Bruxelles, 23.6.2021

JOIN(2021) 14 final

2021/0166(NLE)

COMUNICAZIONE CONGIUNTA AL PARLAMENTO EUROPEO E AL CONSIGLIO EMPTY

Relazione sull'attuazione della strategia dell'UE in materia di cibersicurezza per il decennio digitale


COMUNICAZIONE CONGIUNTA AL PARLAMENTO EUROPEO E AL CONSIGLIO

Relazione sull'attuazione della strategia dell'UE in materia di cibersicurezza per il decennio digitale

I.Ciberresilienza, capacità operativa e apertura più essenziali che mai

La cibersicurezza è indispensabile per la realizzazione di una tecnologia più intelligente e più ecologica in un mondo post-pandemia. In generale è indispensabile per la sicurezza dell'UE ed è un pilastro dell'Unione della sicurezza. Lo sviluppo sociale, politico ed economico richiede una sovranità tecnologica e un ciberspazio globale, aperto e sicuro, fondato sullo Stato di diritto e sul rispetto dei diritti umani e delle libertà fondamentali. Questa è stata la premessa di base della comunicazione congiunta della Commissione e dell'alto rappresentante per gli affari esteri e la politica di sicurezza sulla strategia dell'UE in materia di cibersicurezza per il decennio digitale, adottata il 16 dicembre 2020 1 . Tutte le entità critiche sono un potenziale bersaglio di attacchi informatici. Gli sviluppi negli ultimi sei mesi hanno corroborato l'accento posto dalla strategia sull'accelerazione delle riforme normative, gli investimenti e la risposta operativa collettiva.

I recenti attacchi informatici hanno dimostrato, in particolare, la maggiore pervasività delle attività di ransomware e spionaggio informatico e il loro crescente rischio per tutti i settori dell'economia e della società in generale. La portata degli incidenti occorsi è stata straordinaria: centinaia di migliaia di server colpiti negli attacchi a Microsoft Exchange; 18 000 organizzazioni potenzialmente raggiunte dalla campagna sferrata contro Orion di SolarWinds; i dati sensibili di centinaia di pazienti sottratti e i servizi sanitari bloccati nell'attacco ransomware al servizio sanitario irlandese; un'emergenza energetica e un massiccio furto di dati nell'attacco informatico sferrato al sistema di fatturazione di Colonial Pipeline e l'interruzione delle attività del maggior fornitore di carne di manzo al mondo 2 . Pur non essendo ancora chiarita pienamente la portata del danno, ciascuno di questi incidenti mette in luce le potenziali conseguenze profonde dello sfruttamento doloso delle vulnerabilità presenti nei prodotti, servizi, sistemi e reti delle tecnologie dell'informazione e della comunicazione. È prevedibile che tali attacchi informatici aumentino in termini di impatto e frequenza e compromettano la nostra sicurezza.

Per l'Unione europea è pertanto essenziale accelerare i progressi su tutti i fronti – legislativo, operativo, in termini di investimenti e diplomatico – come indicato nella strategia. Le proposte di direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione ("la direttiva NIS 2") 3 , di direttiva sulla resilienza dei soggetti critici 4 nonché di regolamento e di direttiva relativi alla resilienza operativa digitale 5 dovrebbero essere adottate quanto prima. In questo contesto è essenziale perseguire un approccio ambizioso, in particolare relativamente alle catene di approvvigionamento, tenuto conto di come le vulnerabilità dei recenti attacchi informatici fossero riconducibili ai fornitori di software, e adottare misure che garantiscano la resilienza delle amministrazioni pubbliche e la rapida segnalazione degli incidenti. L'esigenza di istituire una rete di centri operativi di sicurezza (o "SOC") per l'individuazione precoce di segnali di attacchi informatici è diventata più pressante che mai, come anche l'esigenza di sviluppare una risposta credibile, efficace e collettiva dell'UE, compreso a livello operativo, agli incidenti gravi tramite l'unità congiunta per il ciberspazio 6 . Dato l'aumento degli attacchi informatici condotti da attori statali o sponsorizzati dallo Stato, è necessario continuare a promuovere in seno alle Nazioni Unite un comportamento responsabile degli Stati, anche tramite dialoghi in materia di ciberspazio e scambi strutturati con organizzazioni regionali come l'Unione africana, il Forum regionale dell'ASEAN, l'Organizzazione degli Stati americani (OAS) e l'Organizzazione per la sicurezza e la cooperazione in Europa (OSCE), insieme a un'azione diplomatica efficace in termini di prevenzione, dissuasione, deterrenza e risposta nei confronti di comportamenti dolosi nel ciberspazio. Di particolare importanza saranno la cooperazione con i paesi terzi che condividono gli stessi principi e le priorità dell'agenda transatlantica; in particolare dovrebbe essere ulteriormente esplorata la cooperazione UE-USA su aspetti specifici relativi alla cibersicurezza, anche rispetto allo scambio di informazioni e alla lotta al ransomware.

II.Panoramica dei primi sei mesi di attuazione

Una serie di azioni strategiche sono già a un livello avanzato.

II.1    Resilienza, sovranità tecnologica e leadership

In tutto il mondo, le catene di approvvigionamento e le infrastrutture critiche, inclusi gli ospedali che lottano contro la pandemia di COVID-19, sono attualmente a rischio costante di attacchi informatici. La Commissione sostiene i colegislatori per garantire una rapida adozione della proposta di riforma della direttiva NIS, che in particolare amplierà la copertura del settore sanitario, inclusi i laboratori di ricerca e la produzione di dispositivi medicali e farmaci critici, e le nuove attività del settore energetico, come la produzione di idrogeno, il teleriscaldamento, la produzione di energia elettrica e gli organismi centrali di stoccaggio petrolifero.

Il regolamento che istituisce il Centro europeo di competenza per la cibersicurezza e la rete dei centri nazionali di coordinamento è stato adottato il 20 maggio 2021 7 . Esso metterà in comune risorse provenienti dall'UE, dagli Stati membri e dall'industria per migliorare e rafforzare le capacità di cibersicurezza tecnologica e industriale, potenziando l'autonomia strategica aperta dell'UE e offrendo la possibilità di consolidare parte delle attività connesse con la cibersicurezza finanziate da Orizzonte Europa, dal programma Europa digitale e dal dispositivo per la ripresa e la resilienza, con flussi di finanziamento che ammontano in totale a 4,5 miliardi di EUR per i prossimi sei anni 8 . Ciò sosterrà lo sviluppo entro il 2023 di un ciberscudo dell'UE per l'individuazione precoce di attacchi informatici, composto da una rete di centri operativi di sicurezza che possono essere pubblici o privati e che sfrutteranno strumenti basati sull'intelligenza artificiale. Svariati Stati membri hanno incluso lo sviluppo di tali centri nazionali nel quadro dei rispettivi piani per la ripresa e la resilienza. La Commissione integrerà questi sforzi stanziando fondi del programma Europa digitale e sostenendo il loro collegamento per fasi successive. I programmi finanziari sosterranno inoltre l'iniziativa EuroQCI per la costruzione di una infrastruttura di comunicazione quantistica sicura che comprenda l'intera UE 9 , inclusi i territori d'oltremare, utilizzando la migliore combinazione di tecnologie terrestri e spaziali e una linea di bilancio specifica a sostegno della ciberresilienza nel settore sanitario.

Garantire la cibersicurezza del 5G è un processo continuo che accompagnerà il graduale dispiegamento del 5G e l'attuazione del pacchetto di strumenti dell'UE per il 5G 10 . La maggior parte degli Stati membri ha già – o avrà presto – predisposto quadri per imporre adeguate restrizioni ai fornitori di 5G. Il codice delle comunicazioni elettroniche comporta un rafforzamento degli obblighi a carico degli operatori di reti mobili e l'Agenzia dell'UE per la cibersicurezza (ENISA) sta preparando una proposta di sistema UE di certificazione della cibersicurezza delle reti 5G 11 . Alla luce delle nuove tendenze e degli sviluppi nella catena di approvvigionamento del 5G, le autorità degli Stati membri hanno deciso di avviare un'analisi approfondita delle implicazioni in materia di sicurezza delle soluzioni tecnologiche di rete interoperabili, aperte e disaggregate ("Open RAN") nell'ambito del pacchetto di strumenti dell'UE. Il risultato di tale lavoro contribuirà ulteriormente all'approccio concertato dell'UE alla sicurezza delle reti 5G.

Occorrono maggiori sforzi, in particolare tramite il piano d'azione per l'istruzione digitale dell'UE, per affrontare la massiccia carenza di competenze, che si prevede raggiungerà quasi due milioni di posti vacanti a livello globale nel settore della cibersicurezza entro il 2022 e 350 000 nella sola Europa, e la grave sottorappresentanza delle donne, le quali rappresentano solo l'11 % della forza lavoro nel settore della cibersicurezza a livello mondiale e ancor meno, ossia il 7 %, in Europa 12 . Altre iniziative politiche in corso includono il lavoro di preparazione per le future iniziative per la sicurezza dell'Internet delle cose e, sulle norme di Internet, lo sviluppo di un servizio di risoluzione del nome del dominio senza scopo di lucro ("DNS4EU").

II.2    Sviluppare capacità operative di prevenzione, dissuasione e risposta

Con l'aumento degli attacchi condotti da attori statali, sponsorizzati dallo Stato e criminali alle reti e ai sistemi di informazione e data la sempre maggiore dipendenza dalle basi di dati di informazioni sensibili, l'UE ha bisogno di maggiore interconnessione fra le cibercomunità. Queste devono rispondere in modo coerente agli aspetti civili, penali, diplomatici e di difesa degli attacchi informatici su vasta scala di cui sono stati vittime di recente molti settori economici sensibili. Sono pertanto necessari sforzi da parte di tutte le comunità per completare le quattro fasi delineate nella raccomandazione della Commissione sull'istituzione di un'unità congiunta per il ciberspazio, adottata contestualmente alla presente relazione, quale meccanismo per un ulteriore coordinamento e per colmare le lacune nella risposta dell'UE alle minacce informatiche 13 . Nella lotta contro la criminalità informatica è stato raggiunto un accordo politico sul regolamento provvisorio contro gli abusi sessuali sui minori online, che sarà adottato a breve 14 , e la nuova strategia della Commissione per la lotta alla criminalità organizzata 15 è incentrata sull'esigenza di dotare le forze di contrasto degli strumenti digitali di cui hanno bisogno. Nel febbraio 2020 la Commissione ha adottato anche un piano d'azione sulle sinergie tra l'industria civile, della difesa e dello spazio che individua un nuovo progetto faro per l'istituzione di un sistema di connettività sicuro globale dell'UE basato sulla tecnologia spaziale. Esso mira a "consentir[e] a tutti i cittadini europei di usufruire di connessioni ad alta velocità e fornir[e] un sistema di connettività resiliente che permetterà all'Europa di rimanere connessa in ogni circostanza" 16 .

Da una prospettiva internazionale, in linea con le ambizioni fissate nel quadro della "bussola strategica" (Strategic Compass) 17 , l'alto rappresentante sta attualmente preparando il riesame del quadro strategico dell'UE in materia di ciberdifesa che sarà presentato agli Stati membri nella seconda metà del 2021. L'alto rappresentante si è adoperato per migliorare la capacità dell'UE di prevenzione, dissuasione, deterrenza e risposta nei confronti di attività informatiche dolose, anche rafforzando la cooperazione internazionale. Il 17 maggio 2021 il Servizio europeo per l'azione esterna (SEAE) ha organizzato, in collaborazione con la presidenza portoghese e l'Istituto dell'Unione europea per gli studi sulla sicurezza (IUESS), un dibattito basato su scenari con gli Stati membri dell'UE e i partner internazionali per migliorare la reciproca comprensione dei rispettivi approcci diplomatici in termini di prevenzione, dissuasione, deterrenza e risposta nei confronti di attività informatiche dolose e al fine di individuare opportunità per rafforzare ulteriormente la cooperazione internazionale a tal fine 18 . Per rafforzare ulteriormente il pacchetto di strumenti della diplomazia informatica dell'UE, il SEAE sta raccogliendo gli insegnamenti tratti e può riesaminare gli orientamenti di attuazione del quadro relativo ad una risposta diplomatica comune dell'UE alle attività informatiche dolose.

Come annunciato nella strategia dell'UE in materia di cibersicurezza per il decennio digitale, la Commissione sta avviando uno studio per sviluppare strumenti di sensibilizzazione volti a migliorare la preparazione e la resilienza delle imprese dell'UE nei confronti dei furti di proprietà intellettuale favoriti dall'informatica 19 . La Commissione ha anche intensificato le azioni di applicazione in relazione alla direttiva 2013/40/UE relativa agli attacchi contro i sistemi di informazione avviando ulteriori procedure d'infrazione nei confronti di svariati Stati membri nel giugno 2021 20 . La Commissione prenderà in considerazione ulteriori azioni, se del caso. Sarà altrettanto cruciale migliorare la disponibilità delle capacità di cibersicurezza nella forza lavoro dell'UE; il centro di competenza della cibersicurezza realizzerà azioni chiave in tal senso con lo scopo di migliorare le conoscenze e la capacità e di promuovere le competenze interdisciplinari da sviluppare nel settore della cibersicurezza.

II.3    Promuovere un ciberspazio globale e aperto

Il panorama delle minacce è aggravato dalle tensioni geopolitiche riguardanti la rete Internet globale e aperta e le tecnologie lungo l'intera catena di approvvigionamento. Le restrizioni di Internet e su Internet, l'aumento di attività informatiche dolose e di quelle che colpiscono la sicurezza e l'integrità dei prodotti e dei servizi delle tecnologie dell'informazione e della comunicazione sono una minaccia per il ciberspazio globale e aperto, nonché per lo Stato di diritto, i diritti umani, le libertà fondamentali e i valori democratici. L'alto rappresentante, insieme con gli Stati membri, lavora pertanto al fine di promuovere un comportamento responsabile degli Stati nel ciberspazio, in particolare definendo, unitamente ad altri 53 copatrocinatori, un programma d'azione (PoA) volto a promuovere un comportamento responsabile degli Stati a livello delle Nazioni Unite, sulla base delle raccomandazioni della relazione approvata per consenso il 12 marzo 2021 dal gruppo di lavoro aperto sugli sviluppi nel settore delle tecnologie dell'informazione e delle telecomunicazioni nel contesto della sicurezza internazionale 21 . L'UE sta lavorando al rafforzamento e all'ampliamento delle relazioni con i paesi terzi, le organizzazioni internazionali e regionali e le comunità multipartecipative tramite i dialoghi in materia di ciberspazio, come definito nella strategia, con l'istituzione di una rete della diplomazia informatica dell'UE. Inoltre il comitato dell'UE per lo sviluppo delle capacità informatiche 22 , che è in fase di creazione, consentirà alle istituzioni, agli organi e agli organismi dell'UE di coordinarsi e cooperare meglio in materia di sforzi per lo sviluppo delle capacità informatiche esterne dell'UE.

Nel contesto delle Nazioni Unite, il 26 maggio 2021 l'Assemblea generale ha adottato le modalità di lavoro del comitato ad hoc istituito con la risoluzione 74/247 sul "contrasto all'uso di tecnologie dell'informazione e della comunicazione a scopi criminali" 23 . Le modalità finali adottate comprendono elementi importanti per garantire procedure decisionali inclusive e una maggiore partecipazione della società civile nei lavori del comitato ad hoc. La prima sessione negoziale del processo che porterà a una nuova convenzione delle Nazioni Unite si terrà a New York nel gennaio 2022.

Durante la sessione plenaria del 28 maggio 2021 del comitato degli Stati parte della convenzione di "Budapest" del Consiglio d'Europa sulla criminalità informatica, gli Stati parte hanno concluso le discussioni e adottato un progetto di testo del secondo protocollo addizionale alla convenzione 24 , che dovrebbe migliorare la cooperazione sulla criminalità informatica e le prove elettroniche nelle indagini penali. La Commissione ha preso parte a queste discussioni a nome dell'UE 25 . Ciò dovrebbe costituire una base per la conclusione formale dei negoziati nel corso della seconda metà del 2021 e per la successiva apertura alla firma del secondo protocollo addizionale all'inizio del 2022.

Insieme con i suoi partner, nel giugno 2021 l'UE ha reiterato la propria determinazione a lavorare insieme per far fronte all'urgente e sempre maggiore minaccia delle reti di ransomware criminali che rappresentano un rischio per i nostri cittadini e le nostre società, per portare avanti una comprensione comune di come il diritto internazionale vigente si applichi al ciberspazio e per promuovere questo approccio presso le Nazioni Unite e in altri consessi internazionali, esortando tutti gli Stati a individuare con urgenza le reti di ransomware criminali che operano dall'interno dei propri confini e a fare in modo che tali reti siano chiamate a rispondere delle loro azioni 26 .

II.4    La cibersicurezza nelle istituzioni, negli organi e negli organismi dell'UE

L'UE sta attualmente innalzando gli standard per la cibersicurezza e la sicurezza dell'informazione nelle istituzioni, negli organi e negli organismi dell'UE. La Commissione sta avviando le consultazioni dei portatori di interessi ed effettuando un'analisi comparativa delle attuali politiche al fine di adottare le proposte prima della fine del 2021.

III.Contesto della relazione

La Commissione e l'alto rappresentante hanno adottato la strategia dell'UE in materia di cibersicurezza il 16 dicembre 2020. Questa definisce le priorità e le azioni chiave per rafforzare la resilienza, l'autonomia, la leadership e la capacità operativa dell'Europa a fronte delle crescenti e complesse minacce alle sue reti e ai suoi sistemi di informazione e per promuovere un ciberspazio globale e aperto e i relativi partenariati internazionali. La Commissione e l'alto rappresentante si sono impegnati a monitorare i progressi compiuti nell'attuazione della strategia.

Il Consiglio europeo, nella sua dichiarazione del 26 febbraio 2021, ha invitato la Commissione e l'alto rappresentante a riferire in merito all'attuazione della strategia entro giugno 2021 27 . Il Consiglio, nelle conclusioni adottate il 9 marzo 2021, ha accolto con favore la strategia, sottolineando come la cibersicurezza fosse essenziale per costruire un'Europa resiliente, verde e digitale e ha incoraggiato la Commissione e l'alto rappresentante a definire un piano di attuazione dettagliato che stabilisse le priorità e il calendario delle azioni previste 28 . La strategia è all'esame delle commissioni competenti del Parlamento europeo, con una particolare attenzione accordata al rischio di regolamentazione frammentata e all'opportunità di rafforzare l'industria europea nel suo percorso di digitalizzazione 29 . Il 27 aprile il Comitato economico e sociale europeo ha adottato un parere che ha accolto con favore la strategia quale passo positivo verso la protezione dalle minacce informatiche globali e la salvaguardia della crescita economica 30 .

La presente relazione risponde a tali sviluppi e in particolare all'invito del Consiglio europeo.

   

(1)

Comunicazione congiunta al Parlamento europeo e al Consiglio, La strategia dell'UE in materia di cibersicurezza per il decennio digitale, JOIN (2020) 18.

(2)

SolarWinds, una delle principali aziende statunitensi di tecnologie informatiche, nel 2020 è stata oggetto di un attacco informatico che si è diffuso anche ai suoi clienti e che è non è stato individuato per mesi, consentendo agli hacker di accedere a migliaia di società e uffici governativi che utilizzavano i prodotti della suite Orion, fra cui sei istituzioni, organi e organismi dell'UE. Dal gennaio 2021 sono stati scoperti svariati zero-day exploit in Microsoft Exchange Server a danno dei sistemi di posta elettronica in tutto il mondo. Nel mese di maggio il servizio sanitario nazionale irlandese è stato oggetto di un attacco che ha causato un impatto significativo sulla continuità del servizio. Colonial Pipeline, il maggior operatore statunitense di oleodotti, ha dovuto interrompere le attività il 7 maggio dopo aver scoperto che un attacco informatico aveva penetrato uno dei suoi principali sistemi informatici, mentre nel giugno 2021 JBS USA Holdings Inc., la filiale statunitense del maggior fornitore di carne al mondo in termini di fatturato, è stata oggetto di un attacco ransomware che ha causato gravi interruzioni delle attività.

(3)

Proposta di direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148, COM(2020) 823.

(4)

Proposta di direttiva sulla resilienza dei soggetti critici, COM(2020) 829.

(5)

Proposta di regolamento relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) N. 600/2014 e (UE) n. 909/2014, COM(2020) 595; proposta di direttiva che modifica le direttive 2006/43/CE, 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 e UE 2016/2341, COM(2020) 596.

(6)

[Raccomandazione sull'unità congiunta per il ciberspazio].

(7)

Regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio, del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento.

(8)

Il Centro europeo di competenza per la cibersicurezza svolgerà i propri compiti in particolare adottando decisioni relative ai fondi per la cibersicurezza provenienti dal programma Europa digitale, dal programma Orizzonte Europa e dagli Stati membri e gestendo tali fondi.

(9)

  https://ec.europa.eu/digital-single-market/en/news/future-quantum-eu-countries-plan-ultra-secure-communication-network . 

(10)

Relazione sull'impatto della raccomandazione della Commissione, del 26 marzo 2019, sulla cibersicurezza delle reti 5G, SWD(2020) 357 final, 16 dicembre 2020.

(11)

La preparazione del sistema si basa sul sostegno del gruppo di cooperazione NIS ed è conforme all'articolo 48 del regolamento sulla cibersicurezza; regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013. https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5g-networks-commission-requests-eu-cybersecurity-agency-develop-certification .

(12)

  https://ec.europa.eu/education/education-in-the-eu/digital-education-action-plan_it . 

(13)

[L'Unità congiunta per il ciberspazio consentirà una risposta coordinata alle crisi e agli incidenti informatici su vasta scala e la ripresa dagli stessi e aiuterà a garantire la mobilitazione di risorse per l'assistenza. Essa coinvolgerà esperti delle comunità della cibersicurezza per costruire una consapevolezza situazionale condivisa e garantire la necessaria preparazione. Coordinerà anche i meccanismi di assistenza su richiesta di uno o più Stati membri.]

(14)

  https://www.europarl.europa.eu/news/it/press-room/20210430IPR03213/provisional-agreement-on-temporary-rules-to-detect-and-remove-online-child-abuse . 

(15)

Strategia dell'UE per la lotta alla criminalità organizzata 2021-2025, COM(2021) 170 del 14.4.2021.

(16)

COM (2021) 70 del 22.2.2021.

(17)

Conclusioni del Consiglio sulla sicurezza e la difesa del 17 giugno 2020 (8910/20).

(18)

  https://eeas.europa.eu/headquarters/headquarters-homepage/98588/cyberspace-strengthening-cooperation-promoting-security-and-stability_it . 

(19)

 COM(2020) 760 del 25.11.2020.

(20)

Gli Stati membri in questione sono Austria, Belgio, Repubblica ceca, Estonia, Lussemburgo, Polonia e Svezia.

(21)

  https://front.un-arm.org/wp-content/uploads/2021/03/Final-report-A-AC.290-2021-CRP.2.pdf . 

(22)

  https://www.eucybernet.eu/ .

(23)

  https://www.unodc.org/unodc/en/cybercrime/cybercrime-adhoc-committee.html .

(24)

https://rm.coe.int/0900001680a2aa42.

(25)

Il secondo protocollo addizionale alla convenzione di Budapest sulla criminalità informatica include misure e salvaguardie per migliorare la cooperazione internazionale fra le autorità giudiziarie e di contrasto, nonché fra le autorità e i fornitori di servizi in altri paesi. La Commissione partecipa ai negoziati su tale protocollo a nome dell'UE; decisione del Consiglio del giugno 2019 (rif. 9116/19).

(26)

Dichiarazione del vertice UE-USA, 15 giugno 2021; https://www.consilium.europa.eu/media/50443/eu-us-summit-joint-statement-15-june-final-final.pdf . Comunicato del vertice del G7 di Carbis Bay: Il nostro programma comune di azione globale per ricostruire meglio, 13 giugno 2021; https://www.consilium.europa.eu/media/50361/carbis-bay-g7-summit-communique.pdf . 

(27)

  https://www.consilium.europa.eu/media/48625/2526-02-21-euco-statement-en.pdf . 

(28)

  https://www.consilium.europa.eu/it/press/press-releases/2021/03/22/cybersecurity-council-adopts-conclusions-on-the-eu-s-cybersecurity-strategy/ . 

(29)

(2021/2568(RSP)).

(30)

  https://www.eesc.europa.eu/en/our-work/opinions-information-reports/opinions/communication-cybersecurity-strategy . 


Bruxelles, 23.6.2021

JOIN(2021) 14 final

ALLEGATO

della

comunicazione congiunta al Parlamento europeo e al Consiglio

Relazione sull'attuazione della strategia dell'UE in materia di cibersicurezza per il decennio digitale


Progressi nell'attuazione delle iniziative strategiche

Riferimento

Iniziativa

COM/Alto rappresentante

Stato

(1)Resilienza, sovranità tecnologica e leadership

1.1

Adozione della direttiva NIS riveduta

COM

La posizione del Parlamento dovrebbe essere finalizzata verso la fine del 2021. La relazione sullo stato di avanzamento dei negoziati è stata presentata dal Consiglio nel mese di giugno.

Al fine di integrare questo aspetto e affrontare le norme specifiche del settore dell'energia, è in fase di sviluppo un codice di rete sulla cibersicurezza a norma del regolamento (UE) 2019/943 ("regolamento sull'energia elettrica") per aumentare la resilienza e la protezione del settore dell'energia. Per quanto concerne il regolamento e la direttiva relativi alla resilienza operativa digitale (DORA), la posizione del Parlamento dovrebbe essere finalizzata nella seconda metà del 2021. Un approccio generale sulla proposta dovrebbe essere raggiunto dal Consiglio nel giugno 2021.

1.2

Misure di regolamentazione per un'Internet delle cose sicura

COM

Sono in corso studi su norme complete e consultazioni a riguardo.

Sono stati compiuti progressi verso l'eventuale adozione nel 2021 di un atto delegato ai sensi della direttiva sulle apparecchiature radio (direttiva 2014/53/UE); a partire dal luglio 2022 dovranno essere attuate le norme per i veicoli a motore applicabili a tutti i nuovi tipi di veicolo.

La Commissione sta lavorando con i portatori di interessi sul ruolo della certificazione della cibersicurezza per i prodotti, i processi e i servizi in vari settori.    

1.3

Realizzazione di investimenti nella cibersicurezza (in particolare a titolo del programma Europa digitale, di Orizzonte Europa e del dispositivo per la ripresa e la resilienza), segnatamente tramite il Centro di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca e, ove disponibile, la rete di centri di competenza, per un valore fino a 4,5 miliardi di EUR in investimenti pubblici e privati per il periodo 2021-2027

COM

I nuovi programmi di lavoro per i meccanismi finanziari di Orizzonte Europa e del programma Europa digitale saranno adottati a breve e gestiti dal nuovo Centro di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca e dalla rete di centri di competenza.

1.4

Una rete UE di centri operativi di sicurezza basati sull'IA (il "ciberscudo" dell'UE) e un'infrastruttura di comunicazione quantistica ultrasicura (EuroQCI)

COM

Gli Stati membri sono stati incoraggiati a sviluppare capacità operative nazionali tramite i centri operativi di sicurezza (SOC). Svariati Stati membri intendono utilizzare il dispositivo per la ripresa e la resilienza al fine di promuovere i SOC e sono in corso le discussioni fra la Commissione e altre istituzioni, organi e organismi dell'UE e gli Stati membri sulle modalità per collegare i SOC e le capacità di hosting e analitiche 1 .

Gli Stati membri continuano a lavorare per portare avanti l'iniziativa EuroQCI con la Commissione e l'Agenzia spaziale europea. Il piano d'azione EuroQCI è in attesa dell'approvazione degli Stati membri. Il primo programma Europa digitale invita a sostenere le reti nazionali QCI e lo sviluppo delle tecnologie chiave necessarie affinché si possa avviare a breve l'EuroQCI.

Nel febbraio 2020 la Commissione ha adottato un piano d'azione sulle sinergie tra l'industria civile, della difesa e dello spazio che individua un nuovo progetto faro per l'istituzione di un sistema di connettività sicuro globale dell'UE basato sulla tecnologia spaziale. Svariati Stati membri hanno inserito iniziative sulla connettività sicura nei propri piani per la ripresa e la resilienza.

Le azioni nell'ambito del meccanismo per collegare l'Europa (MCE2) - Digitale sosterranno la costruzione di collegamenti transfrontalieri fra le reti nazionali. Svariati Stati membri hanno inserito l'EuroQCI nei propri piani per la ripresa e la resilienza.

1.5

Adozione diffusa delle tecnologie di cibersicurezza attraverso un supporto dedicato alle PMI nell'ambito dei poli dell'innovazione digitale

COM

La Commissione si sta adoperando per garantire che siano forniti contenuti e competenze in materia di cibersicurezza mediante l'iniziativa dei poli europei dell'innovazione digitale nell'ambito del programma Europa digitale e d'intesa con i centri nazionali di coordinamento sulla cibersicurezza. I portatori di interessi in materia di cibersicurezza, fra cui l'Organizzazione europea per la cibersicurezza, stanno sviluppando un "catalogo dei servizi" per i poli di innovazione incentrati sulla cibersicurezza.

1.6

Sviluppo di un servizio di risoluzione DNS dell'UE quale alternativa aperta e sicura di accesso a Internet per i cittadini, le imprese e l'amministrazione pubblica dell'UE (DNS4EU)

COM

Sono stati stanziati finanziamenti per lo sviluppo del servizio DNS4EU nell'ambito del programma di lavoro 2021-23 del meccanismo per collegare l'Europa (MCE2) - Digitale 2 e per il 2021 è previsto un invito a presentare proposte.

Oltre alla sicurezza Internet, la Commissione sta discutendo con i portatori di interessi del settore e intende avviare uno studio per definire un piano di emergenza, sostenuto da finanziamenti dell'UE, per affrontare scenari estremi che compromettono l'integrità e la disponibilità del sistema root DNS globale.

Attualmente è in fase di preparazione (l'avvio è previsto per l'autunno 2021) uno studio sul monitoraggio dello sviluppo e della diffusione di norme Internet chiave per sostenere le politiche dell'UE e accelerare l'adozione di norme Internet chiave come l'Internet Protocol v6 (IPv6), di norme di sicurezza Internet consolidate e di buone pratiche per la sicurezza di DNS, routing e posta elettronica.

I finanziamenti nell'ambito del programma Europa digitale sono rivolti alla creazione di un Osservatorio Internet nell'ambito delle attività del Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca.

1.7

Completamento dell'attuazione del pacchetto di strumenti per il 5G

COM

Gli Stati membri, sostenuti dalla Commissione e dall'ENISA, hanno conseguito ulteriori progressi nell'attuazione del pacchetto di strumenti per il 5G, in particolare nelle restrizioni ai fornitori ad alto rischio. Altre azioni a livello dell'UE comprendono la preparazione di una proposta di sistema UE di certificazione delle reti 5G e l'avvio da parte del gruppo di cooperazione NIS di un'analisi delle implicazioni dell'Open RAN in materia di sicurezza.

(2)Sviluppare capacità operative di prevenzione, dissuasione e risposta

2.1

Completare il quadro europeo per la gestione delle crisi di cibersicurezza e determinare la procedura, le tappe e le scadenze per l'istituzione dell'unità congiunta per il ciberspazio

COM con AR

Il 23 giugno 2021 la Commissione ha adottato una raccomandazione sull'istituzione di un'unità congiunta per il ciberspazio che definisce le tappe, il processo e il calendario e tiene conto delle discussioni con gli Stati membri.

2.2

Proseguire l'attuazione dell'agenda sulla criminalità informatica nell'ambito della strategia dell'UE per l'Unione della sicurezza

COM

Con il sostegno della Commissione gli Stati membri stanno individuando le migliori pratiche per la registrazione, la produzione e la pubblicazione di dati statistici sulle segnalazioni, le azioni penali e le condanne per i reati di attacco informatico ai sensi della direttiva 2013/40/UE relativa agli attacchi contro i sistemi di informazione.

La Commissione sta monitorando i progressi compiuti a seguito delle procedure d'infrazione avviate nei confronti di sette Stati membri riguardanti l'inadeguato recepimento della direttiva 2013/40/UE. Ulteriori procedure potrebbero essere avviate nel corso del 2021.

La Commissione ha avviato uno studio sul furto di identità i cui risultati sono attesi entro dicembre 2021.

La raccolta di dati statistici sui reati sarà estesa nel 2021, conformemente all'articolo 14 della direttiva 2013/40/UE.

2.3

Promuovere e facilitare l'istituzione di un gruppo di lavoro di intelligence informatica degli Stati membri all'interno del Centro UE di situazione e di intelligence (INTCEN)

AR

L'AR continua a promuovere e facilitare la creazione di un gruppo di lavoro di intelligence informatica degli Stati membri per rafforzare la capacità dedicata dell'INTCEN in questo ambito, sulla base di contribuiti di intelligence volontari da parte degli Stati membri e ferme restando le rispettive competenze. Ulteriori discussioni sono previste fra il SEAE e gli Stati membri.

2.4

Promuovere la posizione di dissuasione informatica dell'UE per prevenire, scoraggiare, dissuadere e rispondere alle attività informatiche dolose

AR con COM

Il SEAE sta riesaminando gli orientamenti attuativi del quadro relativo ad una risposta diplomatica comune dell'UE alle attività informatiche dolose per aiutare lo sviluppo del pacchetto di strumenti della diplomazia informatica 3 . Una proposta sulla posizione in materia di dissuasione informatica è in preparazione in vista della sua presentazione al Consiglio da parte dell'AR per l'inizio del 2022, con la partecipazione della Commissione in linea con le sue competenze.

Il 16 aprile 2021 è stata rilasciata una dichiarazione a nome dell'UE per esprimere solidarietà agli Stati Uniti in merito all'impatto delle attività informatiche dolose, in particolare dell'attacco informatico SolarWinds 4 .

Per promuovere ulteriormente la cooperazione internazionale, il 17 maggio 2021 il SEAE ha ospitato, con la presidenza del Consiglio e l'Istituto dell'Unione europea per gli studi sulla sicurezza, un dibattito volto a migliorare la reciproca comprensione dei rispettivi approcci diplomatici in termini di prevenzione, dissuasione, deterrenza e risposta nei confronti di attività informatiche dolose.

2.5

Riesaminare il quadro strategico dell'UE in materia di ciberdifesa

AR con COM

Il riesame del quadro strategico dell'UE in materia di ciberdifesa d'intesa con gli Stati membri e i portatori di interessi è stato avviato nel maggio 2021.

2.6

Facilitare lo sviluppo di una "visione e strategia militari dell'UE sul ciberspazio come dominio operativo" per le missioni e le operazioni militari della PSDC

AR

La visione e strategia militari sul ciberspazio come dominio operativo devono informare le strategie nazionali e sostenere così l'armonizzazione degli sforzi nella ciberdifesa a livello dell'UE. Il secondo workshop sullo sviluppo concettuale della ciberdifesa dell'UE si è tenuto il 28-29 aprile 2021, in vista della presentazione al comitato militare dell'UE nel giugno 2021.

2.7

Sostenere sinergie tra l'industria civile, della difesa e dello spazio

COM

Il piano d'azione per sostenere le sinergie fra i settori è stato adottato nel febbraio 2021.

2.8

Rinforzare la cibersicurezza delle infrastrutture spaziali critiche nell'ambito del programma spaziale

COM

Un programma di lavoro è in preparazione.

(3)Promuovere un ciberspazio globale e aperto

3.1

Definire una serie di obiettivi nei processi di normazione internazionale e promuoverli a livello internazionale

COM

Il lavoro su questi obiettivi è in corso.

3.2

Promuovere la sicurezza e la stabilità internazionali nel ciberspazio, in particolare attraverso la proposta dell'UE e dei suoi Stati membri di un programma d'azione per promuovere un comportamento responsabile degli Stati nel ciberspazio in seno alle Nazioni Unite

AR

L'UE prosegue le attività di definizione del programma d'azione, sulla base della relazione approvata per consenso il 12 marzo 2021 dal gruppo di lavoro aperto delle Nazioni Unite sugli sviluppi nel settore dell'informazione e delle telecomunicazioni nel contesto della sicurezza internazionale.

3.3

Offrire orientamenti pratici sull'applicazione dei diritti umani e delle libertà fondamentali nel ciberspazio

AR con COM

Sulla base del piano d'azione per i diritti umani e la democrazia (2020-2024) e degli orientamenti in materia di diritti umani per la libertà di espressione online e offline, l'UE continuerà a promuovere una maggiore conformità al diritto e alle norme internazionali in materia di diritti umani; le riunioni di coordinamento con i portatori di interessi pertinenti sono programmate per la seconda metà del 2021.

3.4

Proteggere maggiormente i minori dall'abuso e dallo sfruttamento sessuale, nonché sviluppare una strategia sui diritti dei minori

COM

Il Parlamento europeo e il Consiglio hanno raggiunto un accordo nel maggio 2021 concernente un regolamento provvisorio per garantire che i fornitori di servizi di comunicazione online possano continuare le proprie pratiche volontarie di individuazione e segnalazione di abusi sessuali sui minori online e di rimozione di materiale pedopornografico. La Commissione sta sviluppando una proposta relativa a un quadro permanente.

3.5

Rafforzare e promuovere la convenzione di Budapest sulla criminalità informatica, anche attraverso il lavoro sul secondo protocollo addizionale alla convenzione di Budapest

COM con AR

La Commissione partecipa ai negoziati per il secondo protocollo addizionale a nome dell'UE e il protocollo dovrebbe poter essere aperto alla firma entro l'inizio del 2022.

3.6

Estendere il dialogo dell'UE in materia di ciberspazio con paesi terzi, organizzazioni internazionali e regionali, anche attraverso una rete informale della diplomazia informatica dell'UE

AR con COM

L'UE sta riflettendo su come rafforzare ed espandere l'attuale serie di dialoghi in materia di ciberspazio. Attualmente i dialoghi in materia di ciberspazio si tengono con Brasile, Cina, India, Giappone, Corea del Sud e Stati Uniti. Un primo dialogo UE-Ucraina in materia di ciberspazio si è tenuto il 3 giugno 2021. Inoltre l'accordo sugli scambi commerciali e la cooperazione con il Regno Unito prevede che le parti si adoperino per instaurare un dialogo UE-Regno Unito in materia di ciberspazio.

In collaborazione con le delegazioni dell'UE e le ambasciate dei pertinenti Stati membri in tutto il mondo sono in corso i preparativi per formare una rete informale della diplomazia informatica dell'UE al fine promuovere la visione europea del ciberspazio, scambiare informazioni e coordinarsi regolarmente sugli sviluppi nel ciberspazio. La rete di diplomazia informatica dovrebbe avviare i lavori nella seconda metà del 2021.

3.7

Consolidare gli scambi con la comunità multipartecipativa, in particolare attraverso scambi regolari e strutturati con il settore privato, il mondo accademico e la società civile

COM con AR

È opportuno rafforzare scambi regolari e strutturati con i portatori di interessi, compresi il settore privato, il mondo accademico e la società civile, anche nel contesto della riflessione sull'infrastruttura di dialoghi in materia di questioni legate al ciberspazio (cfr. 3.6 sopra).

3.8

Proporre un'agenda dell'UE per lo sviluppo delle capacità informatiche esterne e un comitato dell'UE per lo sviluppo delle capacità informatiche

COM con AR

Sono in corso le discussioni sull'istituzione del comitato dell'UE per lo sviluppo delle capacità informatiche. Una prima riunione di avvio si è tenuta nell'aprile 2021. Una volta istituito, il comitato svilupperà la propria agenda.

La cibersicurezza nelle istituzioni, negli organi e negli organismi dell'UE

A.1

Regolamento sulle norme in materia di sicurezza dell'informazione comuni a tutte le istituzioni, gli organi e gli organismi dell'UE

COM

La Commissione sta consultando altre istituzioni, organi e organismi e gli esperti della sicurezza nazionale degli Stati membri in vista dell'adozione di una proposta nel quarto trimestre del 2021.

A.2

Regolamento sulle norme comuni in materia di cibersicurezza per le istituzioni, gli organi e gli organismi dell'UE

COM

La Commissione, con altre istituzioni, organi e organismi, sta effettuando un'analisi comparativa delle politiche di cibersicurezza e valutando il panorama delle minacce in vista dell'adozione di una proposta nel quarto trimestre del 2021.

A.3

Una nuova base giuridica per il CERT-UE al fine di consolidarne mandato e finanziamenti

COM

La Commissione, con altre istituzioni, organi e organismi, sta valutando le nuove norme comuni in materia di cibersicurezza, che probabilmente saranno proposte nell'ambito della sezione A.2 di cui sopra, come base giuridica per rafforzare il CERT-UE al fine di affrontare il numero crescente di incidenti significativi.

(1)

Sono in corso discussioni con la rete di CSIRT, la rete delle organizzazioni di collegamento per le crisi informatiche (CyCLoNe) e il Gruppo di cooperazione NIS.

(2)

Il 12 marzo 2021 il Parlamento e il Consiglio hanno raggiunto un accordo sulla proposta relativa al meccanismo per collegare l'Europa (MCE2).

(3)

Decisioni (PESC) 2020/1127, 2020/1537 e 2020/651 del Consiglio nell'ambito del documento 9916/17.

(4)

  https://www.consilium.europa.eu/it/press/press-releases/2021/04/15/declaration-by-the-high-representative-on-behalf-of-the-european-union-expressing-solidarity-with-the-united-states-on-the-impact-of-the-solarwinds-cyber-operation/ .