28.6.2018

IT

Gazzetta ufficiale dell’Unione europea

C 227/86

---

Parere del Comitato economico e sociale europeo riguardo la «Proposta di regolamento del Parlamento europeo e del Consiglio relativo all’ENISA, l’“Agenzia dell’Unione europea per la cibersicurezza”, che abroga il regolamento (UE) n. 526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione (“regolamento sulla cibersicurezza”)»

[COM(2017) 477 final — 2017/0225 (COD)]

(2018/C 227/13)

Relatore:	Alberto MAZZOLA
Correlatore:	Antonio LONGO

Consultazione	Parlamento europeo, 23 ottobre 2017 Consiglio dell’Unione europea, 25 ottobre 2017
Base giuridica	Articolo 114 del trattato sul funzionamento dell’Unione europea
Sezione competente	Trasporti, energia, infrastrutture, società dell’informazione
Adozione in sezione	05 febbraio 2018
Adozione in sessione plenaria	14 febbraio 2018
Sessione plenaria n.	532
Esito della votazione (favorevoli/contrari/astenuti)	206/1/2

1.   Conclusioni e raccomandazioni

1.1.

Il CESE ritiene che il nuovo mandato permanente dell’ENISA (l’Agenzia europea per la sicurezza delle reti e dell’informazione) proposto dalla Commissione contribuirà in modo significativo a rafforzare la resilienza dei sistemi europei. Tuttavia, il relativo bilancio di previsione e le risorse assegnate all’ENISA non saranno sufficienti per consentire all’agenzia di svolgere il suo mandato.

1.2.

Il CESE raccomanda a tutti gli Stati membri di istituire un omologo chiaro ed equivalente dell’ENISA, in quanto la maggior parte di essi non ha ancora provveduto a farlo.

1.3.

Il CESE ritiene inoltre che, in termini di rafforzamento delle capacità, l’ENISA dovrebbe privilegiare le azioni volte a sostenere la pubblica amministrazione elettronica (e-government) (1). L’identità digitale, a livello di UE e mondiale, per le persone, le organizzazioni e gli oggetti è fondamentale, e la prevenzione e il contrasto del furto di identità e della frode online dovrebbero essere delle priorità.

1.4.

Il CESE raccomanda che l’ENISA fornisca relazioni periodiche sul grado di preparazione (cyber-readiness) degli Stati membri, concentrandosi in primo luogo su settori identificati nell’allegato II della direttiva NIS. Occorrerebbe verificare, mediante un’esercitazione informatica europea annuale, la preparazione degli Stati membri e l’efficacia del meccanismo europeo di risposta alle crisi informatiche, e su tale base formulare delle raccomandazioni.

1.5.

Il CESE appoggia la proposta di creare una rete di competenze in materia di cibersicurezza che sarebbe sostenuta da un Centro di ricerca e competenza sulla cibersicurezza (Cybersecurity Research and Competence Centre — CRCC). Tale rete potrebbe sostenere la sovranità digitale dell’Europa sviluppando una base industriale europea competitiva per le capacità tecnologiche essenziali, fondata sul lavoro realizzato dal partenariato pubblico-privato contrattuale (cPPP), il quale dovrebbe trasformarsi in un’impresa comune tripartita.

1.6.

Il fattore umano costituisce una delle principali cause di incidente informatico. Il CESE ritiene che occorra creare una solida base di competenze in materia di cibersicurezza e migliorare l’igiene informatica anche attraverso campagne di sensibilizzazione dei cittadini e delle imprese. Il CESE sostiene la creazione di un programma di studi, certificato dall’UE, per la scuola secondaria e per i professionisti.

1.7.

Il CESE reputa che un mercato unico digitale europeo richieda anche un’interpretazione omogenea delle norme in materia di cibersicurezza, compreso un riconoscimento reciproco tra Stati membri, e che un quadro e sistemi di certificazione per i diversi settori potrebbero fornire una base comune. Vanno però messi a punto approcci differenti da seguire in ognuno di questi, per via del loro diverso modo di funzionare. Il CESE ritiene pertanto che in tale processo occorra coinvolgere le agenzie settoriali dell’UE (EASA, ERA, EMA ecc.) e, in alcuni casi, con l’accordo dell’ENISA per garantire la coerenza, delegare loro l’elaborazione di sistemi di cibersicurezza. In cooperazione con CEN, Cenelec ed ETSI dovrebbero essere adottati standard minimi europei per la cibersicurezza.

1.8.

Il previsto gruppo europeo per la certificazione della cibersicurezza, sostenuto dall’ENISA, dovrebbe essere costituito da autorità nazionali di controllo della certificazione, soggetti del settore privato, in particolare operatori di diverse applicazioni, e rappresentanti della comunità scientifica e della società civile.

1.9.

Il CESE ritiene che l’Agenzia dovrebbe vigilare, per conto della Commissione, sul funzionamento e sui processi decisionali delle autorità nazionali di controllo della certificazione attraverso audit e ispezioni, e che le responsabilità e le sanzioni in caso di mancato rispetto delle norme dovrebbero essere definite nel regolamento.

1.10.

Il CESE ritiene che le attività di certificazione non possano escludere un adeguato sistema di etichettatura, da applicare anche ai prodotti importati, finalizzato a rafforzare la fiducia dei consumatori.

1.11.

L’Europa dovrebbe accrescere gli investimenti e far convergere differenti fondi dell’UE, fondi nazionali e investimenti del settore privato verso gli obiettivi strategici, nel quadro di una forte cooperazione tra settore pubblico e settore privato, anche attraverso la creazione, nell’ambito del programma quadro attuale e futuro per la ricerca, di un Fondo UE per l’innovazione e la R&S in materia di cibersicurezza. Inoltre, l’Europa dovrebbe creare un fondo per la diffusione della cibersicurezza, aprendo una nuova finestra nell’attuale e nel futuro meccanismo per collegare l’Europa come pure nel prossimo FEIS 3.0.

1.12.

Il CESE ritiene che sia necessario garantire un livello minimo di sicurezza per i dispositivi «ordinari» dell’«Internet delle persone» (Internet of People). In questo caso, la certificazione è un metodo basilare per realizzare un livello di sicurezza più elevato. Per quanto riguarda l’Internet degli oggetti (Internet of Things), la sicurezza dovrebbe costituire una priorità.

2.   Quadro di riferimento attuale in materia di cibersicurezza

2.1.

La cibersicurezza è fondamentale sia per la prosperità e la sicurezza nazionale, che per il funzionamento stesso delle nostre democrazie, delle nostre libertà e dei nostri valori. «La cibersicurezza è un ecosistema in cui le leggi, le organizzazioni, le competenze, la cooperazione e l’attuazione tecnica devono essere in armonia per avere la massima efficacia», afferma il rapporto sul Global Cybersecurity Index delle Nazioni Unite, aggiungendo che la cibersicurezza acquista un peso sempre maggiore nelle riflessioni dei soggetti decisionali dei vari paesi.

2.2.

L’esigenza di un ecosistema sicuro è resa fondamentale dalla rivoluzione di Internet, una rivoluzione che, oltre a ridefinire i settori commerciali rivolti al consumatore (business-to-consumer o B2C), come quelli dei media, del commercio al dettaglio e dei servizi finanziari, sta anche trasformando il settore manifatturiero, energetico, agricolo, dei trasporti ed altri comparti economici, che generano complessivamente quasi due terzi del prodotto interno lordo, nonché le infrastrutture dei servizi di pubblica utilità e i rapporti tra cittadini e amministrazioni pubbliche.

2.3.

La strategia per il mercato unico digitale si fonda su un migliore accesso a beni, servizi e contenuti, sulla creazione di un quadro giuridico appropriato per le reti e i servizi digitali e sullo sfruttamento dei vantaggi di un’economia basata sui dati. È stato stimato che detta strategia potrebbe contribuire all’economia dell’UE nella misura di 415 miliardi di EUR all’anno. Si prevede che nel 2022 il deficit di competenze in materia di cibersicurezza tra i professionisti che operano nel settore privato in Europa raggiungerà le 350 000 unità (2).

2.4.

Uno studio del 2014 stimava che nel 2013 l’impatto economico della criminalità informatica nell’Unione era stato pari allo 0,41 % del PIL dell’UE (ossia circa 55 miliardi di EUR) (3).

2.5.

Dall’indagine di Special Eurobarometer 464a sul modo in cui i cittadini europei si pongono nei confronti della cibersicurezza risulta che il 73 % degli utenti di Internet teme che i siti Internet potrebbero non custodire in modo sicuro i loro dati personali online, e il 65 % teme che le autorità pubbliche potrebbero non custodirli in modo sicuro. La maggior parte dei rispondenti teme di essere vittima di varie forme di criminalità informatica, specialmente software malevoli (malware) introdotti nei loro dispositivi (69 %), furto di identità (69 %) e frodi attraverso carte bancarie e operazioni bancarie online (66 %) (4).

2.6.

Finora nessun quadro giuridico è stato in grado di tenere il passo con l’innovazione digitale, e diversi testi giuridici stanno contribuendo, uno alla volta, a formare un quadro di riferimento appropriato: la revisione del codice delle telecomunicazioni, il regolamento generale sulla protezione dei dati (GDPR), la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), il regolamento in materia d’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (regolamento e-IDAS), lo scudo UE-USA per la privacy, la direttiva sulle frodi con mezzi di pagamento diversi dai contanti ecc.

2.7.

Oltre all’ENISA, l’«Agenzia dell’Unione europea per la cibersicurezza», vi sono numerose altre organizzazioni che si occupano di cibersicurezza: Europol; la squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell’Unione (CERT-UE); il centro dell’UE di analisi dell’intelligence (EU INTCEN); l’agenzia europea per la gestione operativa dei sistemi di tecnologia dell’informazione su larga scala del settore della libertà, della sicurezza e della giustizia (eu-LISA); i centri di condivisione e di analisi delle informazioni (ISAC); l’organizzazione europea per la cibersicurezza (ECSO); l’agenzia europea per la difesa (AED); il centro di eccellenza per la ciberdifesa cooperativa della NATO; e il gruppo di esperti governativi delle Nazioni Unite sugli sviluppi nel settore dell’informazione e delle telecomunicazioni nel contesto della sicurezza internazionale (UN GGE).

2.8.

La sicurezza sin dalla progettazione è essenziale per garantire beni e servizi di qualità: i dispositivi intelligenti non sono poi così intelligenti se non sono sicuri, e altrettanto vale per le auto, le città e gli ospedali intelligenti, che richiedono tutti una sicurezza integrata per i dispositivi, i sistemi, l’architettura e i servizi.

2.9.

Nella sua riunione del 19 e 20 ottobre 2017, il Consiglio europeo ha sollecitato l’adozione di un approccio comune alla cibersicurezza nell’UE in seguito al proposto pacchetto di riforma, chiedendo «un approccio comune in materia di cibersicurezza: il mondo digitale richiede fiducia, e questa può essere ottenuta solo se garantiamo una sicurezza maggiormente proattiva sin dalla progettazione in tutte le politiche digitali, forniamo certificazioni della sicurezza di prodotti e servizi e aumentiamo la nostra capacità di prevenire, dissuadere e individuare gli attacchi informatici e di rispondere ad essi» (5).

2.10.

Nella risoluzione del 17 maggio 2017, il Parlamento europeo «sottolinea la necessità della sicurezza da punto a punto in tutta la catena di valore dei servizi finanziari; sottolinea la vasta e diversificata gamma di rischi costituiti dagli attacchi informatici, che prendono di mira le nostre infrastrutture dei mercati finanziari, l’Internet degli oggetti, le nostre valute e i nostri dati; […] invita le autorità europee di vigilanza […] a riesaminare periodicamente le norme operative esistenti concernenti i rischi in materia di TIC degli istituti finanziari; chiede inoltre orientamenti dell’Autorità europea di vigilanza per quanto concerne la vigilanza» dei rischi di cibersicurezza per gli «Stati membri […]; sottolinea l’importanza del know-how tecnologico all’interno delle autorità europee di vigilanza» (6).

2.11.

Il CESE ha già avuto l’opportunità di affrontare la questione (7), in particolare al convegno sul tema Futuro sviluppo dell’e-government nell’UE (8), organizzato a margine del vertice di Tallinn, e ha istituito un gruppo di studio permanente sull’agenda digitale.

3.   Le proposte della Commissione

3.1.

Il pacchetto sulla cibersicurezza comprende una comunicazione congiunta sulla revisione della precedente strategia di cibersicurezza (2013), un regolamento sulla cibersicurezza, riguardante il nuovo mandato dell’ENISA (l’Agenzia europea per la sicurezza delle reti e dell’informazione) e la proposta di un quadro di certificazione.

3.2.

La strategia è strutturata in tre principali sezioni: resilienza, deterrenza e cooperazione internazionale. La sezione sulla deterrenza si concentra principalmente su questioni relative alla criminalità informatica, compresa la Convenzione di Budapest, mentre la sezione sulla cooperazione internazionale analizza la ciberdifesa, la ciberdiplomazia e la cooperazione con la NATO.

3.3.

La proposta prevede nuove iniziative quali: — il rafforzamento dell’agenzia dell’UE per la cibersicurezza (ENISA); — l’introduzione di un sistema di certificazione della cibersicurezza a livello di UE; — la rapida attuazione della direttiva NIS.

3.4.

La sezione relativa alla resilienza propone azioni in materia di cibersicurezza, riguardanti in particolare le questioni di mercato, la direttiva NIS, la risposta rapida alle emergenze, lo sviluppo delle competenze dell’UE, l’istruzione, la formazione (nel settore della cibersicurezza e dell’igiene informatica), e la sensibilizzazione.

3.5.

Parallelamente, il regolamento sulla cibersicurezza propone la creazione di un quadro dell’UE in materia di certificazione della cibersicurezza per i prodotti e i servizi TIC.

3.6.

Il regolamento sulla cibersicurezza propone anche un rafforzamento del ruolo dell’ENISA in quanto agenzia dell’UE per la sicurezza informatica, garantendole un mandato permanente. È previsto che l’ENISA, in aggiunta alle sue attuali responsabilità, assuma nuovi compiti di supporto e di coordinamento connessi al sostegno per l’applicazione della direttiva NIS, alla strategia dell’UE per la cibersicurezza, al programma di cibersicurezza dell’UE, al rafforzamento delle capacità, alle conoscenze, alle informazioni e alla sensibilizzazione, ai compiti relativi al mercato quali il sostegno per la normazione e la certificazione, alla ricerca e all’innovazione, alle esercitazioni paneuropee nel settore della cibersicurezza, e al segretariato della rete di gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT).

4.   Osservazioni generali — Sintesi

4.1.    Contesto: resilienza

4.1.1.   Mercato unico della cibersicurezza

Dovere di diligenza: la definizione del proposto principio del dovere di diligenza, menzionato nella comunicazione congiunta in relazione all’uso di processi del ciclo di sviluppo sicuri, rappresenta un concetto interessante da sviluppare con gli operatori del settore nell’UE, che potrebbe portare ad un approccio a vasto raggio in materia di conformità alla normativa dell’UE. Nell’evoluzione futura, la sicurezza «per default» è un aspetto che deve essere tenuto in considerazione.

Responsabilità: la certificazione potrà contribuire a una migliore individuazione della responsabilità in caso di contenzioso.

4.1.2.

Direttiva NIS: energia, trasporti, servizi bancari e finanziari, sanità, risorse idriche, infrastrutture digitali, commercio elettronico.

Per il CESE, la piena ed efficace attuazione della direttiva NIS è essenziale per garantire la resilienza dei settori critici a livello nazionale.

Il CESE ritiene che la condivisione di informazioni tra soggetti pubblici e privati dovrebbe essere rafforzata attraverso centri settoriali di condivisione e di analisi delle informazioni (ISAC). Occorrerebbe sviluppare, sulla base di una valutazione o analisi del meccanismo attualmente in uso, un meccanismo adeguato per condividere in modo sicuro informazioni affidabili all’interno di un ISAC o tra un CSIRT (gruppo di intervento per la cibersicurezza in caso di incidente) e un ISAC.

4.1.3.   Risposta rapida alle emergenze

L’approccio del «programma» offrirebbe un processo efficace per una risposta operativa, a livello di UE e di Stati membri, a un incidente di vasta portata. Il Comitato sottolinea l’esigenza di coinvolgere il settore privato e occorrerebbe anche tenere in considerazione gli operatori dei servizi essenziali nel meccanismo operativo di risposta, dato che potrebbero fornire informazioni utili sulle minacce e/o offrire sostegno nell’individuazione di minacce e di crisi di vaste proporzioni e nella relativa risposta.

La comunicazione congiunta propone di integrare gli incidenti informatici nei meccanismi dell’UE per la gestione delle crisi. Il CESE, pur comprendendo l’esigenza di una risposta collettiva e di solidarietà in caso di attacco, osserva che occorre una migliore comprensione di come ciò potrebbe essere messo in atto, dato che le minacce informatiche si propagano di solito attraverso vari paesi. Gli strumenti utilizzati nelle emergenze nazionali potrebbero essere condivisi solo in parte in caso di necessità locali.

4.1.4.   Sviluppo delle competenze dell’UE

Affinché l’UE sia realmente competitiva sulla scena mondiale e al fine di costruire una solida base tecnologica, è essenziale creare un quadro coerente e a lungo termine che comprenda tutte le fasi della catena di valore della cibersicurezza. A tal riguardo, promuovere la collaborazione tra gli ecosistemi regionali europei è cruciale per lo sviluppo di una catena di valore europea della cibersicurezza. Il CESE accoglie favorevolmente la proposta di creare una rete di competenze in materia di cibersicurezza.

Tale rete potrebbe sostenere la sovranità digitale europea sviluppando una base industriale europea competitiva e riducendo la dipendenza dalle competenze sviluppate al di fuori dell’UE per le capacità tecnologiche fondamentali, organizzare esercitazioni tecniche, seminari e anche formazioni di base in materia di igiene informatica, per professionisti e non professionisti, oltre a promuovere (sulla base del lavoro svolto dal partenariato pubblico-privato sulla cibersicurezza) la creazione di una rete di organizzazioni nazionali pubblico-private per sostenere lo sviluppo di un mercato europeo. «Far avanzare il partenariato pubblico-privato sulla cibersicurezza dovrebbe consentire di ottimizzare, adattare o espandere questo strumento» (Programma di lavoro del trio di presidenza EE-BG-AT in materia di cibersicurezza) attraverso la creazione di un’impresa comune tripartita (Commissione, Stati membri, imprese).

Per essere efficace e raggiungere i suoi obiettivi a livello europeo, detta rete dovrebbe basarsi su un sistema di governance ben definito.

Essa dovrebbe essere sostenuta da un Centro di ricerca e competenza sulla cibersicurezza (CRCC) a livello europeo, che colleghi i centri di competenza nazionali esistenti in tutta l’UE. Oltre a coordinare e a gestire la ricerca, come nel caso di altre imprese comuni, il CRCC consentirebbe l’effettivo sviluppo di un ecosistema europeo della cibersicurezza, che sosterrebbe l’attuazione e la diffusione dell’innovazione nell’UE.

4.2.    Contesto: deterrenza

4.2.1.

La lotta alla criminalità informatica è una priorità assoluta a livello nazionale ed europeo che richiede un forte impegno politico. Le attività di deterrenza dovrebbero essere svolte sulla base di un forte partenariato tra il settore pubblico e quello privato, istituendo un’efficace condivisione delle informazioni e creando competenze a livello sia nazionale che europeo. Si potrebbe prendere in considerazione la possibilità di estendere le attività di Europol in materia di informatica forense e di cibermonitoraggio.

4.3.    Contesto: cooperazione internazionale

4.3.1.

Per rafforzare la capacità dell’Europa di prevenire e scoraggiare attacchi informatici su vasta scala e di rispondervi è fondamentale instaurare e mantenere relazioni di cooperazione, basate sulla fiducia, con i paesi terzi, tramite la diplomazia informatica e i partenariati tra imprese. L’Europa dovrebbe intensificare la sua cooperazione con gli Stati Uniti, la Cina, Israele, l’India e il Giappone. Nell’ammodernare il controllo delle esportazioni dell’UE bisogna evitare violazioni dei diritti umani o l’uso improprio di tecnologie contro la sicurezza della stessa UE, ma si dovrebbe anche garantire che l’industria dell’UE non sia penalizzata rispetto alle offerte dei paesi terzi. Sarebbe opportuno prevedere una strategia ad hoc per i paesi in via di adesione al fine di preparare lo scambio transfrontaliero di dati sensibili, in particolare con la possibilità di partecipare, in qualità di osservatori, ad alcune attività dei paesi membri dell’ENISA. Questi ultimi dovrebbero essere classificati in base alla loro volontà di combattere la criminalità informatica e si potrebbe prendere in considerazione la definizione di una lista nera.

4.3.2.

Il CESE accoglie con favore l’introduzione della ciberdifesa nella prevista seconda fase di un eventuale futuro centro di competenza dell’UE in materia di cibersicurezza. Per questo motivo, nel frattempo l’Europa potrebbe guardare allo sviluppo di competenze a duplice uso, tra l’altro facendo leva sul Fondo europeo per la difesa e sulla prevista creazione, entro il 2018, di una piattaforma di formazione e istruzione in materia di ciberdifesa. Considerati il potenziale e le minacce riconosciuti sia dall’UE che dalla NATO, il CESE ritiene necessario intensificare la cooperazione tra le due organizzazioni, e anche l’industria europea dovrebbe seguire da vicino gli sviluppi di tale cooperazione per una maggiore interoperabilità degli standard in materia di cibersicurezza, e di altre forme di cooperazione nel quadro dell’approccio dell’UE alla ciberdifesa.

4.4.    Quadro di certificazione dell’UE

4.4.1.

Il CESE ritiene che l’Europa debba raccogliere la sfida della frammentazione nel campo della cibersicurezza attraverso un’interpretazione omogenea delle regole e un riconoscimento reciproco tra Stati membri in un quadro unificato, per facilitare la protezione del mercato unico digitale. Un quadro di certificazione potrebbe fornire una base comune (con normative specifiche a livelli più elevati, se necessario), garantendo così le sinergie fra settori verticali e riducendo l’attuale frammentazione.

4.4.2.

Il CESE si compiace della creazione, sulla base di requisiti adeguati e in cooperazione con le principali parti interessate, di un quadro dell’UE in materia di certificazione della cibersicurezza e di sistemi di certificazione per i diversi settori. Tuttavia i tempi di commercializzazione e i costi di certificazione, nonché la qualità e la sicurezza sono elementi fondamentali che devono essere presi in considerazione. L’istituzione di sistemi di certificazione serve ad accrescere il livello di sicurezza in base alle esigenze del momento e alla conoscenza attuale delle minacce. Tali sistemi dovrebbero però essere flessibili ed espandibili in modo da consentire gli aggiornamenti necessari. Vanno messi a punto approcci differenti da seguire nei diversi settori, che tengano conto dello specifico modo di funzionamento di ciascun settore. Il CESE ritiene pertanto che in tale processo occorra coinvolgere le agenzie settoriali dell’UE (EASA, EBA, ERA, EMA ecc.) e, in alcuni casi, con l’accordo dell’ENISA, onde evitare sovrapposizioni e mancanze di coerenza, delegare loro l’elaborazione di sistemi di cibersicurezza.

4.4.3.

Per il CESE è importante che il quadro di certificazione si basi su standard europei in materia di cibersicurezza e di TIC, definiti congiuntamente e, nella misura del possibile, riconosciuti a livello internazionale. Tenuto conto della tempistica e delle prerogative nazionali, gli standard minimi europei per la cibersicurezza dovrebbero essere adottati in cooperazione con CEN, Cenelec ed ETSI. Gli standard professionali andrebbero valutati favorevolmente, ma non dovrebbero essere giuridicamente vincolanti o ostacolare la concorrenza.

4.4.4.

C’è una chiara esigenza di associare le responsabilità ai diversi livelli di affidabilità sulla base dell’impatto delle minacce. L’apertura di un dialogo con le compagnie di assicurazione potrebbe favorire l’adozione di requisiti efficaci di cibersicurezza in base al settore di applicazione. A giudizio del CESE, le imprese che ricercano un «livello di affidabilità elevato» dovrebbe essere sostenute e incentivate, in particolare per i dispositivi e i sistemi di importanza vitale.

4.4.5.

Visto il tempo trascorso dall’adozione della direttiva 85/374/CEE (9) e alla luce degli attuali sviluppi tecnologici, il CESE invita la Commissione a valutare l’opportunità di includere nel campo di applicazione di tale direttiva alcuni degli scenari di cui alla proposta di regolamento in esame, al fine di rendere i prodotti più sicuri, con un elevato livello di protezione.

4.4.6.

Il CESE ritiene che il previsto gruppo europeo per la certificazione della cibersicurezza, sostenuto dall’ENISA, dovrebbe essere costituito da autorità nazionali di controllo della certificazione, soggetti del settore privato e operatori attivi in diversi campi di applicazione, per garantire lo sviluppo di sistemi globali di certificazione. Bisognerebbe inoltre perseguire, attraverso la nomina di esperti, la cooperazione tra questo gruppo e le associazioni settoriali rappresentative dell’UE e dello Spazio economico europeo (ad esempio, partenariato pubblico-privato sulla cibersicurezza, settore bancario, trasporti, energia, federazioni ecc.). Il gruppo dovrebbe essere in grado di esaminare i risultati europei in materia di certificazione (basati per lo più sull’accordo di riconoscimento reciproco del SOGIS [gruppo di alti funzionari competente in materia di sicurezza dei sistemi d’informazione] e su sistemi nazionali e proprietari) e perseguire la salvaguardia dei vantaggi concorrenziali europei.

4.4.7.

Il CESE propone che a questo gruppo di parti interessate venga data la responsabilità di preparare congiuntamente i sistemi di certificazione insieme alla Commissione europea. I requisiti settoriali dovrebbero essere definiti mediante accordo consensuale tra parti interessate pubbliche e private (utenti e fornitori).

4.4.8.

Inoltre, il gruppo dovrebbe riesaminare periodicamente i sistemi di certificazione, tenendo conto dei requisiti di ciascun settore, e se necessario adeguandoli.

4.4.9.

Il CESE è favorevole all’eliminazione graduale dei sistemi di certificazione nazionali in seguito all’introduzione di un sistema europeo, come previsto dall’articolo 49 della proposta di regolamento. Un mercato unico non può operare con norme nazionali diverse e in contrasto tra loro. A tal fine, il CESE propone di eseguire un censimento di tutti i sistemi nazionali.

4.4.10.

Il CESE propone alla Commissione di avviare un’azione volta a promuovere la certificazione e certificati in materia di cibersicurezza nell’UE e di sostenerne il riconoscimento in tutti gli accordi commerciali internazionali.

4.5.    ENISA

4.5.1.

Il CESE ritiene che il nuovo mandato permanente dell’ENISA proposto dalla Commissione contribuirà in modo significativo a rafforzare la resilienza dei sistemi europei. Tuttavia, il relativo bilancio di previsione e le risorse assegnate all’ENISA riformata potrebbero non essere sufficienti per permettere all’agenzia di svolgere il suo mandato.

4.5.2.

Il CESE incoraggia tutti gli Stati membri a istituire un omologo chiaro ed equivalente dell’ENISA, in quanto la maggior parte di essi non ha ancora provveduto a farlo. Dovrebbe essere promosso un programma strutturato per il distacco di esperti nazionali presso l’ENISA al fine di sostenere lo scambio di buone pratiche e rafforzare la fiducia. Il Comitato raccomanda inoltre alla Commissione di garantire la raccolta e la condivisione delle buone pratiche correnti e delle misure efficaci in vigore negli Stati membri.

4.5.3.

Il CESE ritiene inoltre che, in termini di rafforzamento delle capacità, l’ENISA dovrebbe privilegiare le azioni volte a sostenere la pubblica amministrazione elettronica (e-government) (10). L’identità digitale, a livello di UE e mondiale, per le persone, le organizzazioni, le imprese e gli oggetti è fondamentale, e la prevenzione e il contrasto del furto di identità e della frode online, come anche del furto di proprietà intellettuale e industriale, dovrebbero essere una priorità.

4.5.4.

L’ENISA dovrebbe inoltre fornire relazioni periodiche sul grado di preparazione (cyber-readiness) degli Stati membri, concentrandosi in primo luogo su settori identificati nell’allegato II della direttiva NIS. Occorrerebbe verificare, mediante un’esercitazione informatica europea annuale, la preparazione degli Stati membri e l’efficacia del meccanismo europeo di risposta alle crisi informatiche, e su tale base formulare delle raccomandazioni.

4.5.5.

Il CESE esprime preoccupazione per il fatto che le risorse sono troppo limitate in termini di cooperazione operativa, compresa la rete di gruppi di intervento per la sicurezza informatica.

4.5.6.

In termini di compiti connessi al mercato, il CESE ritiene che il rafforzamento della cooperazione con gli Stati membri e la creazione di una rete formale di agenzie per la cibersicurezza contribuirebbe a sostenere la cooperazione tra le parti interessate (11). I tempi di commercializzazione sono molto brevi e per le imprese dell’UE è cruciale poter competere in questo settore: l’ENISA dev’essere in grado di reagire in sintonia con questa esigenza. Il CESE ritiene che, al pari di altre agenzie dell’UE, l’ENISA potrebbe, in futuro, applicare un sistema di contributi e tariffe. Il CESE teme che la concorrenza per le competenze tra l’UE e le agenzie nazionali possa ritardare, come è avvenuto in altri settori, la corretta definizione del quadro normativo dell’UE, e danneggiare il mercato unico.

4.5.7.

Il CESE osserva che i compiti relativi alle attività di ricerca e innovazione e alla cooperazione internazionale sono attualmente minimi.

4.5.8.

Il CESE ritiene che la cibersicurezza dovrebbe essere un tema costante di discussione nelle riunioni periodiche congiunte delle agenzie del settore Giustizia e affari interni e che l’ENISA ed Europol dovrebbero collaborare regolarmente.

4.5.9.

Poiché il mondo informatico è molto innovativo, gli standard devono essere considerati attentamente, per evitare ostacoli all’innovazione, il che richiede un quadro di riferimento dinamico. Occorre garantire per quanto possibile la compatibilità ascendente e discendente, al fine di proteggere i cittadini e gli investimenti delle imprese.

4.5.10.

Data l’importanza delle autorità nazionali di controllo della certificazione, il CESE propone che il regolamento in esame istituisca fin da ora una rete formale di autorità abilitate a risolvere le questioni transfrontaliere con il sostegno dell’ENISA. La rete potrebbe successivamente trasformarsi in un’agenzia unica.

4.5.11.

La fiducia è fondamentale, ma l’ENISA non può adottare decisioni o pubblicare relazioni di audit. Il CESE ritiene che l’Agenzia dovrebbe vigilare, per conto della Commissione, sul funzionamento e sui processi decisionali delle autorità nazionali di controllo della certificazione attraverso audit e ispezioni.

4.5.12.

L’industria e le organizzazioni dei consumatori dovrebbero poter partecipare, in veste di osservatori, al consiglio di amministrazione dell’ENISA.

4.6.    Il settore, le PMI, il finanziamento, gli investimenti e i modelli aziendali innovativi

4.6.1.   Il settore e gli investimenti

Per rafforzare la competitività globale delle imprese dell’UE che operano nel settore delle TIC, le azioni devono essere finalizzate a favorire maggiormente la crescita e la competitività del settore delle TIC, e in particolare delle PMI.

L’Europa dovrebbe accrescere gli investimenti e far convergere differenti fondi dell’UE, fondi nazionali e investimenti del settore privato verso gli obiettivi strategici, nel quadro di una forte cooperazione tra settore pubblico e settore privato. La creazione, nell’ambito del programma quadro attuale e futuro per la ricerca, di un Fondo UE per l’innovazione e la R&S in materia di cibersicurezza dovrebbe rafforzare e sostenere il livello degli investimenti in settori critici. Inoltre, l’Europa dovrebbe creare un fondo per la diffusione della cibersicurezza, aprendo una nuova finestra nell’attuale e nel futuro meccanismo per collegare l’Europa come pure nel prossimo FEIS 3.0.

Occorre creare incentivi che incoraggino gli Stati membri dell’UE ad acquistare quando possibile soluzioni europee e a scegliere fornitori europei se ve ne sono, soprattutto per le applicazioni sensibili. L’Europa dovrebbe sostenere la crescita di protagonisti europei dell’informatica, in grado di competere in un mercato globale.

4.6.2.   PMI

Per affrontare meglio il mercato, data la sua frammentazione, serve maggiore chiarezza sul fronte della domanda. Senza una domanda strutturata, le PMI e le imprese emergenti non possono crescere a ritmo sostenuto. In tale contesto, sarebbe auspicabile la creazione di un polo europeo di cibersicurezza delle PMI.

La tecnologia della cibersicurezza è in rapida evoluzione, e le PMI, grazie alla loro flessibilità, possono fornire le soluzioni avanzate necessarie per rimanere competitive. Rispetto ai paesi terzi, l’UE è ancora alla ricerca di un modello imprenditoriale adeguato per le PMI.

Potrebbero essere messi a punto dei regimi specifici per le start-up e le PMI volti a sostenere il costo della certificazione, in modo che tali imprese possano superare le notevoli difficoltà che incontrano nella raccolta di fondi per il loro sviluppo tecnologico e commerciale.

4.7.    Il fattore umano: istruzione e protezione

4.7.1.

Il CESE riscontra che la proposta della Commissione non tiene adeguatamente in considerazione la persona umana come soggetto motore dei processi digitali, sia come beneficiario sia come causa dei principali incidenti informatici.

4.7.2.

Occorre creare una solida base di competenze in materia di cibersicurezza e migliorare l’igiene informatica e la consapevolezza a livello di cittadini e di imprese. Per conseguire questo risultato bisogna prendere in considerazione investimenti specifici, il tempo necessario per formare istruttori di alto livello ed efficaci campagne di sensibilizzazione. Per attuare queste tre linee di azione è necessario il coinvolgimento delle autorità nazionali e regionali (competenti per l’elaborazione di efficaci programmi didattici e i relativi investimenti), delle imprese e delle PMI, in un approccio collettivo.

4.7.3.

Si dovrebbe prevedere, coinvolgendo attivamente l’ENISA e i suoi omologhi nazionali, la creazione di un eventuale programma di studi, certificato dall’UE, per la scuola secondaria e per i professionisti. Nell’elaborazione dei programmi di istruzione occorrerà inoltre tenere presente la parità di genere, nell’ottica di migliorare i livelli di occupazione nel settore della cibersicurezza.

4.7.4.

Il CESE ritiene che l’attività di certificazione debba includere un adeguato sistema di etichettatura dell’hardware e del software, così come avviene per molteplici altri prodotti (es. prodotti energetici). Tale strumento avrà il triplice vantaggio di ridurre i costi per le imprese, eliminare le frammentazioni esistenti sul mercato a causa di diversi sistemi di certificazione già adottati su scala nazionale e semplificare la comprensione da parte dei consumatori sulla qualità e le caratteristiche dell’oggetto acquistato. A tal proposito, è importante che i prodotti importati da paesi terzi siano soggetti ai medesimi meccanismi di certificazione e etichettatura. Il CESE ritiene, infine, che la creazione di un logo ad hoc potrebbe essere funzionale a comunicare immediatamente a consumatori e utenti l’affidabilità dei prodotti acquistati o dei siti sui quali si stanno effettuando azioni di compravendita o che prevedono la trasmissione di dati sensibili.

4.7.5.

L’ENISA dovrebbe farsi carico di una cruciale attività di informazione e sensibilizzazione multilivello in modo da rafforzare la consapevolezza circa i comportamenti digitali «sicuri» e la fiducia degli utenti verso Internet. A questo scopo vanno coinvolte le associazioni delle imprese, le associazioni dei consumatori e altri organismi che operano nei servizi digitali.

4.7.6.

A complemento del Cibersecurity Act, come già proposto nel parere INT/828, il CESE ritiene cruciale avviare quanto prima un vasto programma europeo destinato alla educazione e formazione digitale per garantire a tutti i cittadini gli strumenti per affrontare al meglio la transizione. In particolare il CESE, pur consapevole delle specifiche competenze nazionali in materia, auspica che tale programma parta dalle scuole, rafforzando le conoscenze dei docenti, adeguando i programmi di studio e la didattica alle tecnologie digitali (incluso l’e-learning), e fornendo a tutti gli studenti una formazione di alta qualità. Tale programma avrà la sua naturale prosecuzione nell’apprendimento permanente al fine di rimodulare o aggiornare le competenze di tutti i lavoratori (12).

5.   Osservazioni particolari

5.1.    Tecnologie e soluzioni emergenti: il caso dell’Internet degli oggetti

In seguito alla digitalizzazione di componenti, sistemi e soluzioni, e a una maggiore connettività, il numero di dispositivi connessi è in costante aumento e si prevede che si moltiplicherà rispetto al numero degli abitanti della Terra. Tale tendenza crea nuove opportunità per i criminali informatici, in particolare perché spesso i dispositivi per l’Internet degli oggetti non sono protetti come quelli tradizionali.

L’introduzione di standard europei di sicurezza nei diversi mercati verticali che si avvalgono di dispositivi per l’Internet degli oggetti può comportare un risparmio, in termini di impegno, tempo e bilancio dedicati alle attività di sviluppo, per tutti gli operatori del settore che partecipano alla catena del valore dei prodotti connessi.

È probabile che, per i dispositivi «ordinari» dell’«Internet delle persone» (Internet of People), risulti necessaria una qualche forma di livello minimo di sicurezza, attraverso la gestione integrata di accessi e identità (IDAM), interventi di aggiornamento mediante patch e la gestione dei dispositivi. Poiché la certificazione è un metodo basilare per realizzare un livello di sicurezza più elevato, nel nuovo approccio di certificazione UE bisognerebbe dare maggior rilievo alla sicurezza dell’Internet degli oggetti.

---

(1)  Revisione intermedia della strategia per il mercato unico digitale.

(2)  JOIN/2017/0450 final.

(3)  Documento di lavoro dei servizi della Commissione — Valutazione d'impatto che accompagna la proposta di regolamento del Parlamento europeo e del Consiglio, parte 1/6, pag. 21, Bruxelles, 13.9.17.

(4)  Special Eurobarometer 464a — Wave EB87.4 — Europeans' attitudes towards cyber security [L'atteggiamento degli europei nei confronti della cibersicurezza], settembre 2017.

(5)  Conclusioni del Consiglio europeo del 19 ottobre 2017.

(6)  Risoluzione del Parlamento europeo, 17.5.2017, A8-0176/2017.

(7)  Revisione intermedia della strategia per il mercato unico digitale; GU C 75 del 10.3.2017, pag. 124, GU C 246 del 28.7.2017, pag. 8, GU C 345 del 13.10.2017, pag. 52, GU C 288 del 31.8.2017, pag. 62, GU C 271 del 19.9.2013, pag. 133.

(8)  Comunicato stampa del CESE n. 31/2017 [non disponibile in italiano] dal titolo Civil Society debates E-government and cybersecurity with incoming Estonian Presidency [La società civile discute di pubblica amministrazione elettronica e cibersicurezza con la futura presidenza estone]: https://www.eesc.europa.eu/en/news-media/press-releases/civil-society-debates-e-government-and-cybersecurity-incoming-estonian-presidency

(9)  GU L 210 del 7.8.1985, pag. 29.

(10)  Revisione intermedia della strategia per il mercato unico digitale.

(11)  GU C 75 del 10.3.2017, pag. 124.

(12)  Revisione intermedia della strategia per il mercato unico digitale.

---