6.4.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 107/58

1.1

Il Comitato economico e sociale europeo (CESE) è ben consapevole dell'attuale grado di dipendenza della società civile dai servizi forniti su Internet, ed è inoltre preoccupato della relativa ignoranza della società civile nei confronti della propria sicurezza informatica. Il CESE ritiene che l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) sia responsabile di aiutare gli Stati membri e i fornitori dei servizi ad aumentare i loro standard di sicurezza generale, affinché tutti gli utenti Internet facciano quanto è necessario per assicurare la loro sicurezza informatica personale.

1.2

Il CESE sostiene di conseguenza la proposta di sviluppare l'ENISA, allo scopo di contribuire ad assicurare un alto livello di sicurezza delle reti e dell'informazione nell'Unione europea, creare una maggiore sensibilizzazione e sviluppare nella società una cultura della sicurezza in questo campo, a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico nell'UE, contribuendo in tal modo al corretto funzionamento del mercato interno.

1.3

La missione dell'ENISA è fondamentale per un'evoluzione securizzata dell'infrastruttura di rete dei governi, dell'industria, del commercio e della società civile nell'UE. Il CESE si attende che la Commissione stabilisca per l'ENISA gli standard operativi più elevati e che ne verifichi le prestazioni di fronte alle minacce crescenti o emergenti alla sicurezza informatica.

1.4

Le strategie informatiche individuate dalla NATO, da Europol e dalla Commissione europea dipendono tutte da una cooperazione efficace con gli Stati membri i quali, a loro volta, dispongono di una miriade di agenzie interne che si occupano di questioni legate alla sicurezza informatica. Le strategie NATO e Europol sono nate per essere proattive ed operative. Nell'ambito della strategia della Commissione europea, è chiaro che l'ENISA è un importante tassello nel complesso mosaico di agenzie e di missioni il cui obiettivo è la protezione delle infrastrutture critiche informatizzate (Critical Information Infrastructure Protection - CIIP). Sebbene il nuovo regolamento non proponga un ruolo operativo per l'ENISA, il CESE continua a considerare tale Agenzia la prima responsabile della CIIP nella società civile dell'UE.

1.5

A livello nazionale la responsabilità operativa in materia di sicurezza informatica ricade sugli Stati membri, ma gli standard CIIP sono palesemente diversi da uno Stato membro all'altro. Il ruolo dell'ENISA è quello di portare i paesi meno attrezzati ad un livello accettabile di sicurezza informatica. L'Agenzia deve garantire la cooperazione tra Stati membri e assisterli nell'applicazione delle migliori prassi. Per quanto riguarda le minacce da oltre confine, l'ENISA ha il compito di segnalare e prevenire.

1.6

L'ENISA va altresì coinvolta nella cooperazione internazionale con le autorità al di fuori dell'UE, una cooperazione fortemente politica che interessa numerosi settori dell'UE. Il CESE ritiene comunque che l'ENISA debba trovare una sua collocazione sulla scena internazionale.

1.7

Il CESE ritiene che l'ENISA possa svolgere un ruolo molto prezioso contribuendo a progetti di ricerca nel settore della sicurezza e avviando essa stessa progetti del genere.

1.8

Nel quadro della valutazione d'impatto il CESE non sosterrà, per il momento, la piena applicazione delle opzioni 4 e 5 che farebbero dell'ENISA un'agenzia operativa. La sicurezza informatica è un problema enorme, e gli attacchi sono in continua ascesa, per cui gli Stati membri devono mantenere la capacità di affrontare le minacce in modo proattivo. Lo sviluppo di agenzie operative dell'UE di solito ha come conseguenza una dequalificazione degli Stati membri, mentre nel settore della sicurezza informatica vale il principio contrario: gli Stati membri devono accrescere le loro qualifiche.

1.9

Il CESE comprende il punto di vista della Commissione secondo cui l'ENISA dovrebbe svolgere una missione definita e ben controllata, e disporre di risorse commisurate. Ciononostante il CESE teme che il mandato dell'Agenzia, fissato a cinque anni, possa limitare i progetti a lungo termine e compromettere lo sviluppo di capitale umano e di conoscenze in seno all'ENISA. Si tratta comunque di un'agenzia piuttosto piccola che deve occuparsi di un problema grande e in continua crescita. Data la portata e le dimensioni della sua missione, l'ENISA deve impiegare squadre di specialisti. Il lavoro da svolgere sarà vario e comprenderà incarichi a breve termine e progetti a lungo termine. Il CESE preferirebbe pertanto che il mandato dell'ENISA fosse dinamico e prorogabile, confermato continuamente tramite valutazioni e accertamenti periodici. Le risorse potrebbero così essere stanziate in modo progressivo, se e quando ciò risulta giustificato.

2.1

Il presente parere si occupa del regolamento inteso a sviluppare ulteriormente l'ENISA.

2.2

La Commissione ha formulato la sua prima proposta di strategia politica in materia di sicurezza delle reti e dell'informazione in una comunicazione del 2001 (COM(2001) 298 definitivo), su cui il relatore RETUREAU aveva elaborato un ampio parere (1).

2.3

La Commissione ha quindi elaborato una proposta di regolamento che istituiva l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) (COM(2003) 63 definitivo), su cui LAGERHOLM ha formulato un parere per conto del CESE (2). L'ENISA è stata successivamente istituita con il regolamento (CE) n. 460/2004.

2.4

Mentre l'utilizzo di Internet aumentava esponenzialmente, la sicurezza delle informazioni diventava una preoccupazione crescente. Nel 2006 la Commissione ha pubblicato una comunicazione che proponeva una strategia per una società dell'informazione sicura (COM(2006) 251 definitivo), sulla quale il CESE ha formulato un parere predisposto dal relatore PEZZINI (3).

2.5

Di fronte all'aumento delle preoccupazioni riguardo alla sicurezza delle informazioni, la Commissione ha presentato nel 2009 una proposta volta a proteggere le infrastrutture critiche informatizzate (COM(2009) 149 definitivo), a cui MCDONOGH ha dedicato un parere (4) adottato dalla sessione plenaria del CESE nel dicembre 2009.

2.6

Ora la Commissione propone di rafforzare e sviluppare l'ENISA allo scopo di contribuire ad assicurare un alto livello di sicurezza delle reti e dell'informazione nell'Unione europea, creare una maggiore sensibilizzazione e sviluppare nella società una cultura della sicurezza in questo campo, a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico nell'Unione, contribuendo in tal modo al corretto funzionamento del mercato interno.

2.7

Tuttavia l'ENISA non è l'unica agenzia per la sicurezza del ciberspazio europeo. Fornire una risposta alla ciberguerra e al ciberterrorismo è compito delle forze armate. In questo campo il principale organismo competente è la NATO. In base alla nuova strategia resa nota a Lisbona nel novembre 2010 (cfr. al riguardo http://www.nato.int/lisbon2010/strategic-concept-2010-eng.pdf), la NATO svilupperà ulteriormente la propria capacità di prevenire, individuare, difendersi e riprendersi dai ciberattacchi, ricorrendo tra l'altro al proprio processo di pianificazione per potenziare e coordinare le capacità di ciberdifesa nazionali, centralizzare la protezione informatica di tutti gli organi della NATO e migliorare l'integrazione tra la sensibilizzazione, la notifica e la risposta informatica della NATO, da un lato, e i paesi membri, dall'altro.

2.8

A seguito del ciberattacco sferrato nel 2007 all'Estonia, il 14 maggio 2008 è stato istituito ufficialmente il centro di eccellenza per la ciberdifesa destinato a rafforzare le capacità di ciberdifesa della NATO. Situato a Tallin, Estonia, il centro di eccellenza costituisce un'iniziativa internazionale a cui attualmente collaborano Estonia, Germania, Italia, Lettonia, Lituania, Slovacchia, Spagna e Ungheria in qualità di Stati finanziatori.

2.9

A livello dell'UE la criminalità informatica è di competenza di Europol. Si riporta qui di seguito un passo tratto da una testimonianza scritta presentata da Europol alla Camera dei Lord britannica (cfr. http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/68we05.htm):

È chiaro che gli organismi incaricati dell'applicazione delle norme devono restare al passo con i progressi tecnologici compiuti dai criminali perché devono garantire una prevenzione efficace o la scoperta delle attività illecite. Inoltre, dal momento che l'alta tecnologia non conosce confini, le capacità disponibili devono presentare standard ugualmente elevati in tutta l'UE per impedire il formarsi di «punti deboli» dove potrebbe prosperare impunito il crimine ad alta tecnologia. In realtà queste capacità sono tutt'altro che omogenee nell'UE. Si assiste infatti a uno sviluppo chiaramente asimmetrico: alcuni Stati membri compiono progressi considerevoli in taluni settori, mentre altri restano indietro dal punto di vista tecnologico. Si rende quindi necessario un servizio centralizzato che aiuti tutti gli Stati membri a coordinare le attività congiunte, promuovere la standardizzazione degli approcci e delle norme di qualità, individuare e condividere le migliori prassi; solo così facendo si potrà garantire un'applicazione omogenea delle norme contro il crimine ad alta tecnologia.

2.10

L'High Tech Crime Centre (HTCC, Centro per il crimine ad alta tecnologia), creato in seno ad Europol nel 2002, è un'unità relativamente piccola, destinata però a crescere in futuro, essendo il fulcro dell'attività condotta da Europol in questo settore. L'HTCC svolge un importante ruolo di coordinamento, sostegno operativo, analisi strategica e formazione. Quest'ultima funzione è particolarmente importante. Europol ha creato inoltre la Piattaforma europea per il crimine informatico, che prevede in particolare i seguenti componenti:

2.11

La strategia adottata dall'UE in materia di sicurezza informatica è illustrata nel capitolo Fiducia e sicurezza dell'Agenda digitale europea, che così illustra i problemi attuali:

«Finora Internet si è dimostrato notevolmente sicuro, resistente e stabile, ma le reti informatiche e i terminali degli utenti rimangono vulnerabili e sono esposti ad una vasta gamma di minacce in costante evoluzione: negli ultimi anni il numero di messaggi di posta elettronica indesiderati è cresciuto a tal punto da congestionare il traffico di posta su Internet (secondo alcune stime dall'80 % al 98 % dei messaggi di posta elettronica sarebbe indesiderato); essi diffondono inoltre una lunga lista di virus e software maligni. I furti di identità e le frodi online crescono in maniera preoccupante, gli attacchi sono sempre più sofisticati (con trojan, botnet, ecc.) e spesso hanno finalità economiche, ma possono anche avere motivazioni politiche, come mostrano i recenti ciberattacchi che hanno colpito Estonia, Lituania e Georgia».

2.12

La Commissione si impegna, nell'ambito dell'Agenda, a compiere le seguenti azioni:

Azione fondamentale 6: presentare nel 2010 misure volte a realizzare una politica rafforzata e di alto livello in materia di sicurezza delle reti e delle informazioni, che comprenda iniziative legislative come una ENISA rinnovata, nonché misure che permettano di rispondere più rapidamente ai ciberattacchi, compresa una squadra di pronto intervento informatico (CERT, Computer Emergency Response Team) per le istituzioni dell'UE;

Azione fondamentale 7: presentare entro il 2010 misure, tra cui iniziative legislative, per combattere i ciberattacchi contro i sistemi informatici e adottare entro il 2013 le relative norme in materia di giurisdizione nel ciberspazio a livello europeo e internazionale.

2.13

In una comunicazione del novembre 2010 (COM(2010) 673 definitivo) la Commissione ha dato applicazione all'Agenda mettendo a punto la Strategia di sicurezza interna dell'UE, che presenta cinque obiettivi, il terzo dei quali consiste nell'aumentare i livelli di sicurezza per i cittadini e le imprese nel ciberspazio. Nell'ambito di tale obiettivo sono previste tre azioni, i cui dettagli sono illustrati nella tabella che segue (tratta dalla comunicazione della Commissione disponibile al seguente indirizzo: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0673:FIN:IT:pdf:

2.14

Le strategie informatiche individuate dalla NATO, da Europol e dalla Commissione europea dipendono tutte da una cooperazione efficace con gli Stati membri i quali, a loro volta, dispongono di una miriade di agenzie interne che si occupano di questioni legate alla sicurezza informatica. Le strategie NATO e Europol sono state concepite per essere proattive ed operative. Nell'ambito della strategia della Commissione europea, è chiaro che l'ENISA è una parte importante del complesso mosaico di agenzie e missioni poste in essere ai fini della protezione delle infrastrutture critiche informatizzate (CIIP). Mentre il nuovo regolamento non propone, per l'ENISA, un ruolo operativo, il CESE ritiene che questa dovrebbe essere la prima responsabile della CIIP nella società civile dell'UE.

3.1

Il problema che l'ENISA dovrà affrontare deriva da sette fattori principali:

3.2

La proposta ENISA rappresenta un punto di riferimento sia per le politiche esistenti che per le nuove iniziative presentate nell'Agenda digitale europea.

3.3

L'ENISA dovrà sostenere, tra l'altro, le seguenti politiche già esistenti:

3.4

Tra i nuovi sviluppi che l'ENISA dovrà sostenere figurano:

3.5

Prima di ultimare la proposta sono state esaminate cinque diverse opzioni. A ciascuna di esse erano associate funzioni e risorse diverse. È stata scelta la terza opzione, che prevede l'ampliamento delle funzioni attuali dell'ENISA e l'inclusione degli organismi incaricati dell'applicazione delle norme e della tutela della vita privata come parti interessate a pieno titolo.

3.6

Se si applicasse l'opzione 3, un'Agenzia modernizzata contribuirebbe a:

3.7

Nell'ambito dell'opzione 3, l'ENISA disporrebbe di tutte le risorse necessarie per condurre le proprie attività in modo approfondito e soddisfacente, con un impatto concreto. Potendo contare su risorse maggiori (5), l'ENISA può svolgere un ruolo molto più proattivo e adottare un numero più elevato di iniziative volte a promuovere una partecipazione attiva dei soggetti coinvolti. Inoltre, la nuova situazione consentirebbe una maggiore flessibilità per reagire rapidamente ai costanti cambiamenti nel campo della sicurezza delle reti.

3.8

L'opzione 4 prevede compiti operativi per la lotta contro gli attacchi informatici e la reazione agli incidenti informatici. Oltre alle mansioni precedentemente descritte, l'ENISA avrebbe compiti operativi, quali l'assunzione di un ruolo più attivo nella protezione delle infrastrutture critiche informatizzate dell'UE, ad esempio in materia di prevenzione e reazione agli incidenti, fungendo in particolare da CERT per la sicurezza delle reti e dell'informazione nell'UE e coordinando le CERT nazionali in qualità di centro di riferimento dell'UE in materia di sicurezza delle reti e dell'informazione, incaricato sia delle attività di gestione ordinaria che dell'organizzazione dei servizi di emergenza.

3.9

L'opzione 4 avrebbe un impatto maggiore a livello operativo, in aggiunta agli effetti previsti con l'opzione 3. Agendo da CERT per la sicurezza delle reti e dell'informazione nell'UE e coordinando le CERT nazionali, l'ENISA contribuirebbe a conseguire maggiori economie di scala nella reazione agli incidenti che interessano tutta l'UE, nonché a ridurre i rischi operativi per le imprese, ad esempio aumentando il livello della sicurezza e della resilienza. L'opzione 4 richiederebbe un sostanziale incremento del bilancio e delle risorse umane dell'ENISA, e ciò suscita preoccupazioni sulle sue capacità di assorbimento e sull'utilizzo efficace del bilancio rispetto ai benefici da raggiungere.

3.10

L'opzione 5 prevede funzioni operative per sostenere gli organismi incaricati del rispetto delle norme e le autorità giudiziarie nella lotta contro la criminalità informatica. Oltre alle attività previste dall'opzione 4, quest'opzione consentirebbe all'ENISA di:

3.11

L'opzione 5 assicurerebbe maggiore efficacia nella lotta alla criminalità informatica rispetto alle opzioni 3 e 4, con l'aggiunta di funzioni operative nel sostenere gli organismi incaricati del rispetto delle norme e le autorità giudiziarie.

3.12

L'opzione 5 richiederebbe un incremento sostanziale delle risorse dell'ENISA e suscita nuovamente preoccupazioni riguardo alla capacità di assorbimento e all'efficace utilizzo del bilancio.

3.13

Sebbene le opzioni 4 e 5 possano assicurare un impatto positivo maggiore rispetto all'opzione 3, la Commissione ritiene che sussista una serie di motivi per scartarle:

4.1

L'ENISA assiste la Commissione e gli Stati membri affinché siano in grado di soddisfare le prescrizioni giuridiche e normative in materia di sicurezza delle reti e dell'informazione.

4.2

Il consiglio di amministrazione definisce gli orientamenti generali del funzionamento dell'ENISA.

4.3

Il consiglio di amministrazione è composto da un rappresentante per ciascuno Stato membro, tre rappresentanti nominati dalla Commissione e un rappresentante di ciascuno dei seguenti gruppi: industria delle TIC, consumatori ed esperti universitari in materia di tecnologie dell'informazione.

4.4

L'ENISA è gestita da un direttore esecutivo indipendente responsabile dell'elaborazione del programma di lavoro dell'Agenzia, che dovrà essere sottoposto all'approvazione del consiglio di amministrazione.

4.5

Il direttore esecutivo è anche responsabile della stesura di un bilancio annuale a sostegno del programma di lavoro. Il consiglio di amministrazione deve presentare il bilancio e il programma di lavoro all'approvazione della Commissione e degli Stati membri.

4.6

Su proposta del direttore esecutivo, il consiglio di amministrazione istituisce un gruppo permanente di parti interessate composto da esperti che rappresentano l'industria delle tecnologie dell'informazione e della comunicazione, le organizzazioni dei consumatori, il mondo universitario, gli organismi incaricati dell'applicazione delle norme e quelli preposti alla tutela della vita privata.

4.7

Trattandosi ancora di una proposta di regolamento, rimangono alcune incertezze riguardo ai numeri. Attualmente l'ENISA conta tra i 44 e i 50 dipendenti e dispone di un bilancio di 8 milioni di EUR. In teoria, se si adottasse l'opzione 3, il personale passerebbe a 99 unità e il bilancio a 17 milioni di EUR.

4.8

Il regolamento propone un mandato fisso di cinque anni.