Cyber Solidarity Act, un piano condiviso contro le minacce informatiche

Il 18 aprile 2023, la Commissione Europea ha presentato il Cyber Solidarity Act, documento finalizzato a migliorare la preparazione, l’individuazione e la risposta agli attacchi e agli incidenti cyber, significativi e su larga scala, in tutta l’Unione Europea. Con un finanziamento pari a 1,1 miliardi di euro, di cui circa i due terzi provenienti dal programma Europa digitale, si vuole garantire un ambiente digitale sicuro e protetto per i cittadini e le imprese, nonché salvaguardare le realtà critiche e i servizi essenziali dei Paesi membri.

La proposta

Il Cyber Solidarity Act prevede l’attuazione di una serie di strumenti per fronteggiare le minacce alla sicurezza informatica: innanzitutto uno scudo europeo di cybersecurity, l’“European Cyber Shield”, costituito da centri operativi di sicurezza - i Security Operation Centers (SOC) - interconnessi in tutta l’UE, riuniti in diverse piattaforme SOC condivise, con il compito di migliorare il rilevamento, l’analisi e la risposta alle minacce informatiche. A tal fine, i SOC - operativi dal 2024 - si avvarranno di tecnologie avanzate come l’intelligenza artificiale (AI) e l’analisi dei dati per individuare e condividere avvisi su tali minacce con le autorità oltre confine.

Il supporto agli Stati membri nella preparazione e nella risposta a incidenti di sicurezza informatica di grande portata è invece demandato al “Cybersecurity Emergency Mechanism”, il meccanismo di emergenza informatica. Attraverso una valutazione comune del rischio, a livello UE, verranno identificate le potenziali vulnerabilità di settori cruciali quali ad esempio la sanità, la finanza e l’energia. Viene poi istituita una riserva di cybersicurezza dell’UE, vale a dire una serie di servizi in risposta agli incidenti offerti da fornitori di servizi privati di fiducia, che possono essere attivati su richiesta degli Stati membri o di istituzioni, organismi e agenzie dell’Unione, per aiutare ad affrontare problemi importanti o incidenti di sicurezza informatica su larga scala. Il meccanismo sosterrà inoltre uno Stato membro che offre assistenza reciproca a un altro Stato membro colpito da un incidente di cybersecurity.

Infine, viene creato il “Cybersecurity Incident Review Mechanism” per esaminare e valutare gli incidenti particolarmente significativi o di grandi dimensioni. Su richiesta della Commissione o delle autorità nazionali (l’UE-CyCLONe o la rete dei CSIRT), l’Agenzia dell’UE per la cybersecurity (ENISA) sarà responsabile dell’esame di specifici incidenti al fine di stilare una relazione che includa le considerazioni relative all’episodio e le eventuali raccomandazioni per migliorare la risposta informatica dell’Unione.

A scuola di competenze

Sempre nell’ottica di perseguire l’obiettivo di un ciberspazio aperto, sicuro e stabile, la Commissione Europea ha inoltre presentato una “Cybersecurity Skills Academy”, nell’ambito dell’Anno Europeo delle Competenze 2023, per garantire un approccio più coordinato nel colmare il divario di conoscenze in materia di sicurezza informatica, un prerequisito per rafforzare la resilienza dell’Europa.

L’Accademia riunirà varie iniziative esistenti, pubbliche e private, volte a promuovere la preparazione in materia di cybersecurity e le renderà disponibili su una piattaforma online, con lo scopo di aumentare il numero di professionisti qualificati in materia di cybersicurezza nell’UE. Nello specifico, la Cybersecurity Skills Academy sarà inizialmente ospitata online sulla piattaforma Digital Skills and Jobs della Commissione Europea. I cittadini interessati a intraprendere una carriera nella cybersicurezza potranno così reperire materiale per la formazione e percorsi di certificazione da tutta l’UE in un unico luogo sulla rete. Le parti interessate potranno inoltre impegnarsi a sostenere il miglioramento delle competenze in materia di sicurezza informatica nell’UE avviando azioni specifiche, come l’offerta di corsi di formazione e certificazioni in materia di cybersecurity. L’Accademia si evolverà, poi, per includere uno spazio comune per il mondo accademico, per chi si occuperà di formazione e per le aziende aiutandoli a coordinare programmi di istruzione, formazione, finanziamento e a monitorare l’evoluzione del mercato del lavoro della sicurezza informatica.

Infine, la Commissione ha proposto una modifica mirata alla normativa sulla sicurezza informatica, per consentire la futura adozione di sistemi di certificazione europei per i “servizi di sicurezza gestiti”. Si tratta di servizi altamente critici e sensibili forniti dai fornitori di servizi di sicurezza informatica, come risposta agli incidenti, penetration test, audit di sicurezza e consulenza, per aiutare le aziende e altre organizzazioni a prevenire, rilevare, rispondere o riprendersi da incidenti informatici. L’attenzione all’aspetto di certificazione è fondamentale e può svolgere un ruolo importante nel contesto della cybersecurity e della direttiva recante misure per un livello comune elevato di sicurezza informatica in tutta l’Unione (direttiva NIS 2), facilitando anche la fornitura transfrontaliera di tali servizi.