Unione Europea
In una relazione che tiene conto dei progressi realizzati nell’attuazione del piano d’azione europeo del 2009, la Commissione europea si è complimentata con gli Stati membri per gli sforzi intrapresi nella protezione delle infrastrutture informatiche critiche da possibili cyber attacchi e cyber perturbazioni. La relazione sottolinea, tuttavia, la necessità di procedere a ulteriori azioni in questo settore – in particolar modo per creare, entro il 2012, una rete efficiente di gruppi di pronto intervento informatico (CERT). La sicurezza informatica e la protezione delle infrastrutture critiche in questo settore sono elementi vitali per i cittadini e per le aziende – se si vuole che gli utenti si rivolgano con fiducia a internet e alle altre reti – e rappresentano una priorità fondamentale dell’Agenda digitale europea.
La commissaria europea per l’Agenda digitale e vicepresidente della Commissione Neelie Kroes ha dichiarato: “I cittadini europei necessitano e desiderano un accesso a reti e servizi online sicuri, resilienti e robusti. Nel corso degli ultimi due anni abbiamo ottenuto successi significativi ma dobbiamo incrementare gli sforzi in tutta l’UE e a livello mondiale per essere in grado di far fronte a pericoli informatici sempre nuovi”.
I recenti eventi hanno dimostrato che nuove minacce informatiche, sempre più sofisticate dal punto di vista tecnologico, possono perturbare o distruggere funzioni vitali sia per la vita economica che sociale. Gli esempi includono gli attacchi alle reti del Ministero delle finanze francese prima del vertice del G20, al Sistema comunitario di scambi di emissioni e ancora più recentemente al Servizio europeo per l’azione esterna e alla Commissione stessa. Sono episodi che dimostrano la necessità di creare una rete governativa/nazionale perfettamente operativa di gruppi di pronto intervento in Europa, entro l’anno prossimo, nonché di organizzare a scadenza più regolare delle simulazioni di cyber attacchi a livello nazionale e di riesaminare i temi della governance per garantire la sicurezza delle tecnologie emergenti, come ad esempio il cloud computing.
La ricerca ha messo in evidenza che la maggioranza degli Stati membri è ora dotata di gruppi nazionali/governativi di pronto intervento informatico (CERT); che la cooperazione tra gli Stati membri sta migliorando grazie ai regolari scambi d’opinione sulle politiche da adottare, che avvengono all’interno di un forum europeo costituito nel 2009; che la costituzione di partenariati pubblico-privati europei per la resilienza (EP3R) si è dimostrata un passo fondamentale nella responsabilizzazione del settore privato e ha contribuito ad aumentare il livello di sicurezza in ambiente digitale e a sviluppare un solido mercato al servizio della sicurezza dell’informazione in Europa.
La relazione indica chiaramente la strada da seguire per rafforzare la cooperazione internazionale nel settore. Di concerto con gli Stati membri e con il settore privato, la Commissione si impegna a istituire CERT presso gli Stati membri che ne sono ancora sprovvisti nonché per le istituzioni dell’UE, entro il 2012; a sviluppare un piano d’emergenza per rispondere ai ciberattacchi, entro il 2012, sulla base dei piani nazionali d’emergenza sullo stesso argomento; a organizzare simulazioni di cyber attacchi sia a livello nazionale (finora solo 12 Stati membri lo hanno fatto) che paneuropeo, sull’esempio dell’esercizio “Cyber Europe” del 2010; a promuovere principi condivisi a livello mondiale sulla stabilità e la resilienza di internet; a istituire partenariati strategici in questo settore con paesi non-UE (in particolare gli Stati Uniti), promuovendo contemporaneamente la discussione all’interno di forum internazionali come il G8; a individuare le migliori pratiche di governance per le tecnologie emergenti con un impatto globale – come il cloud computing.
Nel marzo 2009 la Commissione ha adottato la comunicazione “Proteggere le infrastrutture critiche informatizzate – Rafforzare la preparazione, la sicurezza e la resilienza per proteggere l’Europa dai cyber attacchi e dalle cyber perturbazioni”, che conteneva un piano d’azione volto a proteggere le infrastrutture informatiche critiche e a rafforzare la preparazione e la capacità di reazione dell’UE di fronte ad attacchi e perturbazioni informatiche.
L’Agenda europea del digitale del 2010 sottolineava l’importanza della fiducia e della sicurezza ed evidenziava la pressante necessità di chiamare a raccolta tutte le parti in causa per sviluppare meccanismi efficaci e coordinati di reazione a minacce informatiche sempre più sofisticate e sempre nuove.
Il 30 settembre 2010 la Commissione ha adottato una proposta (IP/10/1239) intesa a rafforzare e modernizzare l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA).