La Commissione presenta oggi il progetto di una nuova unità congiunta per il ciberspazio per far fronte all'aumento degli incidenti informatici gravi che incidono sui servizi pubblici e sulla vita delle imprese e dei cittadini in tutta l'Unione europea. Diventa sempre più necessario mettere in campo risposte avanzate e coordinate in materia di cibersicurezza di fronte a un numero crescente di attacchi informatici dalle dimensioni e ricadute sempre maggiori e con un forte impatto sulla nostra sicurezza. Tutti gli attori interessati nell'UE devono essere pronti a rispondere collettivamente e a scambiarsi le informazioni del caso in base al principio della "necessità di condividere", anziché della semplice "necessità di sapere".
Annunciata per la prima volta dalla presidente Ursula von der Leyen negli orientamenti politici, l'unità congiunta per il ciberspazio sta ora prendendo forma, con l'obiettivo di riunire le risorse e le competenze a disposizione dell'UE e dei suoi Stati membri per una prevenzione, deterrenza e risposta efficaci alle crisi e agli incidenti informatici su vasta scala. Troppo spesso i soggetti coinvolti nella cibersicurezza, comprese le comunità civili, di contrasto, diplomatiche e di difesa informatica, come pure i partner del settore privato, operano indipendentemente gli uni dagli altri. Con l'unità congiunta per il ciberspazio questi soggetti disporranno di una piattaforma virtuale e fisica di cooperazione: le istituzioni, gli organi e le agenzie competenti dell'UE, insieme agli Stati membri, costruiranno progressivamente una piattaforma europea di solidarietà e assistenza per contrastare gli attacchi informatici su vasta scala.
La raccomandazione sull'istituzione di un'unità congiunta per il ciberspazio è un passo importante verso il completamento del quadro europeo per la gestione delle crisi di cibersicurezza. Si tratta di un risultato concreto della strategia dell'UE per la cibersicurezza e della strategia dell'UE per l'Unione della sicurezza, che contribuisce alla sicurezza dell'economia e della società digitali.
Di questo pacchetto fa parte anche la relazione presentata oggi dalla Commissione sui progressi compiuti negli ultimi mesi nell'ambito della strategia dell'UE per l'Unione della sicurezza. La Commissione e l'Alto rappresentante dell'Unione per gli Affari esteri e la politica di sicurezza hanno inoltre presentato la prima relazione di attuazione della strategia per la cibersicurezza, come richiesto dal Consiglio europeo, e nel contempo hanno pubblicato la quinta relazione sui progressi compiuti nell'attuazione del quadro congiunto del 2016 per contrastare le minacce ibride e della comunicazione congiunta del 2018 sul rafforzamento della resilienza e sul potenziamento delle capacità di affrontare minacce ibride. La Commissione ha infine adottato la decisione che istituisce l'ufficio dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) a Bruxelles, in conformità al regolamento sulla cibersicurezza.
Una nuova unità congiunta per il ciberspazio per prevenire e rispondere agli incidenti informatici su vasta scala
L'unità congiunta per il ciberspazio sarà una piattaforma che garantirà una risposta coordinata dell'UE alle crisi e agli incidenti informatici su vasta scala e offrirà assistenza nella fase di ripresa da tali attacchi. Oggi nell'UE e negli Stati membri sono molti i soggetti coinvolti, in diversi campi e settori. Nonostante le possibili specificità dei singoli settori, le minacce sono spesso comuni, e quindi vi è la necessità di coordinamento, di condivisione delle conoscenze e persino di meccanismi di preallerta.
I partecipanti saranno invitati a fornire risorse operative per l'assistenza reciproca nel quadro dell'unità congiunta per il ciberspazio (elenco dei partecipanti proposti disponibile qui). L'unità consentirà ai partecipanti di condividere le migliori pratiche e informazioni in tempo reale sulle potenziali minacce nei rispettivi settori. Si attiverà inoltre a livello operativo e tecnico per: definire il piano di risposta dell'UE a crisi e incidenti di cibersicurezza, sulla base dei piani nazionali; istituire e mobilitare le squadre di reazione rapida dell'UE per la cibersicurezza; facilitare l'adozione di protocolli di assistenza reciproca tra i partecipanti; istituire capacità nazionali e transfrontaliere di monitoraggio e rilevamento, compresi i centri operativi di sicurezza (SOC), e altro ancora.
L'ecosistema della cibersicurezza dell'UE è ampio e variegato: grazie all'unità congiunta per il ciberspazio si disporrà di uno spazio comune nel quale varie comunità e settori lavoreranno insieme consentendo alle reti esistenti di sfruttare appieno le rispettive potenzialità. Gli sviluppi odierni si basano sul lavoro avviato nel 2017, con la raccomandazione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (il "programma");
La Commissione propone di dar vita all'unità congiunta per il ciberspazio con un processo graduale e trasparente in quattro fasi, cui parteciperanno a pieno titolo gli Stati membri e i diversi soggetti attivi nel settore. L'obiettivo è garantire l'avvio della fase operativa dell'unità congiunta per il ciberspazio a decorrere dal 30 giugno 2022 e la sua piena operatività entro i dodici mesi successivi, ossia entro il 30 giugno 2023. L'Agenzia dell'Unione europea per la cibersicurezza (ENISA) fungerà da segretariato nella fase preparatoria e l'unità congiunta per la cibersicurezza opererà nelle vicinanze dell'ufficio di Bruxelles dell'ENISA e di CERT-UE, la squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'UE.
Gli investimenti necessari per istituire l'unità congiunta per il ciberspazio saranno finanziati dalla Commissione, principalmente attraverso il programma Europa digitale. I fondi serviranno a realizzare la piattaforma fisica e virtuale, a creare e mantenere canali di comunicazione sicuri e a migliorare le capacità di rilevamento. Ulteriori contributi, in particolare per sviluppare le capacità di ciberdifesa degli Stati membri, potranno arrivare dal Fondo europeo per la difesa.
Sicurezza dei cittadini europei online e offline
La Commissione riferisce oggi in merito ai progressi compiuti nell'ambito della strategia dell'UE per l'Unione della sicurezza a garanzia della sicurezza degli europei, e, insieme all'Alto rappresentante dell'Unione per gli Affari esteri e la politica di sicurezza, presenta anche la prima relazione di attuazione della nuova strategia dell'UE per la cibersicurezza.
La Commissione e l'Alto rappresentante hanno presentato la strategia dell'UE per la cibersicurezza nel dicembre 2020. La relazione odierna fa il punto sui progressi compiuti nell'ambito di ciascuna delle 26 iniziative previste dalla strategia e fa riferimento alla recente approvazione, da parte del Parlamento europeo e del Consiglio dell'Unione europea, del regolamento che istituisce il Centro e la rete di competenza sulla cibersicurezza. Grazie alla proposta di direttiva recante misure per un livello comune elevato di cibersicurezza nell'Unione (direttiva NIS riveduta o "NIS 2") sono stati compiuti progressi significativi nel rafforzamento del quadro giuridico volto a garantire la resilienza dei servizi essenziali. Per quanto riguarda la sicurezza delle reti di comunicazione 5G , nella maggior parte degli Stati membri procede speditamente l'attuazione del pacchetto di strumenti per il 5G dell'UE, e sono già stati predisposti, o sono quasi pronti, i quadri necessari per imporre opportune restrizioni ai fornitori di 5G. Il codice europeo delle comunicazioni elettroniche comporta un rafforzamento degli obblighi a carico degli operatori di reti mobili, mentre l'Agenzia dell'Unione europea per la cibersicurezza (ENISA) sta preparando una proposta di sistema UE di certificazione della cibersicurezza delle reti 5G.
La relazione evidenzia inoltre i progressi realizzati dall'Alto rappresentante per promuovere un comportamento responsabile degli Stati nel ciberspazio; si devono in particolare all'Alto rappresentante i passi avanti compiuti verso l'istituzione di un programma d'azione a livello ONU. L'Alto rappresentante ha anche avviato il processo di riesame del quadro strategico dell'UE in materia di ciberdifesa al fine di migliorare la cooperazione nel settore, e sta svolgendo assieme agli Stati membri una riflessione sugli insegnamenti tratti, per migliorare il pacchetto di strumenti della diplomazia informatica dell'UE e individuare opportunità per rafforzare ulteriormente la cooperazione in tal senso a livello UE e in ambito internazionale. Inoltre la relazione sui progressi compiuti nel contrasto alle minacce ibride, pubblicata anch'essa oggi dalla Commissione e dall'Alto rappresentante, evidenzia che, dall'istituzione del quadro congiunto del 2016 per contrastare le minacce ibride, ha preso forma una risposta dell'Unione europea e le azioni dell'UE hanno sostenuto una maggiore conoscenza situazionale, la resilienza dei settori critici, una risposta adeguata e la ripresa dalle sempre più numerose minacce ibride, comprese la disinformazione e i ciberattacchi, in costante aumento dall'inizio della pandemia di coronavirus.
Negli ultimi 6 mesi sono stati compiuti passi importanti anche nell'ambito della strategia dell'UE per l'Unione della sicurezza al fine di garantire la sicurezza nel nostro ambiente fisico e digitale. Sono ormai in vigore regole fondamentali dell'UE che obbligheranno le piattaforme online a rimuovere entro un'ora i contenuti terroristici segnalati dalle autorità degli Stati membri. La Commissione ha inoltre proposto la legge sui servizi digitali, che prevede norme armonizzate per la rimozione di merci, servizi o contenuti illegali online e una nuova struttura di sorveglianza per le piattaforme online di dimensioni molto grandi. La proposta affronta anche la vulnerabilità delle piattaforme dal punto di vista dell'amplificazione dei contenuti nocivi o della diffusione della disinformazione. Il Parlamento europeo e il Consiglio dell'Unione europea hanno concordato una normativa temporanea volta all'individuazione, su base volontaria, da parte dei servizi di comunicazione degli abusi sessuali sui minori online. Si sta inoltre lavorando per migliorare la protezione degli spazi pubblici, aiutando, tra l'altro, gli Stati membri a gestire la minaccia rappresentata dai droni e a rafforzare la protezione dei luoghi di culto e dei grandi impianti sportivi dalle minacce terroristiche, attraverso l'avvio di un programma di sostegno con una dotazione di bilancio di 20 milioni di €. Per coadiuvare meglio gli Stati membri nella lotta contro i reati gravi e il terrorismo, nel dicembre 2020 la Commissione ha inoltre proposto di rafforzare il mandato di Europol, l'agenzia dell'UE per la cooperazione nell'attività di contrasto.
Dichiarazioni di alcuni membri del Collegio
Margrethe Vestager, Vicepresidente esecutiva per Un'Europa pronta per l'era digitale, ha dichiarato: "La cibersicurezza è un presupposto imprescindibile per un'Europa digitale e connessa. Nella società di oggi è fondamentale rispondere in modo coordinato alle minacce. L'unità congiunta per il ciberspazio contribuirà a farci raggiungere questo obiettivo. Insieme possiamo davvero fare la differenza."
Josep Borrell, Alto rappresentante dell'Unione per gli Affari esteri e la politica di sicurezza, ha dichiarato: "L'unità congiunta per il ciberspazio è un passo molto importante dell'Europa per proteggere i governi, i cittadini e le imprese dell'UE dalle minacce informatiche globali. Siamo tutti vulnerabili agli attacchi informatici ed è per questo che è fondamentale la cooperazione a tutti i livelli. Non ha senso parlare di dimensioni grandi o piccole. Dobbiamo difenderci, ma dobbiamo anche essere un modello per gli altri nel promuovere un ciberspazio globale, aperto, stabile e sicuro."
Margaritis Schinas, Vicepresidente per la Promozione dello stile di vita europeo, ha affermato: "I recenti attacchi di tipo ransomware dovrebbero rappresentare un campanello d'allarme e convincerci della necessità di proteggerci da minacce che potrebbero compromettere la nostra sicurezza e il nostro stile di vita europeo. Oggi non possiamo più distinguere tra minacce online e offline. Dobbiamo mettere in comune tutte le nostre risorse per disinnescare i rischi informatici e rafforzare la nostra capacità operativa. Costruire un mondo digitale sicuro e affidabile, fondato sui nostri valori, richiede l'impegno di tutti, anche a livello di attività di contrasto".
Thierry Breton, Commissario per il Mercato interno, ha dichiarato: "L'unità congiunta per il ciberspazio contribuisce a proteggerci dalle crescenti e sempre più complesse minacce informatiche. Abbiamo fissato traguardi e scadenze chiare che ci consentiranno di migliorare concretamente, insieme agli Stati membri, la cooperazione in materia di gestione delle crisi nell'UE, e ci permetteranno anche di individuare le minacce e reagire più rapidamente. Si tratta del braccio operativo del Cyber-Shield europeo."
Ylva Johansson, Commissaria per gli Affari interni, ha dichiarato: "Contrastare gli attacchi informatici è una sfida sempre più grande. Le autorità di contrasto di tutta l'UE possono affrontare al meglio questa nuova minaccia assieme, coordinandosi. L'unità congiunta per il ciberspazio aiuterà i funzionari di polizia degli Stati membri a condividere le competenze e contribuirà a rafforzare le capacità di contrasto a questo tipo di attacchi."
Contesto
La cibersicurezza è una delle principali priorità della Commissione e il fondamento di un'Europa digitale e connessa. L'aumento degli attacchi informatici durante la crisi COVID-19 ha dimostrato quanto sia importante proteggere i sistemi sanitari, i centri di ricerca e altre infrastrutture critiche. È necessaria un'azione incisiva in questo settore affinché l'economia e la società dell'UE siano pronte per il futuro.
L'UE è impegnata a sostenere la strategia per la cibersicurezza con investimenti senza precedenti nella transizione verde e digitale dell'UE, attraverso il bilancio a lungo termine dell'UE 2021-2027, in particolare tramite il programma Europa digitale, Orizzonte Europa e il piano per la ripresa dell'Europa.
Inoltre quando si tratta di cibersicurezza, la nostra sicurezza è quella del nostro anello più debole. Gli attacchi informatici non si fermano alle frontiere fisiche. Il rafforzamento della cooperazione, anche transfrontaliera, nel settore della cibersicurezza è pertanto una priorità dell'UE: negli ultimi anni la Commissione ha guidato e promosso diverse iniziative per migliorare la preparazione collettiva: strutture comuni dell'UE hanno infatti già fornito un supporto agli Stati membri, sia a livello tecnico che operativo. La raccomandazione di oggi sull'istituzione di un'unità congiunta per il ciberspazio è un altro passo avanti verso una maggiore cooperazione e una risposta coordinata alle minacce informatiche.
Allo stesso tempo, la risposta diplomatica comune dell'UE alle attività informatiche dolose, nota come pacchetto di strumenti della diplomazia informatica, incoraggia la cooperazione e promuove un comportamento responsabile degli Stati nel ciberspazio, consentendo all'UE e ai suoi Stati membri di avvalersi di tutte le misure della politica estera e di sicurezza comune, comprese le misure restrittive, a fini di prevenzione, dissuasione, deterrenza e risposta alle attività informatiche dolose.
Per garantire la sicurezza sia nel nostro ambiente fisico che in quello digitale, nel luglio 2020 la Commissione ha presentato la strategia dell'UE per l'Unione della sicurezza per il periodo 2020-2025, incentrata sui settori prioritari nei quali l'UE può apportare un valore aggiunto e aiutare gli Stati membri a promuovere la sicurezza di tutti coloro che vivono in Europa: lotta contro il terrorismo e la criminalità organizzata; prevenzione e individuazione delle minacce ibride e aumento della resilienza delle nostre infrastrutture critiche; promozione della cibersicurezza, della ricerca e dell'innovazione.
Per maggiori informazioni
Scheda informativa: unità congiunta per il ciberspazio
Infografica: ecosistema della cibersicurezza dell'UE
Raccomandazione sull'istituzione di un'unità congiunta per il ciberspazio
Prima relazione sull'attuazione della strategia dell'UE per la cibersicurezza
Seconda relazione sullo stato di avanzamento dei lavori nell'ambito della strategia dell'UE per l'Unione della sicurezza (cfr. anche allegato 1 e allegato 2)
Quinta relazione sui progressi compiuti nell'attuazione del quadro congiunto del 2016 per contrastare le minacce ibride
Comunicato stampa: Nuova strategia dell'UE per la cibersicurezza e nuove norme per rendere più resilienti i soggetti critici fisici e digitali
Strategia dell'UE per l'Unione della sicurezza
Dettagli
- Data di pubblicazione
- 23 giugno 2021