Parere del Comitato economico e sociale europeo in merito alla "Proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l'Agenzia europea per la sicurezza delle reti e dell'informazione"

(COM(2003) 63 def. - 2003/0032 (COD))

(2003/C 220/07)

Il Consiglio, in data 3 marzo 2003, ha deciso, conformemente al disposto degli articoli 95 e 156 del trattato CE, di consultare il Comitato economico e sociale europeo in merito alla proposta di cui sopra.

La sezione specializzata Trasporti, energia, infrastrutture, società dell'informazione, incaricata di preparare i lavori del Comitato in materia, ha formulato il parere sulla base del rapporto introduttivo del relatore Göran Lagerholm in data 5 giugno 2003.

Il Comitato economico e sociale ha adottato il 18 giugno 2003, nel corso della 400a sessione plenaria, con 71 voti favorevoli ed 1 astensione, il seguente parere.

1. Introduzione

1.1. I sistemi d'informazione sono essenziali per l'intera economia: non solo per la maggior parte dei settori dell'industria, ma anche per il settore pubblico, le università, i centri di studio e i cittadini. Il cattivo funzionamento delle reti e dei sistemi informatici interessa tutti: cittadini, pubbliche amministrazioni e imprese.

1.2. Un maggiore coordinamento tra gli Stati membri permetterebbe alla Comunità europea di realizzare un livello di sicurezza sufficientemente elevato in tutto il suo territorio. Questo era l'obiettivo della comunicazione della Commissione sulla sicurezza delle reti e sicurezza dell'informazione del giugno 2001(1).

1.3. La sicurezza è diventata così una questione di interesse comune e dunque una preoccupazione politica di prim'ordine. Inoltre, dopo l'11 settembre 2001, l'efficienza dei sistemi d'informazione ha assunto un grande rilievo anche ai fini della sicurezza nazionale. Al loro interno gli Stati membri presentano tuttavia delle situazioni diverse per ciò che riguarda lo stato di avanzamento dei lavori e le priorità su cui si concentrano. Per di più manca una cooperazione transfrontaliera sistematica tra gli Stati membri in materia di sicurezza delle reti e delle informazioni, nonostante il problema non sia limitato al contesto nazionale. Non esiste un meccanismo che garantisca delle risposte efficaci in caso di minaccia alla sicurezza e le normative nazionali vengono applicate con maggiore o minore rigore a seconda degli Stati membri. Occorre evidenziare una mancanza di interoperabilità che impedisce un uso adeguato dei prodotti di sicurezza.

1.4. L'Agenzia in questione avrà il compito di agevolare l'applicazione delle misure comunitarie relative alla sicurezza delle reti e dell'informazione, contribuendo a garantire l'interoperabilità delle funzioni di sicurezza delle reti e dei sistemi d'informazione, concorrendo così al buon funzionamento del mercato interno.

1.5. L'Agenzia avrà funzioni consultive e di coordinamento con lo scopo di:

- contribuire a un'intensa collaborazione fra diversi soggetti nel campo della sicurezza dell'informazione;

- contribuire ad un approccio coordinato alla società dell'informazione assistendo gli Stati membri;

- concorrere in maniera attiva all'accertamento del fabbisogno di normalizzazione in materia;

- coadiuvare i contatti della Comunità con soggetti interessati nei paesi terzi.

1.6. La Commissione deve poter assegnare ulteriori compiti all'Agenzia per tenere il passo con gli attuali sviluppi tecnologici e della società.

1.7. Si è proposto che l'Agenzia diventi operativa dal 1o gennaio 2004 e rimanga attiva per un periodo di cinque anni. Il proseguimento delle attività dipenderà dall'esito della valutazione del suo operato.

2. Osservazioni di carattere generale

2.1. In diverse occasioni e in numerosi pareri il Comitato si è dichiarato favorevole a tutte le iniziative atte ad incoraggiare la diffusione della società dell'informazione, per esempio il piano d'azione eEurope - sicurezza delle reti e sicurezza delle informazioni(2), la lotta contro la criminalità informatica(3), la necessità di sviluppare una società dell'informazione senza discriminazioni(4) e il diritto ad un accesso sicuro ad Internet per quanto riguarda la protezione dei dati personali nonché la sicurezza dei pagamenti commerciali e dei servizi di informazione(5).

2.2. In linea con il punto di vista della Commissione il Comitato giudica molto importante che le reti ed i sistemi di informazione possano funzionare in piena sicurezza. Tutti risentono del cattivo funzionamento delle reti e dei sistemi di informazione: cittadini, imprese e settore pubblico. Al giorno d'oggi la sicurezza delle reti e dell'informazione significa garantire la disponibilità di servizi e dati, prevenire perturbazioni ed intercettazioni non autorizzate delle comunicazioni, ottenere la conferma che i dati trasmessi, ricevuti o conservati siano completi ed inalterati, assicurare la riservatezza dei dati proteggendo i sistemi di informazione contro l'accesso non autorizzato e gli attacchi, ecc. Gli utenti devono sentirsi a proprio agio nell'utilizzare le nuove tecnologie, indipendentemente dal fatto che l'uso avvenga in ufficio, nei centri studio o privatamente. La richiesta di sicurezza sta crescendo parallelamente alla sempre maggiore diffusione dell'uso delle reti e dei computer negli Stati membri, in Europa e nel mondo. In questo contesto il Comitato desidera sottolineare soprattutto la necessità che le misure di sicurezza si adattino ai nuovi comportamenti degli utenti che accompagnano il rapido sviluppo del settore e ne tengano pienamente conto. In particolare, anche il crescente uso che viene fatto dei telefoni cellulari collegati ad Internet e dei nuovi sistemi di comunicazione radio rendono necessari nuovi requisiti sul piano della sicurezza, del criptaggio, dell'accesso, ecc.

2.3. La fiducia degli utenti nelle tecnologie dell'informazione e la fiducia nella società dell'informazione e nell'infrastruttura sottostante sono condizioni fondamentali per consentire all'Europa di diventare l'economia basata sulla conoscenza più competitiva e dinamica del mondo entro il 2010. Il raggiungimento degli obiettivi stabiliti nel piano di azione eEurope, per ciò che concerne l'accesso ai servizi della società dell'informazione così come le transazioni commerciali elettroniche, le prestazioni elettroniche del servizio sanitario, l'amministrazione elettronica e i mercati elettronici, presuppone un'infrastruttura più sicura e una maggiore fiducia nelle tecniche dell'informazione da parte degli utenti.

2.4. Come constatato dalla Commissione, gli Stati membri si trovano in fasi diverse delle loro iniziative in materia di sicurezza: in larga parte ciò dipende dal fatto che il numero degli utenti dei servizi informatici varia nei diversi Stati membri. Per ottenere un'applicazione omogenea della società dell'informazione nell'UE occorrono misure comuni come la creazione di standard comuni, di criteri di certificazione comuni e di soluzioni comuni in materia di sicurezza. Queste misure sono una necessità di primaria importanza per i cittadini, per le imprese, per le università e per l'amministrazione pubblica su tutto il territorio della Comunità. Il problema della sicurezza non può essere più considerato come limitato al contesto nazionale. Il Comitato appoggia pertanto la proposta della Commissione in merito alla creazione di un'Agenzia europea per la sicurezza delle reti e dell'informazione.

2.5. Un'altra questione è rappresentata dal fatto che la cooperazione europea in materia di politica di sicurezza per affrontare le minacce alla società dell'informazione richiede una cooperazione tra le autorità giudiziarie e di polizia degli Stati membri. È importante distinguere tra le minacce di natura sovversiva nei confronti dei singoli Stati e le minacce ai cittadini comunitari in quanto utenti dei servizi della società dell'informazione. Per far fronte al primo tipo di minaccia non è sufficiente una cooperazione a livello regionale, ma occorrono forme globali di cooperazione. Il Comitato, consapevole della natura concreta di questa minaccia, condivide con la Commissione l'idea che l'Agenzia non debba occuparsi delle questioni che incombono normalmente ai sistemi di sicurezza e di difesa e alle autorità di polizia e giudiziarie dei singoli Stati membri. Una futura valutazione delle attività dell'Agenzia dovrebbe stabilire se questa restrizione influenzi negativamente i lavori dell'Agenzia e se esista una ragione per operare una chiara distinzione tra la sicurezza nazionale e la sicurezza funzionale dell'informazione.

2.6. Il Comitato sottolinea l'importanza che l'Agenzia entri in funzione con la massima tempestività. Vanno evitati gli impedimenti pratici, per esempio gli ostacoli che obblighino a posticipare la data di inizio del programma, che è stata fissata per il 1o gennaio 2004 al più tardi.

3. Osservazioni specifiche

3.1. Il Comitato ritiene che l'Agenzia debba avere una responsabilità più ampia rispetto a quella attribuitagli dalla proposta della Commissione. Per di più, per addivenire a una comprensione comune dei problemi che la società dell'informazione deve affrontare e per sostenere le misure comunitarie per la sicurezza delle reti e dell'informazione, l'Agenzia dovrebbe anche avere esplicitamente il compito di mettere a disposizione degli utenti informazioni sui temi legati alla sicurezza delle reti e dell'informazione, promuovendo inoltre scambi di migliori pratiche. Ciò potrebbe favorire il superamento del divario digitale esistente all'interno della Comunità. Inoltre potrebbe contribuire a stimolare, da un lato, la capacità della Comunità e dei singoli Stati membri di risolvere i problemi connessi alla sicurezza della rete e delle informazioni e, dall'altro, accrescere la fiducia degli utenti nelle tecnologie, nell'informazione, nella società dell'informazione e nelle infrastrutture sottostanti.

3.2. Come sostiene la Commissione, la struttura organizzativa dell'Agenzia deve permettere alle diverse parti interessate di partecipare ai suoi lavori. Ciò è importante, in particolare, per i gruppi di utenti provenienti dal mondo economico e dalle università, nonché per gli utenti privati; naturalmente, devono poter essere rappresentati anche i fornitori. Per questo motivo il Comitato approva la proposta volta a permettere ai rappresentanti dei settori professionali e dei consumatori di prendere parte al Consiglio di amministrazione dell'Agenzia. Tuttavia, il Comitato non vede per quale motivo tali rappresentanti non possano esercitare anche il diritto di voto, tanto più che, secondo la proposta, essi devono essere nominati dal Consiglio. Va peraltro ricordato che, nell'uso dei servizi della società dell'informazione, i ricercatori e i consumatori hanno spesso un'esperienza e una conoscenza del mercato maggiori rispetto ai rappresentanti della pubblica amministrazione.

3.3. In linea di massima, il Comitato può approvare le proposte sull'attività dell'Agenzia esposte nel punto 3.5 del documento della Commissione. Desidera nondimeno aggiungere osservazioni complementari.

3.3.1. Relativamente al programma di lavoro dell'Agenzia, il Comitato ritiene che essa debba disporre di risorse atte a consentirle di svolgere le funzioni stabilite nel programma di lavoro, ma anche di far fronte a questioni di sicurezza impreviste e d'interesse immediato. L'Agenzia dovrebbe avere pertanto le risorse per affrontare anche gli incidenti imprevisti. Di conseguenza, il programma di lavoro deve garantire che le attività di lungo periodo non impediscano all'Agenzia di affrontare questioni impreviste e di carattere urgente in materia di sicurezza e fiducia.

3.3.2. Quanto alle limitazioni sui soggetti autorizzati a chiedere un parere all'Agenzia, il Comitato ritiene che questa possibilità vada riconosciuta anche alle organizzazioni centrali dei settori professionali e dei consumatori degli Stati membri.

3.3.3. Il Comitato ritiene che i rappresentanti degli utenti provenienti dalle organizzazioni della vita economica e dei consumatori debbano essere coinvolti anche nei gruppi di lavoro creati dall'Agenzia: ciò consentirebbe loro di esercitare un'influenza diretta, per esempio sul lavoro di standardizzazione e certificazione. L'Agenzia avrà bisogno della partecipazione attiva del mondo economico per assolvere i propri compiti in questi ambiti.

3.4. Per ciò che riguarda le dotazioni finanziarie, il Comitato giudica essenziale indicare espressamente ed assicurare che il lavoro dell'Agenzia e la sua situazione finanziaria non dipendano da alcun contributo proveniente da paesi terzi che partecipano alle attività dell'Agenzia.

3.5. Il Comitato condivide il parere della Commissione sull'opportunità di valutare l'operato dell'Agenzia dopo i primi tre anni di attività, onde stabilire se la soluzione istituzionale proposta rappresenti il modo migliore per affrontare il tema della sicurezza della rete e dell'informazione come anche quello della fiducia degli utenti nelle tecnologie dell'informazione, nella società dell'informazione e nell'infrastruttura sottostante.

3.6. Con riferimento alla sede dell'Agenzia, il Comitato giudica importante che, oltre ai criteri stabiliti dalla Commissione, l'Agenzia sia collocata in un ambiente dove:

- sia presente un'infrastruttura ben sviluppata con un'elevata capacità di trasmissione;

- i servizi informatici del settore pubblico siano ben sviluppati;

- le transazioni commerciali elettroniche costituiscano un elemento normale della vita economica e una larga maggioranza degli utenti faccia abitualmente uso delle tecnologie dell'informazione.

Questa situazione consentirebbe all'Agenzia di funzionare in una società dell'informazione sviluppata, di monitorare e osservare in situ i rischi e le minacce che l'Agenzia ha il compito di studiare, analizzare, far conoscere, ecc. Tale contesto consentirà all'Agenzia di seguire i problemi che il singolo cittadino e le piccole imprese incontrano nella società dell'informazione garantendo così una piena tutela dei loro interessi nell'ambito della cooperazione tra Stati membri. Questa collocazione permetterà all'Agenzia di assolvere efficacemente i suoi compiti.

Bruxelles, 18 giugno 2003.

Il Presidente

del Comitato economico e sociale europeo

Roger Briesch

(1) COM(2001) 298 def.

(2) Il parere del CESE in merito alla "Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle regioni - Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo" (GU C 48 del 21.2.2002), e in merito alla Decisione del Consiglio recante adozione di un programma pluriennale (2003-2005) per il monitoraggio del piano d'azione eEurope, la diffusione della buona prassi e il miglioramento della sicurezza delle reti e dell'informazione (COM(2002) 425 def.).

(3) Parere del CESE in merito alla "Comunicazione della Commissione al Consiglio e al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni - creare una società dell'informazione migliorando la sicurezza delle infrastrutture dell'informazione e mediante la lotta alla criminalità informatica" (GU C 311 del 7.4.2001).

(4) Parere del CESE in merito a "L'informazione del settore pubblico: una risorsa fondamentale per l'Europa - Libro verde sull'informazione del settore pubblico nella società dell'informazione" (GU C 169 del 16.6.1999).

(5) Parere del CESE in merito alla "Proposta di direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche" (GU C 123 del 25.4.2001).