CESE rileva lo scarso numero di iniziative adottate dalle parti interessate per attuare la risoluzione del Consiglio 2007/C 68/01 sul tema della sicurezza e della resilienza delle infrastrutture TIC (tecnologie dell'informazione e della comunicazione) (1). La difficoltà a sviluppare politiche efficaci per proteggere le strutture informatizzate europee più critiche avvantaggia coloro che per motivi politici o finanziari vorrebbero attaccarle. Conseguentemente, il CESE vorrebbe che la Commissione rivendicasse quel forte ruolo guida che è necessario per mettere d'accordo tutte le parti interessate e attuare misure efficaci per proteggere l'Europa da possibili minacce alle sue infrastrutture critiche informatizzate. Il CESE ritiene che, affinché il piano d'azione descritto nella comunicazione dia i risultati attesi, la responsabilità della sua attuazione va conferita a un'autorità di regolamentazione competente.

1.5   Il CESE richiama l'attenzione della Commissione sui propri precedenti pareri in cui sottolineava l'esigenza di una società dell'informazione sicura, esprimeva timori riguardo alla sicurezza di Internet e evidenziava la necessità di proteggere le infrastrutture critiche.

2.   Raccomandazioni

2.1   L'Unione europea dovrebbe conferire la responsabilità dell'attuazione di misure efficaci di protezione delle infrastrutture critiche informatizzate in tutta l'UE a un'autorità di regolamentazione competente, che comprenda membri dell'Agenzia europea dei diritti fondamentali.

2.2   Tutti gli Stati membri dovrebbero elaborare una strategia nazionale e dotarsi di un quadro politico e normativo solido, di procedure olistiche di gestione del rischio a livello nazionale e di misure e meccanismi appropriati di risposta. A tale proposito, ciascuno Stato membro dovrebbe costituire il proprio gruppo di pronto intervento informatico (Computer Emergency Response Team - CERT), che a sua volta dovrebbe partecipare al gruppo europeo governativo dei CERT (EGC) (2).

2.3   La Commissione dovrebbe accelerare l'istituzione dei partenariati pubblico-privati europei per la resilienza (EP3R) e integrarli nei lavori dell'ENISA e dell'EGC.

2.4   La migliore pratica in materia di gestione del rischio dovrebbe essere integrata a tutti i livelli nella politica di protezione delle infrastrutture critiche informatizzate. In particolare, bisognerebbe informare le parti interessate responsabili in merito al costo potenziale di eventuali disfunzioni dei sistemi di sicurezza e resilienza.

2.5   Si dovrebbero prevedere sanzioni pecuniarie e di altro genere per coloro che non adempiono le proprie responsabilità nel quadro di una politica di protezione delle infrastrutture critiche informatizzate. Tali sanzioni dovrebbero essere proporzionate al rischio e al costo delle disfunzioni del sistema causate dalla loro negligenza.

2.6   La responsabilità della sicurezza e della resilienza delle infrastrutture critiche informatizzate dovrebbe ricadere in particolare sui grandi portatori di interessi, quali i governi e i fornitori delle infrastrutture e delle tecnologie, ai quali non dovrebbe essere consentito di sottrarsi a tale responsabilità scaricandola sui consumatori, siano essi aziende o privati.

La sicurezza e la resilienza devono essere obbligatoriamente integrate nello sviluppo di tutti i sistemi TIC utilizzati nell'UE. Il CESE esorta le aziende private coinvolte nella protezione delle infrastrutture critiche informatizzate ad impegnarsi costantemente a favore di un miglioramento negli ambiti specifici legati alla resilienza, quali ad esempio la gestione delle reti, la gestione del rischio e la continuità dell'attività economica.

2.7.1   La definizione e il monitoraggio delle pratiche e degli standard migliori dovrebbero essere una componente fondamentale di qualsiasi politica tesa a prevenire le disfunzioni, ad adottare misure di risposta e a ripristinare le infrastrutture critiche informatizzate.

2.7.2   Occorre dare priorità all'utilizzo del protocollo IPv6 (il protocollo più aggiornato per gli indirizzi Internet) e del sistema DNSSEC (serie di specifiche per garantire la sicurezza e l'affidabilità delle informazioni fornite dai sistemi DNS) in Internet in tutta l'UE, poiché ciò renderebbe la rete più sicura.

2.8   Il CESE esorta le parti interessate pubbliche e private a lavorare insieme su base regolare per testare la loro preparazione e le rispettive misure di risposta durante esercitazioni organizzate ad hoc e condivide pienamente la proposta della Commissione, contenuta nella comunicazione, di organizzare la prima di queste esercitazioni paneuropee entro il 2010.

2.9   Inoltre, è opportuno promuovere un'industria della sicurezza dell'informazione forte in Europa per competere con l'industria statunitense del settore, che è molto competente e ben finanziata. Gli investimenti in R&S destinati alla protezione delle infrastrutture critiche informatizzate dovrebbero aumentare significativamente.

2.10   È necessario aumentare i finanziamenti destinati allo sviluppo delle competenze e a programmi di informazione e sensibilizzazione nell'area della cibersicurezza.

2.11   In ogni Stato membro dovrebbero essere istituite agenzie d'informazione e sostegno alle PMI e ai cittadini per aiutarli a capire e ad adempiere le proprie responsabilità nel quadro di una politica di protezione delle infrastrutture critiche informatizzate.

2.12   Nell'interesse della sicurezza, la posizione dell'Unione europea in merito al futuro della governance di Internet (3) dovrebbe evolversi, poiché tale governance richiede un approccio più multilaterale, che da un lato rispetti le priorità interne degli Stati Uniti e dall'altro rifletta gli interessi dell'UE. L'azione dell'Unione in materia dovrebbe includere una riflessione approfondita in merito alle interazioni tra sicurezza cibernetica e rispetto delle libertà pubbliche e private.

3.   Contesto

La minaccia di ciberattacchi su ampia scala alle infrastrutture critiche informatizzate

3.1.1   Le infrastrutture critiche informatizzate comprendono le TIC che forniscono le piattaforme di informazione e comunicazione necessarie all'erogazione di beni e servizi essenziali, se non addirittura vitali per la società, quali: energia elettrica, acqua, trasporti, servizi bancari, sanitari e d'emergenza.

3.1.2   Tali infrastrutture sono caratterizzate da un alto livello di integrazione di sistemi complessi e dal fatto di essere interdipendenti da altre infrastrutture (p. es. elettricità) e interconnesse a livello transfrontaliero. Questa complessità le espone a numerosi rischi, capaci di originare disfunzioni catastrofiche del sistema, che interesserebbero servizi sociali critici in molteplici Stati membri. Tali rischi possono derivare da errore umano, guasto tecnico, attentati (compresi attacchi di matrice criminale o politica) e disastri naturali. Lo studio dei rischi evidenzia le falle di tali sistemi e rivela quindi la possibilità di assumerne il controllo con pratiche che, intenzionalmente o meno, attentano alle libertà pubbliche e private. La Commissione è obbligata a garantire il rispetto dei diritti fondamentali nell'elaborazione del diritto comunitario.

3.1.3   I governi e i fornitori di servizi essenziali non rendono pubbliche le disfunzioni dei sistemi di sicurezza e di resilienza, salvo quando sono obbligati a farlo. Ciò nonostante si conoscono numerosi esempi di minacce a infrastrutture critiche informatizzate originate da disfunzioni dei sistemi di sicurezza e resilienza:

nel 2007 e nel 2008, si sono registrati ciberattacchi su ampia scala in Estonia, Lituania e Georgia,

nel 2008, la rottura dei cavi sottomarini intercontinentali nel Mediterraneo e nel Golfo persico ha avuto ripercussioni sul traffico Internet in molti paesi,

nell'aprile 2009, alcuni responsabili della sicurezza nazionale degli Stati Uniti hanno rivelato che delle ciberspie erano entrate nella rete elettrica nazionale e vi avevano inserito programmi che avrebbero potuto essere utilizzati per mandare in tilt il sistema,

nel mese di luglio, Stati Uniti e Corea del Sud hanno dovuto fronteggiare un attacco finalizzato all'interruzione dei servizi che ha avuto grande risalto. Tale attacco, effettuato utilizzando da 100 000 a 200 000 computer cosiddetti zombie, ha investito numerosi siti Internet di amministrazioni pubbliche.

3.1.4   Il problema è ulteriormente aggravato dalle azioni con intento doloso delle organizzazioni criminali e dall'uso della ciberguerra per ragioni politiche.

Approfittando delle debolezze dei sistemi operativi dei personal computer collegati ad Internet, le organizzazioni criminali hanno creato reti di bot, vale a dire, PC collegati tramite programmi maligni (malware) a un unico computer virtuale gestito dai criminali (ad esempio computer zombie o computer spia). Queste reti di bot sono utilizzate per una vasta gamma di attività illecite; sono usate dai terroristi per sferrare ciberattacchi su ampia scala e dai governi che le «noleggiano» dai criminali per combattere le ciberguerre. Pare che una di queste reti di bot chiamata Conficker abbia a sua disposizione più di 5 milioni di PC.

3.1.5   Il costo economico delle disfunzioni delle infrastrutture critiche informatizzate potrebbe essere estremamente elevato. Il Forum economico globale ha stimato che nei prossimi 10 anni la probabilità di un'avaria grave delle infrastrutture critiche informatizzate è del 10-20 %, con un costo potenziale a livello globale di circa 250 miliardi di dollari e di migliaia di vite umane.

Il problema della preparazione, della sicurezza e della resilienza

3.2.1   Internet è la principale piattaforma di supporto di gran parte delle infrastrutture critiche informatizzate in Europa. L'architettura di Internet si basa sull'interconnessione di milioni di computer, con una distribuzione dell'elaborazione, delle comunicazioni e del controllo su scala globale. Questo tipo di architettura distribuita è essenziale per la stabilità e la resilienza di Internet, perché consente di recuperare rapidamente i flussi di traffico ogniqualvolta si verifica un problema. Essa comporta tuttavia il rischio di ciberattacchi su ampia scala, che possono essere lanciati dalla periferia della rete, utilizzando ad esempio reti di bot, da qualsiasi teppista malintenzionato con conoscenze informatiche di base.

3.2.2   Le reti di comunicazione globali e le infrastrutture critiche informatizzate implicano un alto livello di interconnettività transfrontaliera. Ciò significa che se in un dato paese il livello di sicurezza e di resilienza della rete è basso, la sicurezza e la resilienza delle infrastrutture critiche informatizzate di tutti gli altri paesi interconnessi può essere compromessa. In virtù di questa interdipendenza che trascende i confini nazionali, spetta all'Unione europea sviluppare una politica integrata per gestire la sicurezza e la resilienza delle infrastrutture critiche informatizzate al suo interno.

3.2.3   La maggior parte dei soggetti interessati e molti Stati membri non sono adeguatamente informati e consapevoli dei rischi che corrono le infrastrutture critiche informatizzate e pochissimi paesi dispongono di una politica articolata per gestire tali rischi.

3.2.4   Le riforme del quadro normativo comune per le reti e i servizi di comunicazione elettronica proposte rafforzeranno gli obblighi degli operatori di provvedere all'adozione di misure idonee per individuare i rischi, garantire la continuità della fornitura di servizi e comunicare le violazioni della sicurezza (4).

3.2.5   La grande maggioranza delle tecnologie che supportano la piattaforma per le infrastrutture critiche informatizzate è fornita da aziende private; di conseguenza, per garantire una cooperazione adeguata che assicuri una protezione efficace di tali infrastrutture sono necessari alti livelli di competenza, fiducia, trasparenza e comunicazione tra tutte le parti interessate - governi, aziende e consumatori.

3.2.6   È essenziale adottare un approccio internazionale che coinvolga un gran numero di parti interessate a vari livelli.

3.3   Il piano d'azione basato su cinque assi d'intervento

Per fronteggiare le sfide sopra descritte, la Commissione propone un piano d'azione basato su cinque assi d'intervento:

1.

preparazione e prevenzione: per tenersi pronti a tutti i livelli,

2.

individuazione e reazione: per dotarsi di meccanismi adeguati di allarme rapido,

3.

mitigazione e recupero: per rafforzare i meccanismi europei di difesa delle infrastrutture critiche informatizzate,

4.

cooperazione internazionale: per promuovere le priorità UE a livello internazionale,

5.

criteri per il settore delle TIC: per sostenere l'attuazione della direttiva relativa all'individuazione e alla designazione delle infrastrutture critiche europee (5).

Nel quadro di ciascuno di questi assi sono stati definiti obiettivi specifici con il relativo calendario, che in alcuni casi si estende fino alla fine del 2011.

4.   Osservazioni

4.1   Risulterà molto difficile sviluppare e attuare una strategia efficace per la protezione delle infrastrutture critiche informatizzate secondo l'approccio volontario, eminentemente consultivo e basato sulla cooperazione, che viene descritto nella comunicazione. Data la gravità e l'urgenza della sfida, il CESE raccomanda alla Commissione di esaminare la politica adottata nel Regno Unito e negli Stati Uniti, che prevede la nomina di un'autorità di regolamentazione responsabile, dotata dei necessari poteri.

4.2   Il CESE sostiene l'appello contenuto nella risoluzione 58/199 dell'Assemblea generale delle Nazioni Unite per la Creazione di una cultura mondiale della cibersicurezza e la protezione delle infrastrutture critiche informatizzate. Considerata l'interdipendenza tra i diversi paesi per garantire la sicurezza e la resilienza delle infrastrutture critiche informatizzate («Una catena è forte solo quanto il suo anello più debole»), preoccupa il fatto che solo 9 Stati membri abbiano fino ad ora istituito il proprio CERT e abbiano aderito al gruppo EGC. Nell'agenda intergovernativa è necessario dare priorità all'istituzione di questi gruppi.

4.3   Alla cibersicurezza nell'UE sono direttamente interessati anche tutti i cittadini, dato che la loro vita potrebbe dipendere da servizi vitali. Questi stessi cittadini hanno la responsabilità di proteggere la propria connessione ad Internet da eventuali attacchi, in tutta la misura del possibile. Una responsabilità maggiore ricade sui fornitori della tecnologia e dei servizi TIC che mettono a disposizione le infrastrutture critiche informatizzate. È fondamentale che tutte le parti interessate siano adeguatamente informate in merito alla cibersicurezza. Inoltre, l'Europa dovrebbe dotarsi di un gran numero di esperti qualificati nel campo della sicurezza e della resilienza delle TIC.

4.4   Il CESE raccomanda a ciascuno Stato membro di istituire un ente con il compito di informare, educare e sostenere le PMI sulle questioni della cibersicurezza. Le grandi società possono facilmente reperire le conoscenze di cui hanno bisogno, mentre le PMI devono essere sostenute.

4.5   Dato che le infrastrutture critiche informatizzate vengono fornite principalmente da società private, è importante promuovere alti livelli di fiducia e cooperazione tra tutte le aziende coinvolte. L'iniziativa dei partenariati pubblico-privati europei per la resilienza (EP3R), lanciata dalla Commissione a giugno, merita elogi e incoraggiamento. Ciò premesso, il CESE ritiene che essa debba essere accompagnata da norme intese a rendere obbligatoria la cooperazione delle parti interessate che non si assumono le proprie responsabilità.

4.6   Esiste una disciplina della gestione del rischio che può aiutare a risolvere i problemi esaminati nel presente documento. La Commissione dovrebbe insistere affinché le migliori pratiche di gestione del rischio siano adottate, ove opportuno, nel quadro del suo piano d'azione. In particolare, è molto utile quantificare i rischi e i costi di eventuali disfunzioni delle infrastrutture critiche informatizzate a ogni livello. Se si conoscono la probabilità e il costo previsto delle eventuali disfunzioni è infatti più facile motivare le parti interessate ad agire ed è anche più semplice ritenerle finanziariamente responsabili del mancato adempimento dei loro obblighi.

4.7   I grandi portatori di interessi cercano di circoscrivere la propria responsabilità utilizzando il loro potere di mercato per costringere i clienti o i fornitori ad accettare clausole contrattuali che li sollevano da responsabilità che di fatto sono di loro pertinenza, ad esempio, mediante contratti di licenza d'uso di software o accordi di interconnessione con i fornitori di servizi Internet che limitano la loro responsabilità in merito alle questioni della sicurezza. Questi contratti dovrebbero essere illegali e la responsabilità dovrebbe essere dell'attore principale.

4.8   La sicurezza e la resilienza potrebbero e dovrebbero essere previste in ogni rete TIC. In via prioritaria, si dovrebbe studiare la topologia delle architetture di rete, negli Stati membri e nell'UE nel suo insieme, per identificare eventuali concentrazioni inaccettabili di traffico delle comunicazioni e punti della rete ad alto rischio di disfunzione. In particolare, l'alta concentrazione di traffico Internet in pochissimi punti di scambio Internet (IXP) all'interno di alcuni Stati membri costituisce un rischio inaccettabile.

4.9   Il CESE richiama l'attenzione della Commissione sulle proprie osservazioni in merito alla comunicazione COM(2008) 313 def. dal titolo Far progredire Internet - Piano d'azione per l'introduzione del protocollo Internet versione 6 (IPv6) in Europa  (6), che sottolineava i benefici per la sicurezza derivanti dall'adozione del protocollo IPv6 in tutta la rete Internet dell'UE. Il CESE raccomanda inoltre di adottare, ove possibile, la tecnologia DNSSEC per aumentare la sicurezza di Internet.

4.10   Con il lancio della loro politica sulla sicurezza nel ciberspazio, gli Stati Uniti hanno preventivato di spendere 40 miliardi di dollari in cibersicurezza nel 2009 e nel 2010. Si tratta di una massiccia iniezione di denaro nel settore della sicurezza che porterà molte aziende che si occupano di sicurezza delle tecnologie dell'informazione, anche europee, a concentrare i propri sforzi negli Stati Uniti e stimolerà le società americane del settore sicurezza a diventare leader mondiali. L'Europa dovrebbe avere una propria industria all'avanguardia in grado di competere alla pari con le società americane, e l'industria della sicurezza dovrebbe impegnarsi, puntando a soddisfare le esigenze infrastrutturali europee. Il CESE chiede alla Commissione di riflettere su come potrebbe controbilanciare questo cospicuo incentivo finanziario erogato dagli Stati Uniti.

4.11   Il CESE appoggia la recente comunicazione della Commissione sul futuro della governance di Internet (3) e ritiene che l'UE debba esercitare un'influenza più diretta sulle politiche e sulle prassi di ICANN (Internet Corporation for Assigned Names and Numbers), l'ente no profit, organizzato a livello internazionale, responsabile dell'assegnazione degli indirizzi IP (Internet Protocol) e della gestione del sistema dei nomi a dominio (Top-Level Domain), e di IANA (Internet Assigned Numbers Authority), l'autorità responsabile di una serie di attività tecniche legate a Internet. Ritiene inoltre che l'attuale supervisione unilaterale da parte degli Stati Uniti dovrebbe essere sostituita da accordi che prevedano una responsabilità multilaterale e internazionale.

Bruxelles, 16 dicembre 2009

Il Presidente del Comitato economico e sociale europeo

Mario SEPI


(1)  COM(2006) 251 def.

(2)  http://www.egc-group.org.

(3)  COM(2009) 277 def.

(4)  Articoli 13a e 13b della proposta di direttiva COM(2007) 697 def. recanti le proposte di emendamento della direttiva 2002/21/CE.

(5)  Direttiva 2008/114/CE del Consiglio.

(6)  GU C 175 del 28.7.2009, pag. 92.


Top