Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52012IP0457

Risoluzione del Parlamento europeo del 22 novembre 2012 sulla sicurezza e la difesa informatica (2012/2096(INI))

OJ C 419, 16.12.2015, p. 145–152 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

16.12.2015   

IT

Gazzetta ufficiale dell’Unione europea

C 419/145


P7_TA(2012)0457

Cibersicurezza e difesa

Risoluzione del Parlamento europeo del 22 novembre 2012 sulla sicurezza e la difesa informatica (2012/2096(INI))

(2015/C 419/22)

Il Parlamento europeo,

vista la relazione sull'attuazione della strategia europea in materia di sicurezza approvata dal Consiglio europeo l'11 e il 12 dicembre 2008,

vista la Convezione del Consiglio d'Europa sulla criminalità informatica, firmata a Budapest il 23 novembre 2001,

viste le conclusioni del Consiglio sulla protezione delle infrastrutture critiche informatizzate del 27 maggio 2011 e le precedenti conclusioni del Consiglio sulla sicurezza informatica,

vista la comunicazione della Commissione dal titolo «Un'agenda digitale europea», del 19 maggio 2010 (COM(2010)0245),

vista la direttiva 2008/114/CE del Consiglio, dell'8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (1),

vista la recente comunicazione della Commissione sull'istituzione di un Centro europeo per la lotta alla criminalità informatica quale priorità della strategia di sicurezza interna (COM(2012)0140),

vista la sua risoluzione del 10 marzo 2010 sull'attuazione della strategia europea di sicurezza e la politica di sicurezza e di difesa comune (2),

vista la sua risoluzione dell'11 maggio 2011 sullo sviluppo della politica di sicurezza e di difesa comune a seguito dell'entrata in vigore del trattato di Lisbona (3),

vista la sua risoluzione del 22 maggio 2012 sulla strategia di sicurezza interna dell'Unione europea (4),

vista la sua risoluzione del 27 settembre 2011 sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (CE) n. 1334/2000 che istituisce un regime comunitario di controllo delle esportazioni di prodotti e tecnologie a duplice uso (5),

vista la sua risoluzione del 12 giugno 2012 sulla protezione delle infrastrutture critiche informatizzate — realizzazioni e prossime tappe: verso una sicurezza informatica mondiale (6),

vista la risoluzione del Consiglio dei diritti umani delle Nazioni Unite del 5 luglio 2012 dal titolo «The promotion, protection and enjoyment of human rights on the Internet» (7), (Promozione, protezione e godimento dei diritti umani su Internet), che riconosce l'importanza della protezione dei diritti umani e della libera circolazione delle informazioni on-line,

viste le conclusioni del vertice di Chicago del 20 maggio 2012,

visto il titolo V del trattato UE,

visto l'articolo 48 del suo regolamento,

vista la relazione della commissione per gli affari esteri (A7-0335/2012),

A.

considerando che, nel mondo globalizzato di oggi, per l'UE e per gli Stati membri la sicurezza del ciberspazio, la sicurezza nell'utilizzo delle informazioni e delle tecnologie digitali nonché la resilienza e l'affidabilità dei servizi di informazione e delle infrastrutture associate hanno assunto un'importanza cruciale;

B.

considerando che le tecnologie dell'informazione e della comunicazione sono impiegate anche come strumenti di repressione; che il contesto in cui esse sono utilizzate determina, in gran misura, l'impatto che possono avere come promotrici di sviluppi positivi o di repressione;

C.

considerando che le sfide, le minacce e gli attacchi informatici stanno aumentando in misura notevole e rappresentano una grave minaccia per la sicurezza, la difesa, la stabilità e la competitività degli Stati nazionali e del settore privato; che non bisogna, pertanto, guardare a tali minacce come a un problema futuro; che la maggior parte degli incidenti informatici altamente visibili e perturbatori ha ora un movente politico; che la stragrande maggioranza degli incidenti informatici continua a essere di tipo rudimentale, ma le minacce agli elementi critici diventano sempre più sofisticate e meritano una protezione approfondita;

D.

considerando che il ciberspazio, che conta ormai quasi due miliardi di utenti connessi a livello globale, è diventato uno degli strumenti più potenti ed efficaci per promuovere le idee democratiche e per organizzare quei cittadini che cercano di realizzare le loro aspirazioni di libertà e lottare contro le dittature; che l'utilizzo del ciberspazio da parte di regimi non democratici e autoritari rappresenta una crescente minaccia per i diritti degli individui alla libertà di espressione e di associazione; che è pertanto fondamentale assicurare che il ciberspazio rimanga aperto al libero flusso di idee, informazioni ed espressioni;

E.

considerando che nell'UE e negli Stati membri esistono numerosi ostacoli di natura politica, legislativa e organizzativa allo sviluppo di un approccio globale e unificato nei confronti della difesa e della sicurezza informatica; che vi è una mancanza di definizioni, norme e misure comuni in un settore sensibile e vulnerabile come quello della sicurezza informatica;

F.

considerando che la condivisione e il coordinamento all'interno delle istituzioni dell'UE, tra esse e gli Stati membri e tra questi ultimi, nonché con i partner esterni, sono ancora carenti;

G.

considerando che a livello di UE e a livello internazionale mancano definizioni chiare e armonizzate di «sicurezza informatica» e di «difesa informatica»; che il concetto di sicurezza informatica e altri concetti fondamentali sono interpretati in modo profondamente diverso nei vari paesi;

H.

considerando che l'UE non ha ancora elaborato una propria politica coerente in materia di protezione delle infrastrutture critiche informatizzate, per la quale è necessario un approccio multidisciplinare, rafforzando in tal modo la sicurezza e rispettando nel contempo i diritti fondamentali;

I.

considerando che l'UE ha proposto varie iniziative per contrastare la criminalità informatica a livello civile, tra cui l'istituzione di un nuovo Centro europeo per la lotta alla criminalità informatica, tuttavia manca un piano concreto a livello di sicurezza e difesa;

J.

considerando che creare un rapporto di fiducia tra il settore privato e le autorità incaricate dell'applicazione della legge, le istituzioni di difesa e le altre istituzioni competenti è di fondamentale importanza nella lotta contro la criminalità informatica;

K.

considerando che la fiducia reciproca nelle relazioni tra attori statali e non statali costituisce una condizione imprescindibile per una sicurezza informatica affidabile;

L.

considerando che la maggior parte degli incidenti informatici che si verifica sia nel settore pubblico sia in quello privato non è denunciata a causa della natura sensibile delle informazioni e del rischio di nuocere all'immagine delle imprese interessate;

M.

considerando che molti incidenti informatici si verificano a causa della mancanza di resilienza e solidità dell'infrastruttura di rete pubblica e privata, di banche dati scarsamente protette o sicure e di altre lacune nell'infrastruttura critica informatizzata; che solo pochi Stati membri considerano la protezione delle loro reti, dei loro sistemi di informazione e dei dati associati quale parte del loro rispettivo dovere di diligenza, il che spiega l'assenza di investimenti in tecnologie della sicurezza all'avanguardia, nella formazione e nello sviluppo di linee guida adeguate; che un numero elevato di Stati membri dipende da tecnologie della sicurezza di paesi terzi e che occorre intensificare gli sforzi per ridurre tale dipendenza;

N.

considerando che la maggior parte degli autori degli attacchi informatici ad alto livello che minacciano la sicurezza e la difesa nazionali o internazionali non è mai identificata e sottoposta a procedimento giudiziario; che non esiste un modo concordato a livello internazionale per rispondere a un attacco informatico di uno Stato nei confronti di un altro Stato, né è chiaro se ciò possa essere considerato un casus belli;

O.

considerando che l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) sta fungendo da mediatore tra gli Stati membri per promuovere lo scambio di buone pratiche nel campo della sicurezza informatica, formulando raccomandazioni su come elaborare, attuare e mantenere una strategia per la sicurezza informatica; che l'ENISA sostiene le strategie nazionali in materia di sicurezza informatica, i piani di emergenza nazionali, organizzando esercitazioni paneuropee e internazionali per la protezione delle infrastrutture critiche informatizzate (CIIP), nonché l'elaborazione di scenari per le esercitazioni nazionali;

P.

considerando che, nel giugno 2012, solo dieci Stati membri dell'UE avevano adottato ufficialmente una strategia nazionale in materia di sicurezza informatica;

Q.

considerando che la difesa informatica rappresenta una delle massime priorità per l'Agenzia europea per la difesa (AED), che ha costituito, nel quadro del piano di sviluppo delle capacità, un gruppo di progetto sulla sicurezza informatica in cui la maggior parte degli Stati membri collabora per raccogliere le esperienze e formulare raccomandazioni;

R.

considerando che gli investimenti in ricerca e sviluppo nel settore della sicurezza e della difesa informatica sono fondamentali per migliorare e mantenere un livello elevato di sicurezza e difesa informatica; che la percentuale di spesa per la difesa destinata alla ricerca e allo sviluppo è diminuita, invece di aumentare raggiungendo, come concordato, il 2 % della spesa complessiva per la difesa;

S.

considerando che la sensibilizzazione e l'educazione dei cittadini in relazione alla sicurezza informatica dovrebbero rappresentare il fondamento di qualsiasi strategia globale in materia di sicurezza informatica;

T.

considerando che occorre definire un equilibrio chiaro tra le misure di sicurezza e i diritti dei cittadini a norma del TFUE, quali il diritto alla tutela della vita privata, alla protezione dei dati e alla libertà di espressione, e che nessuno deve essere sacrificato in nome dell'altro;

U.

considerando che si rende sempre più necessario rispettare e proteggere meglio il diritto dei cittadini alla tutela della vita privata, come stabilito nella Carta dell'UE e all'articolo 16 del TFUE; che la necessità di proteggere e difendere il ciberspazio a livello nazionale per le istituzioni e gli organi di difesa, pur essendo importante, non deve mai servire da pretesto per limitare in alcun modo i diritti e le libertà nel ciberspazio e nello spazio informatico;

V.

considerando che la natura globale e senza confini di Internet richiede nuove forme di cooperazione e governance internazionale con molteplici soggetti interessati;

W.

considerando che i governi ricorrono sempre più spesso ad attori privati per la sicurezza delle loro infrastrutture critiche;

X.

considerando che il Servizio europeo per l'azione esterna (SEAE) non ha ancora preso l'iniziativa di introdurre la dimensione della sicurezza informatica nelle sue relazioni con i paesi terzi;

Y.

considerando che lo strumento per la stabilità rappresenta, finora, l'unico programma dell'UE progettato per rispondere alle emergenze o alle sfide globali/transregionali in materia di sicurezza, ivi comprese le minacce alla sicurezza informatica;

Z.

considerando che una risposta congiunta alle minacce alla sicurezza informatica, attraverso il gruppo di lavoro UE-USA sulla sicurezza informatica e la criminalità informatica, rappresenta una delle priorità nelle relazioni tra l'UE e gli Stati Uniti;

Azioni e coordinamento nell'UE

1.

osserva che le minacce e gli attacchi informatici nei confronti di organismi governativi, amministrativi, militari e internazionali rappresentano un pericolo e un fenomeno in rapida espansione sia nell'UE sia a livello globale; osserva inoltre che il fatto che attori statali e non statali, in particolare le organizzazioni terroristiche e criminali, siano in grado di attaccare le strutture e le infrastrutture critiche di informazione e comunicazione delle istituzioni e degli Stati membri dell'UE arrecandovi notevoli danni, tra cui effetti cinetici, rappresenta un'importante fonte di preoccupazione;

2.

sottolinea, pertanto, la necessità di definire a livello di UE un approccio globale e coordinato a tali sfide, elaborando una strategia globale dell'UE in materia di sicurezza informatica che preveda una definizione comune di sicurezza e difesa informatica e degli elementi che costituiscono un attacco informatico alla difesa, come pure una visione operativa comune, e che tenga in considerazione il valore aggiunto delle agenzie e degli organismi già istituiti nonché le buone pratiche adottate dagli Stati membri che già dispongono di strategie nazionali in materia di sicurezza informatica; sottolinea che è di fondamentale importanza attuare un coordinamento e creare sinergie a livello di Unione per contribuire a combinare le diverse iniziative, i diversi programmi e le diverse attività militari e civili; sottolinea che una tale strategia dovrebbe garantire flessibilità ed essere aggiornata regolarmente per adattarsi ai rapidi mutamenti del ciberspazio;

3.

esorta la Commissione e l'alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza a prendere in considerazione l'eventualità di un grave attacco informatico ai danni di uno Stato membro nella loro prossima proposta sulle modalità di attuazione della clausola di solidarietà (articolo 222 del TFUE); è inoltre del parere che gli attacchi informatici che minano la sicurezza nazionale, pur necessitando ancora di una definizione terminologica comune, possano essere oggetto della clausola della difesa reciproca (articolo 42, paragrafo 7, del TUE), fatto salvo il principio di proporzionalità;

4.

sottolinea che la PSDC deve garantire che le forze impegnate in operazioni militari e missioni civili dell'UE siano protette dagli attacchi informatici; sottolinea che la difesa informatica dovrebbe diventare una capacità attiva della PSDC;

5.

pone l'accento sul fatto che tutte le politiche in materia di sicurezza informatica dell'UE dovrebbero essere basate sulla garanzia della massima protezione e salvaguardia delle libertà digitali e del rispetto dei diritti umani on-line e dovrebbero essere elaborate a tale scopo; ritiene che Internet e le TIC vadano integrati nelle politiche estere e di sicurezza dell'UE al fine di proseguire tale sforzo;

6.

invita la Commissione e il Consiglio a riconoscere inequivocabilmente le libertà digitali come diritti fondamentali e presupposti essenziali per il godimento dei diritti umani universali; sottolinea che gli Stati membri dovrebbero mirare a non compromettere mai i diritti e le libertà dei propri cittadini all'atto di formulare le proprie risposte alle minacce e agli attacchi informatici e dovrebbero prevedere adeguate differenze legislative per gli incidenti informatici a livello civile e quelli a livello militare; chiede di usare cautela nell'applicare le restrizioni alla capacità dei cittadini di utilizzare gli strumenti delle tecnologie dell'informazione e della comunicazione;

7.

invita il Consiglio e la Commissione, insieme agli Stati membri, a elaborare un Libro bianco sulla difesa informatica, che formuli definizioni e criteri chiari per suddividere i livelli di attacchi informatici nella sfera civile e militare, sulla base della loro motivazione e degli effetti nonché dei livelli di reazione, compresi la ricerca, l'individuazione e il perseguimento degli autori dei reati;

8.

individua la chiara necessità di aggiornare la strategia europea in materia di sicurezza al fine di individuare e trovare modalità per perseguire e condannare gli autori degli attacchi informatici indipendenti, collegati a una rete o sostenuti da uno Stato;

Livello UE

9.

sottolinea l'importanza di una cooperazione e di un coordinamento orizzontali nel campo della sicurezza informatica, all'interno e tra le istituzioni e le agenzie dell'UE;

10.

sottolinea che le nuove tecnologie mettono in discussione il modo in cui i governi svolgono i principali compiti tradizionali; ribadisce che le politiche in materia di difesa e sicurezza, compreso l'adeguato controllo democratico, spettano, in ultima analisi, al governo; prende atto del ruolo sempre più importante degli attori privati nello svolgimento di attività di sicurezza e difesa, spesso in mancanza di trasparenza, responsabilità o meccanismi di controllo democratico;

11.

sottolinea che i governi devono rispettare i principi fondamentali del diritto pubblico e umanitario internazionale, come il rispetto della sovranità dello Stato e dei diritti umani, quando utilizzano nuove tecnologie nell'ambito delle politiche di sicurezza e difesa; evidenzia la preziosa esperienza di Stati membri dell'UE, come ad esempio l'Estonia, nella definizione ed elaborazione di politiche in materia di sicurezza informatica e della difesa informatica;

12.

riconosce la necessità di valutare quale sia il livello generale degli attacchi informatici contro i sistemi e le infrastrutture informatizzati dell'UE; sottolinea, in tale contesto, la necessità di valutare costantemente quanto le istituzioni dell'UE siano preparate ad affrontare un eventuale attacco informatico; insiste in particolare sull'esigenza di rafforzare le infrastrutture critiche informatizzate;

13.

sottolinea altresì la necessità di fornire informazioni su vulnerabilità, allarmi e avvisi di nuove minacce ai sistemi di informazione;

14.

osserva che i recenti attacchi informatici contro le reti di informazione europee e i sistemi di informazione governativi hanno causato danni considerevoli in termini economici e di sicurezza, la cui portata non è stata adeguatamente stimata;

15.

invita ogni istituzione dell'Unione a elaborare al più presto le sue strategie in materia di sicurezza informatica e i piani di emergenza per quanto concerne i suoi sistemi;

16.

invita tutte le istituzioni dell'UE a contemplare, nell'analisi del rischio e nei piani di gestione delle crisi, la questione della gestione delle crisi informatiche; invita inoltre tutte le istituzioni dell'UE a offrire una formazione volta a sensibilizzare tutto il personale in merito alla sicurezza informatica; raccomanda di condurre una volta l'anno delle esercitazioni informatiche, analogamente a quanto avviene per le esercitazioni di emergenza;

17.

sottolinea l'importanza di sviluppare in modo efficiente il Computer Emergency Response Team (squadra di pronto intervento informatico) dell'UE (CERT UE) e i CERT nazionali, nonché di elaborare piani di emergenza nazionali, nel caso debbano essere intraprese delle azioni; accoglie con favore il fatto che, entro maggio 2012, tutti gli Stati membri dell'UE abbiano istituito i CERT nazionali; esorta a sviluppare ulteriormente CERT nazionali e un CERT dell'UE che siano in grado, all'occorrenza, di entrare in azione entro 24 ore; sottolinea la necessità di valutare se in tale ambito sia possibile avviare partenariati pubblico-privato;

18.

riconosce che «Cyber Europe 2010», la prima esercitazione paneuropea per la protezione delle infrastrutture critiche informatizzate, che ha visto il coinvolgimento di vari Stati membri ed è stata guidata dall'ENISA, si è dimostrata un'iniziativa utile e un esempio di buona pratica; sottolinea inoltre la necessità di creare quanto prima una rete informativa di allarme sulle infrastrutture critiche a livello europeo;

19.

sottolinea l'importanza di esercitazioni paneuropee per prepararsi a incidenti di ampia portata che incidono sulla sicurezza delle reti e della definizione di un'unica serie di criteri per valutare la minaccia;

20.

invita la Commissione a valutare la necessità e la fattibilità di un Ufficio di coordinamento informatico dell'UE;

21.

ritiene che, dato l'elevato livello di competenze necessario sia per difendere adeguatamente i sistemi e le infrastrutture informatici sia per attaccarli, sia opportuno vagliare la possibilità di elaborare una strategia «white hat» tra Commissione, Consiglio e Stati membri; osserva che la possibilità di una «fuga di cervelli» in questi casi è elevata e che, in particolare, i minori condannati per aver commesso tali attacchi hanno grandi potenzialità di riabilitazione e integrazione in agenzie e organismi di difesa;

Agenzia europea per la difesa (AED)

22.

plaude alle iniziative e ai progetti condotti di recente nel campo della difesa informatica, in particolare per quanto concerne la raccolta e la mappatura dei dati, delle sfide e delle esigenze pertinenti riguardanti la sicurezza e la difesa informatica ed esorta gli Stati membri a cooperare maggiormente, anche a livello militare, con l'AED su questioni relative alla difesa informatica;

23.

sottolinea l'importanza, per gli Stati membri, di collaborare strettamente con l'AED per lo sviluppo delle loro capacità nazionali di difesa informatica; ritiene che creare sinergie, mettere in comune e condividere le risorse in tutta l'UE sia fondamentale per assicurare una difesa informatica efficace a livello europeo e nazionale;

24.

esorta l'AED ad approfondire la propria cooperazione con la NATO, con i centri di eccellenza nazionali e internazionali, con il centro europeo per la lotta alla criminalità informatica presso Europol, che permette di avere reazioni più rapide in caso di attacchi informatici e, in particolare, con il Centro di eccellenza per la ciberdifesa cooperativa (CCDCOE), nonché a concentrarsi sullo sviluppo delle capacità, sulla formazione e sullo scambio di informazioni e di pratiche;

25.

osserva con preoccupazione che solo uno Stato membro ha conseguito l'obiettivo di destinare il 2 % della spesa alla ricerca e allo sviluppo nel settore della difesa entro il 2010 e che nello stesso anno cinque Stati membri non hanno speso nulla in ricerca e sviluppo; esorta l'AED, unitamente agli Stati membri, a condividere le risorse e a investire effettivamente nella ricerca e nello sviluppo condotti in collaborazione, prestando particolare attenzione alla sicurezza e alla difesa informatica;

Stati membri

26.

invita tutti gli Stati membri a elaborare e ultimare senza indugio le rispettive strategie nazionali in materia di sicurezza e difesa informatica e a garantire un solido contesto decisionale e normativo, procedure complete di gestione dei rischi e misure e meccanismi preparatori adeguati; invita l'ENISA ad assistere gli Stati membri in tal senso; esprime il proprio sostegno all'ENISA per la redazione di una Guida alle buone pratiche, che riunisca buone pratiche e raccomandazioni su come elaborare, attuare e mantenere una strategia in materia di sicurezza informatica;

27.

esorta gli Stati membri a istituire, all'interno delle loro strutture militari, unità preposte alla sicurezza e alla difesa informatica, al fine di cooperare con simili organismi in altri Stati membri dell'UE;

28.

esorta gli Stati membri a istituire a livello regionale tribunali specializzati volti a garantire che gli attacchi ai sistemi informatici siano puniti con maggiore efficacia; insiste sulla necessità di promuovere un adeguamento delle legislazioni nazionali, onde consentire che si adattino agli sviluppi delle tecnologie e degli usi;

29.

invita la Commissione a continuare a lavorare a un approccio coerente ed efficiente a livello europeo per evitare una duplicazione delle iniziative, incoraggiando e appoggiando gli sforzi profusi dagli Stati membri per sviluppare meccanismi di cooperazione e per rafforzare lo scambio di informazioni; è del parere che occorra stabilire tra gli Stati membri un livello minimo obbligatorio per la cooperazione e la condivisione;

30.

chiede agli Stati membri di elaborare piani di emergenza nazionali e di contemplare, nei piani di gestione delle crisi e nell'analisi del rischio, la gestione delle crisi informatiche; sottolinea nuovamente l'importanza di offrire a tutto il personale degli enti pubblici una formazione adeguata in merito agli aspetti fondamentali della sicurezza informatica e, in particolare, di offrire una formazione adeguata ai membri delle istituzioni giudiziarie e di sicurezza all'interno degli istituti di formazione; invita l'ENISA e gli altri organismi competenti ad assistere gli Stati membri nel garantire che le risorse siano messe in comune e condivise e nell'evitare eventuali duplicazioni;

31.

esorta gli Stati membri a fare di ricerca e sviluppo uno dei pilastri fondamentali della sicurezza e della difesa informatica e a promuovere la formazione di ingegneri specializzati nella protezione dei sistemi informatici; invita gli Stati membri a rispettare l'impegno di portare la percentuale di spesa per la difesa destinata alla ricerca e allo sviluppo ad almeno il 2 %, ponendo l'accento in particolare sulla sicurezza e sulla difesa informatica;

32.

invita la Commissione e gli Stati membri a elaborare programmi volti a promuovere, in genere, un uso sicuro di Internet, dei sistemi di informazione e delle tecnologie di comunicazione e ad aumentare il livello di sensibilizzazione a tale proposito tra gli utenti privati e quelli commerciali; raccomanda, in questo contesto, che la Commissione lanci un'iniziativa pubblica paneuropea di istruzione e invita gli Stati membri a includere l'istruzione in materia di sicurezza informatica nei programmi scolastici fin dalla più giovane età;

Cooperazione pubblico-privato

33.

sottolinea il ruolo fondamentale svolto da una cooperazione significativa e complementare in materia di sicurezza informatica tra le autorità pubbliche e il settore privato, a livello sia di UE sia nazionale, con l'intento di creare fiducia reciproca; è consapevole che migliorare ulteriormente l'affidabilità e l'efficienza delle istituzioni pubbliche competenti contribuirà a creare fiducia e a condividere informazioni critiche;

34.

invita i partner del settore privato a prendere in considerazione soluzioni progettate per garantire la sicurezza in sede di sviluppo di nuovi prodotti, dispositivi, servizi e applicazioni, nonché incentivi per coloro che progettano nuovi prodotti, dispositivi, servizi e applicazioni incentrati sulla sicurezza sin dalla progettazione; chiede che, nell'ambito della cooperazione con il settore privato finalizzata alla prevenzione degli attacchi informatici e alla lotta contro di essi, siano stabiliti meccanismi di responsabilità e norme minime di trasparenza;

35.

pone l'accento sul fatto che la protezione delle infrastrutture critiche informatizzate è inclusa nella strategia di sicurezza interna dell'UE nel quadro dell'innalzamento dei livelli di sicurezza per i cittadini e le imprese nel ciberspazio;

36.

chiede l'instaurazione di un dialogo permanente con questi partner sul miglior uso possibile e sulla resilienza dei sistemi d'informazione, nonché sulla condivisione delle responsabilità necessaria per un funzionamento sicuro e adeguato di tali sistemi;

37.

ritiene che gli Stati membri, le istituzioni dell'UE e il settore privato, in collaborazione con l'ENISA, debbano adottare misure volte ad aumentare la sicurezza e l'integrità dei sistemi di informazione nonché a prevenire gli attacchi e a ridurre al minimo il loro impatto; appoggia gli sforzi profusi dalla Commissione per proporre delle norme minime in materia di sicurezza informatica e sistemi di certificazione per le imprese, nonché per fornire i giusti incentivi al fine di stimolare gli sforzi del settore privato tesi al miglioramento della sicurezza;

38.

invita la Commissione e i governi degli Stati membri a esortare gli attori del settore privato e della società civile a contemplare, nei piani di gestione delle crisi e nell'analisi del rischio, la gestione delle crisi informatiche; chiede, inoltre, che sia introdotta una formazione volta a sensibilizzare tutti i membri del personale sugli aspetti fondamentali della sicurezza e dell'igiene informatica;

39.

invita la Commissione a sviluppare, in collaborazione con gli Stati membri e con le agenzie e gli organismi competenti, quadri e strumenti volti a creare un sistema per uno scambio rapido delle informazioni che assicuri l'anonimato per le denunce di incidenti informatici da parte del settore privato, consenta agli attori del settore pubblico di essere costantemente aggiornati e offra assistenza ove necessario;

40.

sottolinea la necessità che l'Unione favorisca lo sviluppo al suo interno di un mercato competitivo e innovativo per la sicurezza informatica onde consentire alle PMI di operare più agevolmente in questo settore, cosa che contribuirà alla crescita economica e alla creazione di nuovi posti di lavoro;

Cooperazione internazionale

41.

invita il SEAE ad adottare un approccio propositivo nei confronti della sicurezza informatica e a integrare la dimensione della sicurezza informatica in tutte le sue azioni, in particolare in relazione ai paesi terzi; chiede che siano accelerati la cooperazione e lo scambio di informazioni con i paesi terzi su come affrontare i problemi legati alla sicurezza informatica;

42.

sottolinea che la realizzazione di una strategia globale dell'UE in materia di sicurezza informatica costituisce una condizione imprescindibile per avviare quella cooperazione internazionale efficiente in materia di sicurezza informatica che è resa necessaria dalla natura transfrontaliera delle minacce informatiche;

43.

invita gli Stati membri che non lo avessero ancora fatto a firmare o ratificare senza indugio la Convenzione del Consiglio d'Europa sulla criminalità informatica (Convenzione di Budapest); appoggia gli sforzi profusi dalla Commissione e dal SEAE per promuovere la Convenzione e i suoi valori presso i paesi terzi;

44.

è consapevole della necessità di dare alle minacce informatiche una risposta coordinata e concordata a livello internazionale; invita pertanto la Commissione, il SEAE e gli Stati membri a svolgere un ruolo guida in seno a tutti i consessi, e soprattutto nell'ambito delle Nazioni Unite, impegnandosi per raggiungere una più ampia cooperazione internazionale e un accordo definitivo per la definizione di un'interpretazione comune delle norme di condotta da seguire nel ciberspazio, nonché a promuovere la cooperazione al fine di elaborare accordi sul controllo delle armi informatiche;

45.

incoraggia gli scambi di conoscenze nel settore della sicurezza informatica con i paesi BRICS e con le altre economie emergenti, al fine di esaminare le possibili risposte comuni alla criminalità informatica, agli attacchi e alle minacce informatici in continuo aumento, ai livelli sia civile che militare;

46.

esorta il SEAE e la Commissione ad assumere un approccio proattivo in seno ai consessi e alle organizzazioni internazionali pertinenti, segnatamente l'ONU, l'OSCE, l'OCSE e la Banca mondiale, al fine di dare applicazione al diritto internazionale vigente e di giungere a un consenso sulle norme che definiscono un comportamento responsabile da parte degli Stati in materia di sicurezza e difesa informatica, coordinando le posizioni degli Stati membri per promuovere i valori e le politiche fondamentali dell'UE nell'ambito della sicurezza e della difesa informatica;

47.

invita il Consiglio e la Commissione, nell'ambito dei dialoghi, delle relazioni e degli accordi di cooperazione con i paesi terzi, in particolare quelli che prevedono la cooperazione o lo scambio in campo tecnologico, a insistere sulla definizione di requisiti minimi per la prevenzione e la lotta alla criminalità informatica e agli attacchi informatici, nonché di norme minime in materia di sicurezza dei sistemi di informazione;

48.

invita la Commissione, ove necessario, ad agevolare e appoggiare gli sforzi profusi dai paesi terzi allo scopo di sviluppare le loro capacità in materia di sicurezza e difesa informatica;

Cooperazione con la NATO

49.

ribadisce che, in ragione dei valori e degli interessi strategici che condividono, l'UE e la NATO hanno una particolare responsabilità e capacità nell'affrontare le crescenti sfide alla sicurezza informatica in modo più efficiente e in stretta collaborazione, cercando eventuali complementarità, senza duplicazioni e nel rispetto delle rispettive responsabilità;

50.

sottolinea, in considerazione della natura complementare dell'approccio dell'UE e della NATO alla sicurezza e alla difesa informatica, la necessità di mettere in comune e condividere le risorse a livello pratico; mette in rilievo la necessità di un coordinamento più stretto, in particolare per quanto riguarda la pianificazione, la tecnologia, la formazione e le attrezzature relative alla sicurezza e alla difesa informatica;

51.

esorta tutti gli organismi competenti dell'UE che si occupano di sicurezza e difesa informatica ad approfondire la cooperazione con la NATO a livello pratico, a partire dalle attività complementari attualmente in atto per lo sviluppo delle capacità di difesa, al fine di scambiare le esperienze e imparare come rafforzare la resilienza dei sistemi dell'UE;

Cooperazione con gli Stati Uniti

52.

ritiene che l'UE e gli Stati Uniti debbano approfondire la loro cooperazione volta a contrastare gli attacchi informatici e la criminalità informatica, giacché questa era stata riconosciuta come una delle priorità nelle relazioni transatlantiche a seguito del vertice UE-USA tenutosi a Lisbona nel 2010;

53.

valuta positivamente la creazione, in occasione del vertice UE-USA del novembre 2010, del gruppo di lavoro UE-USA sulla sicurezza informatica e la criminalità informatica e sostiene i suoi sforzi volti a includere le questioni concernenti la sicurezza informatica nel dialogo politico transatlantico;

54.

accoglie con favore la creazione congiunta da parte della Commissione e del governo degli Stati Uniti, sotto l'egida del gruppo di lavoro UE-USA, di un programma e una tabella di marcia comuni relativi all'organizzazione nel 2012/2013 di esercitazioni transcontinentali comuni/sincronizzate nel settore della sicurezza informatica; prende atto della prima esercitazione informatica atlantica condotta nel 2011;

55.

sottolinea la necessità che sia gli Stati Uniti sia l'Unione europea, in quanto principali fonti di ciberspazio e utenti, collaborino per tutelare i diritti e le libertà dei loro cittadini di utilizzare tale spazio; sottolinea che, sebbene la sicurezza nazionale sia un obiettivo di massima importanza, occorre garantire la sicurezza nonché la protezione del ciberspazio;

o

o o

56.

incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione, al VP/AR, all'AED, all'ENISA e alla NATO.


(1)  GU L 345 del 23.12.2008, pag. 75.

(2)  GU C 349 E del 22.12.2010, pag. 63.

(3)  Testi approvati, P7_TA(2011)0228.

(4)  Testi approvati, P7_TA(2012)0207.

(5)  Testi approvati, P7_TA(2011)0406.

(6)  Testi approvati, P7_TA(2012)0237.

(7)  http://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session20/Pages/ResDecStat.aspx.


Top