(1)

La cibersicurezza è essenziale per un'efficace trasformazione digitale dell'economia e della società. L'UE è impegnata in livelli di investimento senza precedenti per garantire la fiducia dei cittadini, delle imprese e delle autorità pubbliche negli strumenti digitali.

(2)

La pandemia di COVID-19 ha accresciuto l'importanza della connettività e della dipendenza dell'Europa da reti e sistemi informatici stabili e ha evidenziato la necessità di proteggere l'intera catena di approvvigionamento. Reti e sistemi informatici affidabili e sicuri sono particolarmente importanti per i soggetti in prima linea nella lotta contro la pandemia, quali ospedali, agenzie mediche e produttori di vaccini. Il coordinamento degli sforzi dell'UE volti a prevenire, individuare, scoraggiare, contrastare, mitigare e rispondere agli attacchi informatici più incisivi contro tali soggetti potrebbe prevenire la perdita di vite umane e i tentativi di compromettere la capacità dell'UE di sconfiggere la pandemia nel modo più rapido possibile. Il rafforzamento della capacità dell'UE di contrastare efficacemente gli attacchi informatici contribuisce inoltre a promuovere un ciberspazio globale, aperto, stabile e sicuro.

(3)

Di fronte alla natura transfrontaliera delle minacce alla cibersicurezza e alla continua serie di attacchi sempre più complessi, pervasivi e mirati (1), le istituzioni e i soggetti competenti in materia di cibersicurezza dovrebbero potenziare la loro capacità di rispondere a tali minacce e attacchi sfruttando le risorse esistenti e migliorando gli sforzi di coordinamento. Tutti i soggetti interessati nell'UE devono essere pronti a rispondere collettivamente e a scambiarsi informazioni sulla base della «necessità di condividere» piuttosto che della «necessità di sapere».

(4)

Nonostante i notevoli progressi compiuti grazie alla cooperazione tra gli Stati membri in materia di cibersicurezza, in particolare attraverso il gruppo di cooperazione («gruppo di cooperazione NIS») e la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) istituiti a norma della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (2), non esiste ancora una piattaforma comune dell'UE in cui le informazioni raccolte in diverse comunità di cibersicurezza possano essere scambiate in modo efficiente e sicuro e in cui le capacità operative possano essere coordinate e mobilitate dai soggetti interessati. Le minacce e gli incidenti informatici rischiano pertanto di essere affrontati in compartimenti stagni con un'efficienza limitata e una maggiore vulnerabilità. Manca inoltre un canale a livello di UE per la cooperazione tecnica e operativa con il settore privato, in termini sia di condivisione delle informazioni sia di sostegno per la risposta agli incidenti.

(5)

I quadri e le strutture esistenti, così come le risorse e le competenze disponibili negli Stati membri e nelle istituzioni, negli organi e nelle agenzie pertinenti dell'UE, forniscono una solida base per una risposta collettiva alle minacce, agli incidenti e alle crisi di cibersicurezza (3). Questa architettura esistente comprende, a livello operativo, il programma per una risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala («il programma») (4), la rete di CSIRT e la rete europea delle organizzazioni di collegamento per le crisi informatiche («EU-CyCLONe») (5), nonché il Centro europeo per la lotta alla criminalità informatica («EC3») e la task force di azione congiunta contro la criminalità informatica («J-CAT») presso l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto («Europol») e il protocollo di risposta alle emergenze delle autorità di contrasto dell'UE («LE ERP UE»). Il gruppo di cooperazione NIS, il Centro UE di situazione e di intelligence («INTCEN UE»), il pacchetto di strumenti della diplomazia informatica (6) e i progetti connessi alla ciberdifesa avviati nell'ambito della cooperazione strutturata permanente (PESCO) (7) contribuiscono anch'essi alla cooperazione politica e operativa in diverse comunità di cibersicurezza. L'Agenzia dell'Unione europea per la cibersicurezza («ENISA»), in virtù del suo mandato rafforzato, ha il compito di sostenere la cooperazione operativa (8) per quanto riguarda la cibersicurezza delle reti e dei sistemi informatici, gli utenti di tali sistemi e altre persone interessate da minacce e incidenti informatici. Attraverso i dispositivi integrati per la risposta politica alle crisi (IPCR), l'UE è in grado di coordinare la sua risposta politica alle crisi gravi, anche in caso di attacchi informatici su vasta scala.

(6)

Tuttavia, non esiste ancora un meccanismo per sfruttare le risorse esistenti e fornire assistenza reciproca tra le comunità informatiche responsabili della sicurezza delle reti e dei sistemi informatici, della lotta alla criminalità informatica, della diplomazia informatica e, se del caso, della ciberdifesa in caso di crisi. Non esiste neppure un meccanismo globale a livello dell'UE per la cooperazione tecnica e operativa tra tutte le comunità in materia di consapevolezza situazionale, preparazione e risposta. Le sinergie con le comunità delle forze dell'ordine e i servizi di intelligence dovrebbero inoltre essere conseguite rispettivamente attraverso Europol e l'INTCEN.

(7)

La Commissione, l'alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza (alto rappresentante), gli Stati membri e le istituzioni, gli organi e le agenzie pertinenti dell'UE riconoscono l'importanza di analizzare i punti di forza, le debolezze, le lacune e le sovrapposizioni dell'attuale architettura di cibersicurezza dell'UE creata negli ultimi anni. In consultazione con gli Stati membri, la Commissione, con la partecipazione dell'alto rappresentante, ha elaborato il concetto di unità congiunta per il ciberspazio in risposta a tale analisi e quale componente importante della strategia per l'Unione della sicurezza (9), della strategia digitale (10) e della strategia per la cibersicurezza (11).

(8)

Nei casi di crisi, gli Stati membri dovrebbero poter contare sulla solidarietà dell'UE sotto forma di assistenza coordinata, anche da parte di tutte e quattro le comunità informatiche, ossia le comunità civile, diplomatica, delle forze dell'ordine (12) e, se del caso, della difesa. Il grado di intervento dei partecipanti di una o più comunità può dipendere dalla natura dell'incidente o della crisi su vasta scala e, di conseguenza, dal tipo di contromisure necessarie per rispondervi. Di fronte alle minacce, alle crisi e agli incidenti informatici, esperti ben formati e attrezzature tecniche rappresentano elementi essenziali che possono contribuire a evitare danni gravi e consentire una ripresa efficace. Saranno pertanto al centro dell'unità congiunta per il ciberspazio capacità tecniche e operative chiaramente identificate - in primo luogo esperti e attrezzature - pronte per essere mobilitate negli Stati membri in caso di necessità. Nell'ambito di tale piattaforma, i partecipanti si troveranno in una posizione unica per alimentare e coordinare tali capacità attraverso gruppi di reazione rapida dell'UE per la cibersicurezza, garantendo nel contempo adeguate sinergie con i progetti informatici già esistenti attuati nell'ambito della PESCO.

(9)

L'unità congiunta per il ciberspazio fornisce una piattaforma virtuale e fisica e non richiede la creazione di un organismo supplementare indipendente. La sua istituzione non dovrebbe pregiudicare le competenze e le facoltà delle autorità nazionali per la cibersicurezza e dei pertinenti organismi dell'Unione. L'unità congiunta per il ciberspazio dovrebbe essere ancorata nei memorandum d'intesa tra i suoi partecipanti. Dovrebbe basarsi sulle strutture, sulle risorse e sulle capacità esistenti e apportarvi un valore aggiunto quale piattaforma per una cooperazione operativa e tecnica, sicura e rapida, tra gli organismi dell'UE e le autorità degli Stati membri. Dovrebbe inoltre riunire tutte le comunità di cibersicurezza, ossia le comunità civile, diplomatica, delle forze dell'ordine e della difesa. I partecipanti alla piattaforma dovrebbero svolgere un ruolo operativo o di sostegno. Tra i partecipanti operativi dovrebbero rientrare l'ENISA, Europol, la squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'UE («CERT-UE»), la Commissione, il servizio europeo per l'azione esterna (compreso l'INTCEN), la rete di CSIRT e l'EU-CyCLONe. I partecipanti sostenitori dovrebbero comprendere l'Agenzia europea per la difesa (AED), il presidente del gruppo di cooperazione NIS, il presidente del gruppo orizzontale del Consiglio per le questioni riguardanti il ciberspazio e un rappresentante dei pertinenti progetti PESCO (13). Poiché gli Stati membri dispongono di capacità operative e competenze per rispondere alle minacce, alle crisi e agli incidenti informatici su vasta scala, i partecipanti alla piattaforma dovrebbero basarsi principalmente sulle loro capacità, con l'ausilio dei pertinenti organismi dell'Unione, per conseguire i loro obiettivi.

(10)

L'unità congiunta per il ciberspazio dovrebbe imprimere un nuovo slancio al processo avviato nel 2017 con il programma. Dovrebbe rendere ulteriormente operativa l'architettura del programma e segnare una tappa decisiva verso un quadro europeo per la gestione delle crisi di cibersicurezza in cui le minacce e i rischi siano individuati, attenuati e affrontati in modo coordinato e tempestivo. In tal modo l'unità congiunta per il ciberspazio dovrebbe aiutare l'UE a rispondere alle minacce attuali e imminenti.

(11)

Partecipando all'unità congiunta per il ciberspazio, i partecipanti operativi e sostenitori dovrebbero poter collaborare con una più ampia gamma di portatori di interessi nell'ambito del quadro di risposta alle crisi di cibersicurezza dell'UE. Nell'esercizio delle loro funzioni entro i limiti dei loro mandati, i partecipanti dovrebbero beneficiare di una maggiore preparazione e di una più ampia consapevolezza situazionale riguardante tutti gli aspetti connessi alle minacce e agli incidenti di cibersicurezza e sfruttare ulteriori competenze in materia di cibersicurezza. Ad esempio, i partecipanti dovrebbero essere regolarmente coinvolti in esercitazioni tra comunità, acquisire un ruolo ben definito nel piano di risposta alle crisi dell'UE, migliorare la visibilità delle loro azioni attraverso una comunicazione pubblica condivisa e concludere accordi di cooperazione operativa con il settore privato. Parallelamente, il contributo all'unità congiunta per il ciberspazio dovrebbe consentire ai partecipanti di rafforzare le reti esistenti, quali la rete di CSIRT e EU-CyCLONe, fornendo loro strumenti sicuri per lo scambio di informazioni e migliori capacità di rilevamento (ad esempio i centri operativi di sicurezza, «SOC») e consentendo loro di sfruttare le capacità operative dell'UE disponibili.

(12)

I partecipanti all'unità congiunta per il ciberspazio dovrebbero concentrarsi sulla cooperazione tecnica e operativa, comprese le operazioni congiunte e dovrebbero contribuire a tale cooperazione nella misura consentita dai loro mandati. La cooperazione dovrebbe basarsi sugli sforzi in corso e integrarli. A seconda del tipo di cooperazione in questione, possono intervenire ulteriori partecipanti.

(13)

La piattaforma dovrebbe riunire esperti tecnici e operativi di gestione delle crisi provenienti dagli Stati membri e dagli organismi dell'UE al fine di coordinare le risposte alle minacce, alle crisi e agli incidenti informatici avvalendosi delle capacità e delle competenze esistenti. Gli esperti che partecipano all'unità congiunta per il ciberspazio saranno in grado di monitorare e proteggere una superficie di attacco molto più ampia facendo uso della piattaforma sia fisica che virtuale. A tal fine i partecipanti dovrebbero coordinare gli sforzi in caso di crisi e incidenti transfrontalieri e fornire assistenza ai paesi colpiti dagli incidenti attraverso la piattaforma.

(14)

L'istituzione dell'unità congiunta per il ciberspazio impone un processo incrementale che sfrutti e consolidi i quadri e le strutture esistenti menzionati nella presente raccomandazione, compresi i meccanismi di collaborazione istituiti nell'ambito dei consessi guidati dagli Stati membri (ad es. la rete di CSIRT, EU-CyCLONe, il gruppo orizzontale del Consiglio per le questioni riguardanti il ciberspazio, la J-CAT e i progetti PESCO pertinenti) e, dal lato delle istituzioni, degli organi e delle agenzie dell'UE, la cooperazione strutturata ENISA e CERT-UE e il gruppo interistituzionale per lo scambio di informazioni sulla cibersicurezza. Dovrebbero essere opportunamente impiegati i quadri in materia di minacce ibride, di protezione civile (14) e settoriali specifici (15). Analogamente, dovrebbe essere creato un collegamento strutturato con gli IPCR (16). Ciò consentirà, in caso di crisi, di trasmettere rapidamente ed efficacemente ai decisori politici le informazioni raccolte in sede di Consiglio.

(15)

La creazione dell'unità congiunta per il ciberspazio dovrebbe pertanto seguire un processo graduale e trasparente da completare nei prossimi due anni. Per questo motivo gli obiettivi stabiliti nella presente raccomandazione dovrebbero essere conseguiti mediante un processo in quattro fasi, come descritto nell'allegato della presente raccomandazione. Nelle prime due fasi dovrebbe essere avviato un processo preparatorio, organizzato e sostenuto dall'ENISA, che coinvolga partecipanti operativi e di sostegno a livello dell'UE e degli Stati membri e si svolga nell'ambito di un gruppo di lavoro che sarà istituito dalla Commissione. I lavori preparatori dovrebbero essere guidati dai principi di impegno reciproco, inclusività e costruzione del consenso. Dovrebbe essere promosso l'impegno di tutti i partecipanti, consentendo di esprimere opinioni e posizioni diverse e cercando di trovare soluzioni che incontrino il più ampio sostegno possibile. In funzione delle esigenze, e sulla base di condizioni ben giustificate, il calendario per le diverse fasi indicate nella presente raccomandazione può essere adeguato.

(16)

Nella prima fase il processo preparatorio dovrebbe iniziare con l'individuazione delle pertinenti capacità operative disponibili dell'UE e con l'avvio di una valutazione dei ruoli e delle responsabilità dei partecipanti all'interno della piattaforma. La seconda fase dovrebbe comprendere lo sviluppo del piano dell'UE di risposta agli incidenti e alle crisi, in linea con il programma (17), l'avvio di attività connesse alla preparazione e alla consapevolezza situazionale, in linea con il regolamento sulla cibersicurezza e con il regolamento Europol (18), e la conclusione della valutazione dei ruoli e delle responsabilità dei partecipanti all'interno della piattaforma. Il gruppo di lavoro dovrebbe presentare i risultati di tale valutazione alla Commissione e all'alto rappresentante, che successivamente condivideranno tali risultati con il Consiglio. La Commissione e l'alto rappresentante dovrebbero collaborare, secondo le rispettive competenze, per elaborare una relazione congiunta sulla base di tale valutazione e invitare il Consiglio ad approvarla mediante conclusioni del Consiglio.

(17)

A seguito di tale approvazione l'unità congiunta per il ciberspazio sarà resa operativa nell'ottica di completare le due fasi restanti del processo. Nella terza fase i partecipanti dovrebbero essere in grado di mobilitare i gruppi di reazione rapida dell'UE nell'ambito dell'unità congiunta per il ciberspazio, in base a procedure definite nel piano dell'UE di risposta agli incidenti e alle crisi, facendo leva sulla piattaforma sia fisica che virtuale e contribuendo a vari aspetti della risposta agli incidenti (dalla comunicazione pubblica al recupero ex post). Nella quarta fase, infine, i portatori di interessi del settore privato, compresi gli utenti e i fornitori di soluzioni e servizi di cibersicurezza, saranno invitati a offrire il proprio contributo alla piattaforma, consentendo ai partecipanti di migliorare la condivisione delle informazioni e potenziare la risposta coordinata dell'UE alle minacce e agli incidenti informatici.

(18)

Entro la fine delle quattro fasi del processo, i partecipanti dovrebbero elaborare una relazione di attività sui progressi compiuti nell'attuazione delle quattro fasi indicate nella raccomandazione, che descriva i risultati conseguiti e le sfide da affrontare e che dovrebbe essere presentata alla Commissione e all'alto rappresentante. Sulla base di tale relazione la Commissione e l'alto rappresentante dovrebbero effettuare una valutazione di tali risultati e trarre conclusioni per il futuro dell'unità congiunta per il ciberspazio.

(19)

La Commissione, l'ENISA, Europol e il CERT-UE dovrebbero fornire sostegno amministrativo, finanziario e tecnico all'unità congiunta per il ciberspazio come indicato alla sezione IV della presente raccomandazione, subordinatamente alla disponibilità di bilancio e di risorse umane. Il rafforzamento delle capacità operative di cibersicurezza delle istituzioni, degli organi e delle agenzie dell'UE pertinenti sarà fondamentale per garantire una preparazione efficace e la sostenibilità dell'unità congiunta per il ciberspazio. La Commissione intende garantire che il prossimo regolamento recante norme comuni vincolanti in materia di cibersicurezza per le istituzioni, gli organi e le agenzie dell'UE (ottobre 2021) fornisca la base giuridica per tale contributo nel caso del CERT-UE.

(20)

Visto il suo mandato rafforzato a norma del regolamento (UE) 2019/881 («regolamento sulla cibersicurezza»), l'ENISA si trova in una posizione unica per organizzare e sostenere la preparazione dell'unità congiunta per il ciberspazio e per contribuire alla sua operatività. In linea con le disposizioni del regolamento sulla cibersicurezza, l'ENISA sta attualmente predisponendo un ufficio a Bruxelles a supporto della sua cooperazione strutturata con il CERT-UE. Tale cooperazione strutturata, compresi gli uffici adiacenti, fornisce un quadro utile per agevolare la creazione dell'unità congiunta per il ciberspazio, inclusa la delimitazione del suo spazio fisico che dovrebbe essere messo a disposizione dei partecipanti in caso di necessità, nonché del personale di altre istituzioni, organi e agenzie pertinenti dell'UE. La piattaforma fisica dovrebbe essere abbinata a una piattaforma virtuale composta da strumenti collaborativi e sicuri per la condivisione delle informazioni. Tali strumenti si baseranno sulle molteplici informazioni raccolte attraverso il Cyber-Shield europeo (19), compresi i centri operativi per la sicurezza («SOC») e i centri di condivisione e analisi delle informazioni («ISAC»).

(21)

Il protocollo di risposta alle emergenze delle autorità di contrasto dell'UE criminalità informatica per i gravi attacchi informatici transfrontalieri, adottato dal Consiglio nel 2018, attribuisce un ruolo centrale al Centro europeo per la lotta alla criminalità informatica di Europol («EC3») (20) nell'ambito del programma. Tale protocollo consente alle autorità di contrasto dell'UE di rispondere agli attacchi transfrontalieri su vasta scala di sospetta natura dolosa su base 24/7 attraverso una reazione e una valutazione rapide; esso permette inoltre la condivisione sicura e tempestiva di informazioni critiche per un coordinamento efficace delle risposte agli incidenti transfrontalieri. Il protocollo dettaglia ulteriormente la collaborazione con altre istituzioni dell'UE, i protocolli di crisi a livello dell'UE e la cooperazione con il settore privato in caso di crisi. La comunità delle autorità di contrasto, con il sostegno di Europol ove opportuno, dovrebbe contribuire all'unità congiunta per il ciberspazio adottando i provvedimenti necessari lungo tutto l'arco del ciclo investigativo, in linea con i requisiti del quadro di giustizia penale e le procedure applicabili per il trattamento delle prove elettroniche. Dall'avvio dell'EC3 nel 2013, Europol fornisce sostegno operativo e agevola la cooperazione operativa contro le minacce informatiche. Europol dovrebbe sostenere la piattaforma in conformità al suo mandato e all'approccio di polizia basato sull'intelligence, sfruttando nel contempo tutti i tipi di competenze, prodotti, strumenti e servizi interni pertinenti per la risposta all'incidente o alla crisi.

(22)

La direttiva 2013/40/UE relativa agli attacchi contro i sistemi di informazione impone inoltre agli Stati membri di predisporre un punto di contatto operativo nazionale disponibile ventiquattr'ore su ventiquattro e sette giorni su sette, per lo scambio di informazioni relative ai reati di cui a tale direttiva. La rete dei punti di contatto operativi nazionali dovrebbe inoltre contribuire all'unità congiunta per il ciberspazio garantendo, se del caso, il coinvolgimento delle autorità di contrasto degli Stati membri.

(23)

La comunità della diplomazia informatica dell'UE contribuisce a promuovere e proteggere un ciberspazio globale, aperto, stabile e sicuro e a prevenire, scoraggiare e rispondere a tali attività informatiche dolose. Nel 2017 l'UE ha istituito un quadro relativo ad una risposta diplomatica comune dell'UE alle attività informatiche dolose («pacchetto di strumenti della diplomazia informatica»). Questo quadro fa parte della più ampia politica dell'UE in materia di diplomazia informatica e contribuisce alla prevenzione dei conflitti e a una maggiore stabilità nelle relazioni internazionali. Consente all'UE e agli Stati membri, in cooperazione con i partner internazionali ove opportuno, di utilizzare tutte le misure della politica estera e di sicurezza comune («PESC»), in linea con le rispettive procedure per il loro conseguimento, per incoraggiare la cooperazione, attenuare le minacce e influenzare i comportamenti dolosi attuali e potenziali futuri nel ciberspazio. La comunità della diplomazia informatica dovrebbe cooperare nell'ambito dell'unità congiunta per il ciberspazio utilizzando l'intera gamma di misure diplomatiche e fornendo sostegno nell'utilizzo di tali misure, in particolare per quanto riguarda la comunicazione pubblica, e sostenendo la consapevolezza situazionale condivisa e l'impegno con i paesi terzi in caso di crisi.

(24)

In linea con il quadro del programma, l'alto rappresentante, anche attraverso l'INTCEN, dovrebbe contribuire all'unità congiunta per il ciberspazio fornendo una continua consapevolezza situazionale condivisa, basata sull'intelligence, sulle minacce esistenti ed emergenti, compresa la necessaria consapevolezza situazionale strategica per ciascun evento.

(25)

All'interno della comunità della ciberdifesa, l'UE e gli Stati membri mirano a rafforzare le capacità di ciberdifesa e a potenziare ulteriormente le sinergie, il coordinamento e la cooperazione tra le istituzioni, gli organi e le agenzie competenti dell'UE, nonché con e tra gli Stati membri, anche per quanto riguarda le missioni e le operazioni nell'ambito della politica di sicurezza e di difesa comune («PSDC»). La comunità opera sulla base di una governance intergovernativa a livello dell'UE, di strutture di comando militari nazionali e di capacità e mezzi militari o a duplice uso. Alla luce della sua diversa natura, dovrebbero essere costruite interfacce specifiche con l'unità congiunta per il ciberspazio per consentire la condivisione delle informazioni con la comunità della ciberdifesa (21).

(26)

La cooperazione strutturata permanente è un quadro giuridico introdotto dal trattato di Lisbona (22) e istituito nel 2017 nell'ambito dell'Unione. La cooperazione strutturata ha portato alla definizione di una serie di progetti PESCO nel settore informatico, che contribuiscono alla realizzazione dell'impegno 11 (23) di «aumentare gli sforzi nella cooperazione in materia di ciberdifesa, ad esempio attraverso la condivisione delle informazioni, la formazione e il supporto operativo». Il SEAE, insieme allo Stato maggiore dell'UE e l'EDA, fa parte del segretariato della PESCO, che costituisce un punto di contatto unico nel quadro dell'Unione per tutte le questioni relative alla PESCO, comprese le funzioni di sostegno e coordinamento connesse ai progetti PESCO (ad esempio la valutazione di nuove proposte di progetti, la preparazione delle relazioni sullo stato di avanzamento dei progetti ecc.). I rappresentanti dei pertinenti progetti PESCO dovrebbero sostenere l'unità congiunta per il ciberspazio, in particolare per quanto riguarda la consapevolezza situazionale e la preparazione.

(27)

Attraverso l'unità congiunta per il ciberspazio, i partecipanti dovrebbero integrare adeguatamente i portatori di interessi del settore privato, compresi i fornitori e gli utenti di soluzioni e servizi di cibersicurezza, al fine di sostenere il quadro europeo di gestione delle crisi di cibersicurezza, tenendo in debita considerazione il quadro giuridico per la condivisione dei dati e la sicurezza dell'informazione. I fornitori di cibersicurezza dovrebbero contribuire all'iniziativa condividendo informazioni sulle minacce e mettendo a disposizione addetti alla gestione degli incidenti per ampliare rapidamente la capacità dell'unità di rispondere ad attacchi e crisi su vasta scala. Gli utenti di beni e servizi di cibersicurezza, principalmente quelli che rientrano nell'ambito di applicazione della direttiva NIS, dovrebbero poter chiedere aiuto e consulenza attraverso canali strutturati, che attualmente mancano, collegati ai centri di condivisione e analisi delle informazioni (ISAC) a livello dell'UE (24). La piattaforma potrebbe inoltre contribuire a rafforzare la cooperazione con partner internazionali.

(28)

Lo sviluppo e il mantenimento della consapevolezza situazionale richiedono capacità di rilevamento e di prevenzione delle intrusioni all'avanguardia. L'unità congiunta per il ciberspazio dovrebbe basarsi su una rete di punta in grado di analizzare le minacce e gli incidenti dolosi che possono avere un impatto sui principali sistemi di comunicazione e informazione in tutta l'Unione. Ciò significa che, tra le altre fonti, la conoscenza sulle minacce tratta dalle reti di comunicazione monitorate dai SOC nazionali, settoriali e transfrontalieri dovrebbe confluire nell'unità congiunta per il ciberspazio per migliorare la valutazione dei partecipanti in merito al panorama delle minacce dell'UE

(29)

Al fine di sostenere lo scambio di informazioni operative, eventualmente anche di materiale riservato, la piattaforma dovrebbe basarsi su canali di comunicazione adeguatamente protetti. Tali canali potrebbero anche basarsi sull'infrastruttura esistente, come l'applicazione di rete per lo scambio di informazioni protetta («SIENA») utilizzata da Europol e dalle autorità di contrasto. Come annunciato nella strategia per la cibersicurezza, gli strumenti utilizzati dalle istituzioni, dagli organi e dalle agenzie dell'UE dovrebbero rispettare le norme sulla sicurezza delle informazioni che la Commissione proporrà a breve.

(30)

La Commissione, principalmente attraverso il programma Europa digitale, sosterrà gli investimenti necessari per istituire la piattaforma fisica e virtuale, costruire e mantenere canali di comunicazione e capacità di formazione sicuri e sviluppare e mobilitare capacità di rilevamento. In aggiunta, il Fondo europeo per la difesa potrebbe contribuire a finanziare tecnologie e capacità di ciberdifesa fondamentali che rafforzerebbero la preparazione nazionale in materia di ciberdifesa,

1)

Lo scopo della presente raccomandazione è individuare le azioni necessarie per coordinare gli sforzi dell'UE volti a prevenire, rilevare, scoraggiare, contrastare e attenuare le crisi e gli incidenti informatici su vasta scala e rispondervi attraverso un'unità congiunta per il ciberspazio. A tal fine la presente raccomandazione definisce inoltre il processo, le tappe e il calendario che gli Stati membri e le istituzioni, gli organi e le agenzie pertinenti dell'UE dovrebbero adottare in relazione alla creazione e allo sviluppo di tale piattaforma.

2)

In caso di incidenti e crisi di cibersicurezza su vasta scala gli Stati membri e le istituzioni, gli organi e le agenzie pertinenti dell'UE dovrebbero garantire il coordinamento dei loro sforzi attraverso un'unità congiunta per il ciberspazio che consenta l'assistenza reciproca (25) sfruttando le competenze delle autorità degli Stati membri e delle istituzioni, degli organi e delle agenzie pertinenti dell'UE. L'unità congiunta per il ciberspazio dovrebbe inoltre consentire ai partecipanti di collaborare con il settore privato.

3)

Ai fini della presente raccomandazione si applicano le definizioni seguenti:

4)

Gli Stati membri e le istituzioni, gli organi e le agenzie pertinenti dell'UE dovrebbero garantire una risposta coordinata dell'UE alle crisi e agli incidenti informatici su vasta scala e la ripresa dagli stessi. Tale risposta dovrebbe in particolare essere garantita tra i partecipanti operativi, in particolare ENISA, Europol, CERT-UE, Commissione, servizio europeo per l'azione esterna (compreso l'INTCEN), rete di CSIRT, EU-CyCLONe, e i partecipanti sostenitori, in particolare il presidente del gruppo di cooperazione NIS, il presidente del gruppo orizzontale del Consiglio per le questioni riguardanti il ciberspazio, l'Agenzia europea per la difesa e un rappresentante dei pertinenti progetti PESCO (28). I partecipanti operativi dovrebbero essere in grado di mobilitare rapidamente ed efficacemente risorse operative per l'assistenza reciproca nell'ambito dell'unità congiunta per il ciberspazio. A tal fine, nell'ambito dell'unità congiunta per il ciberspazio, i meccanismi di assistenza reciproca dovrebbero essere coordinati su richiesta di uno o più Stati membri.

5)

Al fine di fornire una risposta coordinata efficace, i partecipanti operativi e i partecipanti sostenitori elencati al punto 4) dovrebbero essere in grado di condividere le migliori pratiche, sfruttare una costante consapevolezza situazionale condivisa e garantire la preparazione necessaria nella misura consentita dai loro mandati. Tali partecipanti dovrebbero tenere conto dei processi esistenti e delle competenze delle diverse comunità di cibersicurezza.

6)

Gli Stati membri e le istituzioni, gli organi e le agenzie pertinenti dell'UE, basandosi sul contributo dell'ENISA in conformità all'articolo 7, paragrafo 7, del regolamento (UE) 2019/881, dovrebbero garantire una risposta coordinata agli incidenti e alle crisi su vasta scala e una ripresa dagli stessi mediante:

7)

Gli Stati membri e le istituzioni, gli organi e le agenzie pertinenti dell'UE dovrebbero garantire che l'unità congiunta per il ciberspazio provveda a una costante consapevolezza situazionale condivisa e alla preparazione alle crisi favorite dall'informatica tra le comunità di cibersicurezza, nonché all'interno di tali comunità, perseguendo gli obiettivi di cui all'articolo 7 del regolamento (UE) 2019/881 e all'articolo 3 del regolamento (UE) 2016/794. A tal fine, gli Stati membri e le istituzioni, gli organi e le agenzie pertinenti dell'UE, in conformità al regolamento (UE) 2019/881 e al regolamento (UE) 2016/794, dovrebbero consentire l'attuazione delle seguenti operazioni di sostegno:

8)

Al fine di attuare i punti 6) e 7), gli Stati membri e le istituzioni, gli organi e le agenzie pertinenti dell'UE dovrebbero garantire:

9)

In conformità all'articolo 7 del regolamento (UE) 2019/881, l'ENISA dovrebbe garantire il coordinamento degli Stati membri e delle istituzioni, degli organi e delle agenzie pertinenti dell'UE e il sostegno agli stessi all'interno dell'unità congiunta per il ciberspazio, anche svolgendo compiti di segretariato, organizzando riunioni e contribuendo all'attuazione delle azioni a livello sia degli Stati membri sia dell'UE. L'ENISA dovrebbe istituire sia una piattaforma virtuale sicura sia uno spazio fisico per ospitare le riunioni e agevolare le necessarie azioni di attuazione.

10)

Gli Stati membri e le istituzioni, gli organismi e le agenzie pertinenti dell'UE dovrebbero garantire che l'unità congiunta per il ciberspazio avvii la fase operativa a decorrere dal 30 giugno 2022. Entro tale data, i partecipanti operativi dovrebbero mettere a disposizione capacità operative ed esperti che possano costituire la base dei gruppi di reazione rapida dell'UE per la cibersicurezza. I piani per una piattaforma fisica e virtuale dovrebbero essere in fase avanzata.

11)

Gli Stati membri e le istituzioni, gli organismi e le agenzie pertinenti dell'UE dovrebbero contribuire al funzionamento dell'unità congiunta per il ciberspazio e garantire che sia pienamente operativa entro il 30 giugno 2023. Questo obiettivo dovrebbe essere conseguito attraverso quattro fasi successive, volte a completare le seguenti attività:

Una descrizione più dettagliata delle azioni da intraprendere nell'ambito delle quattro fasi successive figura nell'allegato della presente raccomandazione.

12)

Nelle prime due fasi l'ENISA dovrebbe organizzare e sostenere la preparazione dell'unità congiunta per il ciberspazio. I servizi della Commissione dovrebbero convocare un gruppo di lavoro che riunisce i partecipanti operativi e i partecipanti sostenitori per portare a termine tali lavori preparatori. I servizi della Commissione dovrebbero nominare un rappresentante come copresidente del gruppo di lavoro e invitare a fungere da copresidenti un rappresentante designato dall'alto rappresentante (ciascuno contribuisce ai punti all'ordine del giorno secondo le rispettive competenze) e un rappresentante scelto dagli Stati membri.

13)

Entro la fine della fase due, il gruppo di lavoro dovrebbe concludere la propria valutazione degli aspetti organizzativi dell'unità congiunta per il ciberspazio e dei ruoli e delle responsabilità dei partecipanti operativi all'interno di tale piattaforma. Il gruppo di lavoro dovrebbe presentare i risultati di tale valutazione alla Commissione e all'alto rappresentante. La Commissione e l'alto rappresentante dovrebbero a loro volta condividere detta valutazione con il Consiglio. La Commissione e l'alto rappresentante dovrebbero elaborare una relazione congiunta sulla base di tale valutazione e invitare il Consiglio ad approvarla mediante conclusioni del Consiglio.

14)

L'unità congiunta per il ciberspazio dovrebbe essere operativa a partire dalla terza fase.

15)

L'ENISA e la Commissione dovrebbero garantire l'uso delle risorse esistenti nell'ambito dei programmi di finanziamento dell'UE, in primo luogo il programma Europa digitale, in linea con le norme applicabili per stabilire i rispettivi programmi di lavoro, per dotare i partecipanti all'unità congiunta per il ciberspazio di ulteriori capacità di formazione, capacità di comunicazione e infrastrutture sicure per la condivisione delle informazioni che consentano lo scambio di informazioni classificate anche tra comunità.

16)

Gli Stati membri dovrebbero cooperare con la Commissione e l'alto rappresentante, in linea con le rispettive competenze, per valutare l'efficacia e l'efficienza dell'unità congiunta per il ciberspazio entro il 30 giugno 2025, al fine di trarre conclusioni per il futuro dell'unità congiunta per il ciberspazio. Tale valutazione dovrebbe tenere conto dell'attuazione delle quattro fasi summenzionate.