Nuova strategia dell'UE per la sicurezza informatica e nuove regole per rendere più resilienti le entità fisiche e digitali critiche

Oggi (16 dicembre) la Commissione e l'Alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza presentano una nuova strategia dell'UE per la cibersicurezza. In quanto componente chiave di Shaping Europe's Digital Future, il piano di ripresa per l'Europa e la strategia dell'Unione della sicurezza dell'UE, la strategia rafforzerà la resilienza collettiva dell'Europa contro le minacce informatiche e contribuirà a garantire che tutti i cittadini e le imprese possano beneficiare appieno di servizi affidabili e strumenti digitali. Che si tratti di dispositivi connessi, rete elettrica o banche, aerei, amministrazioni pubbliche e ospedali che gli europei usano o frequentano, meritano di farlo con la certezza di essere protetti dalle minacce informatiche.

La nuova strategia per la cibersicurezza consente inoltre all'UE di rafforzare la leadership in materia di norme e standard internazionali nel ciberspazio e di rafforzare la cooperazione con i partner di tutto il mondo per promuovere un ciberspazio globale, aperto, stabile e sicuro, fondato sullo Stato di diritto e sui diritti umani , libertà fondamentali e valori democratici. Inoltre, la Commissione sta avanzando proposte per affrontare sia la resilienza informatica che fisica di entità e reti critiche: una direttiva sulle misure per un livello comune elevato di sicurezza informatica in tutta l'Unione (direttiva NIS rivista o `` NIS 2 '') e una nuova direttiva sul resilienza delle entità critiche.

Coprono un'ampia gamma di settori e mirano ad affrontare i rischi online e offline attuali e futuri, dagli attacchi informatici alla criminalità o ai disastri naturali, in modo coerente e complementare. Fiducia e sicurezza al centro del decennio digitale dell'UE La nuova strategia per la cibersicurezza mira a salvaguardare un Internet globale e aperto, offrendo allo stesso tempo garanzie, non solo per garantire la sicurezza, ma anche per proteggere i valori europei ei diritti fondamentali di tutti.

Basandosi sui risultati degli ultimi mesi e anni, contiene proposte concrete per iniziative normative, di investimento e politiche, in tre aree di azione dell'UE: 1. Resilienza, sovranità tecnologica e leadership
Nell'ambito di questo filone di azione la Commissione propone di riformare le norme sulla sicurezza delle reti e dei sistemi informativi, ai sensi di una direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l'Unione (direttiva NIS rivista o `` NIS 2 ''), al fine di aumentare il livello di resilienza informatica dei settori pubblici e privati ​​critici: ospedali, reti energetiche, ferrovie, ma anche data center, amministrazioni pubbliche, laboratori di ricerca e produzione di dispositivi medici e medicinali critici, nonché altre infrastrutture e servizi critici, devono rimanere impermeabili , in un ambiente di minaccia sempre più rapido e complesso. La Commissione propone inoltre di avviare una rete di centri operativi per la sicurezza in tutta l'UE, alimentati dall'intelligenza artificiale (AI), che costituirà un vero e proprio `` scudo di sicurezza informatica '' per l'UE, in grado di rilevare i segnali di un attacco informatico con sufficiente anticipo e di consentire prima che si verifichi il danno. Ulteriori misure includeranno un sostegno dedicato alle piccole e medie imprese (PMI), nell'ambito dei poli dell'innovazione digitale, nonché maggiori sforzi per migliorare le competenze della forza lavoro, attrarre e trattenere i migliori talenti della cibersicurezza e investire in ricerca e innovazione aperta, competitivo e basato sull'eccellenza.
2. Sviluppare la capacità operativa per prevenire, scoraggiare e rispondere
La Commissione sta preparando, attraverso un processo progressivo e inclusivo con gli Stati membri, una nuova Joint Cyber ​​Unit, per rafforzare la cooperazione tra gli organi dell'UE e le autorità degli Stati membri responsabili della prevenzione, scoraggiamento e risposta agli attacchi informatici, inclusi civili, forze dell'ordine, comunità diplomatiche e di difesa informatica. L'Alto Rappresentante presenta proposte per rafforzare il pacchetto di strumenti dell'UE per la diplomazia informatica al fine di prevenire, scoraggiare, scoraggiare e rispondere efficacemente alle attività informatiche dannose, in particolare quelle che interessano la nostra infrastruttura critica, le catene di approvvigionamento, le istituzioni ei processi democratici. L'UE mirerà inoltre a rafforzare ulteriormente la cooperazione in materia di difesa informatica e a sviluppare capacità di difesa informatica all'avanguardia, basandosi sul lavoro dell'Agenzia europea per la difesa e incoraggiando gli Stati di Mmmber a fare pieno uso della cooperazione strutturata permanente e della difesa europea Fondo.
3. Promuovere un cyberspazio globale e aperto attraverso una maggiore cooperazione
L'UE intensificherà la collaborazione con i partner internazionali per rafforzare l'ordine globale basato su regole, promuovere la sicurezza e la stabilità internazionali nel cyberspazio e proteggere i diritti umani e le libertà fondamentali online. Promuoverà le norme e gli standard internazionali che riflettono questi valori fondamentali dell'UE, lavorando con i suoi partner internazionali nelle Nazioni Unite e in altre sedi pertinenti. L'UE rafforzerà ulteriormente il suo pacchetto di strumenti UE per la diplomazia informatica e aumenterà gli sforzi di rafforzamento delle capacità informatiche nei paesi terzi sviluppando un'agenda dell'UE per lo sviluppo di capacità informatiche esterne. Saranno intensificati i dialoghi informatici con i paesi terzi, le organizzazioni regionali e internazionali e la comunità multistakeholder.

L'UE formerà inoltre una rete dell'UE sulla diplomazia informatica in tutto il mondo per promuovere la sua visione del cyberspazio. L'UE si impegna a sostenere la nuova strategia per la cibersicurezza con un livello di investimenti senza precedenti nella transizione digitale dell'UE nei prossimi sette anni, attraverso il prossimo bilancio a lungo termine dell'UE, in particolare il programma Europa digitale e Orizzonte Europa, nonché la ripresa Piano per l'Europa. Gli Stati membri sono quindi incoraggiati a fare pieno uso dello strumento dell'UE per il recupero e la resilienza per rafforzare la sicurezza informatica e abbinare gli investimenti a livello dell'UE.

L'obiettivo è raggiungere fino a 4.5 miliardi di euro di investimenti combinati da parte dell'UE, degli Stati membri e dell'industria, in particolare nell'ambito del Centro di competenza sulla sicurezza informatica e della rete di centri di coordinamento, e garantire che una quota importante arrivi alle PMI. La Commissione mira inoltre a rafforzare le capacità industriali e tecnologiche dell'UE in materia di sicurezza informatica, anche attraverso progetti sostenuti congiuntamente dai bilanci dell'UE e nazionali. L'UE ha l'opportunità unica di unire le sue risorse per migliorare la sua autonomia strategica e spingere la sua leadership nella sicurezza informatica lungo la catena di fornitura digitale (inclusi dati e cloud, tecnologie di processori di nuova generazione, connettività ultra sicura e reti 6G), in linea con il suo valori e priorità.

Resilienza informatica e fisica della rete, dei sistemi informativi e delle entità critiche Le misure esistenti a livello dell'UE volte a proteggere i servizi e le infrastrutture chiave dai rischi fisici e informatici devono essere aggiornate. I rischi per la sicurezza informatica continuano ad evolversi con la crescente digitalizzazione e interconnessione. Anche i rischi fisici sono diventati più complessi dall'adozione delle norme dell'UE del 2008 sulle infrastrutture critiche, che attualmente coprono solo i settori dell'energia e dei trasporti. Le revisioni mirano ad aggiornare le regole seguendo la logica della strategia dell'Unione della sicurezza dell'UE, superando la falsa dicotomia tra online e offline e abbattendo l'approccio a silos.

pubblicità

Per rispondere alle crescenti minacce dovute alla digitalizzazione e all'interconnessione, la proposta di direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l'Unione (direttiva NIS rivista o `` NIS 2 '') coprirà le entità di medie e grandi dimensioni di più settori in base alla loro criticità per l'economia e la società. NIS 2 rafforza i requisiti di sicurezza imposti alle aziende, affronta la sicurezza delle catene di approvvigionamento e dei rapporti con i fornitori, semplifica gli obblighi di segnalazione, introduce misure di vigilanza più rigorose per le autorità nazionali, requisiti di applicazione più severi e mira ad armonizzare i regimi di sanzioni in tutti gli Stati membri. La proposta NIS 2 contribuirà ad aumentare la condivisione delle informazioni e la cooperazione sulla gestione delle crisi cibernetiche a livello nazionale e dell'UE. La proposta di direttiva sulla resilienza delle entità critiche (CER) amplia l'ambito e la profondità della direttiva 2008 sulle infrastrutture critiche europee. Attualmente sono coperti dieci settori: energia, trasporti, banche, infrastrutture del mercato finanziario, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio. In base alla direttiva proposta, gli Stati membri adotterebbero ciascuno una strategia nazionale per garantire la resilienza delle entità critiche ed eseguire valutazioni periodiche del rischio. Queste valutazioni aiuterebbero anche a identificare un sottoinsieme più piccolo di entità critiche che sarebbero soggette a obblighi intesi a migliorare la loro resilienza di fronte a rischi non informatici, comprese le valutazioni del rischio a livello di entità, l'adozione di misure tecniche e organizzative e la notifica degli incidenti.

La Commissione, a sua volta, fornirebbe sostegno complementare agli Stati membri e alle entità critiche, ad esempio sviluppando una panoramica a livello di Unione dei rischi transfrontalieri e intersettoriali, migliori pratiche, metodologie, attività di formazione transfrontaliere ed esercitazioni per la resilienza delle entità critiche. Proteggere la prossima generazione di reti: 5G e oltre Nell'ambito della nuova strategia per la sicurezza informatica, gli Stati membri, con il sostegno della Commissione e dell'ENISA, l'Agenzia europea per la sicurezza informatica, sono incoraggiati a completare l'attuazione del pacchetto di strumenti 5G dell'UE, un rischio globale e oggettivo -approccio basato sulla sicurezza del 5G e delle future generazioni di reti.

Secondo un rapporto pubblicato oggi, sull'impatto della raccomandazione della Commissione sulla cibersicurezza delle reti 5G e sui progressi nell'attuazione del pacchetto di strumenti dell'UE di misure di mitigazione, dalla relazione sullo stato di avanzamento di luglio 2020, la maggior parte degli Stati membri è già sulla buona strada per l'attuazione le misure consigliate. Dovrebbero ora mirare a completare la loro attuazione entro il secondo trimestre del 2021 e garantire che i rischi identificati siano adeguatamente mitigati, in modo coordinato, in particolare al fine di ridurre al minimo l'esposizione a fornitori ad alto rischio ed evitare la dipendenza da questi fornitori. La Commissione definisce anche oggi obiettivi chiave e azioni volte a portare avanti il ​​lavoro coordinato a livello dell'UE.

Margrethe Vestager, vicepresidente esecutivo di Un'Europa adatta per l'era digitale, ha dichiarato: "L'Europa è impegnata nella trasformazione digitale della nostra società ed economia. Dobbiamo quindi supportarla con livelli di investimento senza precedenti. La trasformazione digitale sta accelerando, ma può solo avere successo se le persone e le aziende possono fidarsi che i prodotti e i servizi connessi, su cui fanno affidamento, sono sicuri ".

L'Alto rappresentante Josep Borrell ha dichiarato: "La sicurezza e la stabilità internazionali dipendono più che mai da un cyberspazio globale, aperto, stabile e protetto in cui lo Stato di diritto, i diritti umani, le libertà e la democrazia siano rispettati. Con la strategia odierna l'UE si sta impegnando per proteggere i suoi governi, i cittadini e le imprese dalle minacce informatiche globali e per fornire la leadership nel cyberspazio, assicurandosi che tutti possano raccogliere i vantaggi di Internet e dell'uso delle tecnologie ".

Promuovere il nostro stile di vita europeo Il vicepresidente Margaritis Schinas ha dichiarato: "La sicurezza informatica è una parte centrale dell'Unione della sicurezza. Non esiste più una distinzione tra minacce online e offline. Il digitale e il fisico sono ora inestricabilmente intrecciati. Le misure odierne mostrano che il L'UE è pronta a utilizzare tutte le sue risorse e competenze per prepararsi e rispondere alle minacce fisiche e informatiche con lo stesso livello di determinazione ".

Il commissario per il mercato interno Thierry Breton ha dichiarato: "Le minacce informatiche si evolvono rapidamente, sono sempre più complesse e adattabili. Per garantire che i nostri cittadini e le nostre infrastrutture siano protetti, dobbiamo pensare a diversi passi avanti, lo scudo per la sicurezza informatica resiliente e autonomo dell'Europa consentirà di utilizzare il nostro competenze e conoscenze per rilevare e reagire più rapidamente, limitare i potenziali danni e aumentare la nostra resilienza. Investire nella sicurezza informatica significa investire nel sano futuro dei nostri ambienti online e nella nostra autonomia strategica ".

Il Commissario per gli Affari interni Ylva Johansson ha dichiarato: "I nostri ospedali, i sistemi di acque reflue o le infrastrutture di trasporto sono forti quanto i loro anelli più deboli; interruzioni in una parte dell'Unione rischiano di influire sulla fornitura di servizi essenziali altrove. mercato e il sostentamento di coloro che vivono in Europa, la nostra infrastruttura chiave deve essere resiliente contro rischi come disastri naturali, attacchi terroristici, incidenti e pandemie come quella che stiamo vivendo oggi. La mia proposta sulle infrastrutture critiche fa proprio questo ".

Prossimi passi

La Commissione europea e l'Alto rappresentante si sono impegnati ad attuare la nuova strategia per la sicurezza informatica nei prossimi mesi. Riferiranno regolarmente sui progressi compiuti e manterranno il Parlamento europeo, il Consiglio dell'Unione europea e le parti interessate pienamente informati e coinvolti in tutte le azioni pertinenti. Spetta ora al Parlamento europeo e al Consiglio esaminare e adottare la proposta di direttiva NIS 2 e la direttiva sulla resilienza delle entità critiche. Una volta concordate e conseguentemente adottate le proposte, gli Stati membri dovrebbero poi recepirle entro 18 mesi dalla loro entrata in vigore.

La Commissione riesaminerà periodicamente la direttiva NIS 2 e la direttiva sulla resilienza delle entità critiche e riferirà sul loro funzionamento. Contesto La sicurezza informatica è una delle massime priorità della Commissione e una pietra angolare dell'Europa digitale e connessa. Un aumento degli attacchi informatici durante la crisi del coronavirus ha dimostrato quanto sia importante proteggere ospedali, centri di ricerca e altre infrastrutture. È necessaria un'azione decisa in questo settore per rendere l'economia e la società dell'UE a prova di futuro. La nuova strategia per la cibersicurezza propone di integrare la cibersicurezza in ogni elemento della catena di approvvigionamento e riunire ulteriormente le attività e le risorse dell'UE nelle quattro comunità della cibersicurezza: mercato interno, forze dell'ordine, diplomazia e difesa.

Si basa su `` Shaping Europe's Digital Future '' dell'UE e sulla strategia dell'UE per l'Unione della sicurezza e si basa su una serie di atti legislativi, azioni e iniziative che l'UE ha implementato per rafforzare le capacità di cibersicurezza e garantire un'Europa più resiliente alla cibersicurezza. Ciò include la strategia per la sicurezza informatica del 2013, rivista nel 2017, e l'agenda europea sulla sicurezza 2015-2020 della Commissione. Riconosce inoltre la crescente interconnessione tra sicurezza interna ed esterna, in particolare attraverso la politica estera e di sicurezza comune. La prima legge sulla sicurezza informatica a livello dell'UE, la direttiva NIS, entrata in vigore nel 2016, ha contribuito a raggiungere un livello elevato comune di sicurezza della rete e dei sistemi informativi in ​​tutta l'UE. Come parte del suo obiettivo politico chiave per rendere l'Europa adatta all'era digitale, la Commissione ha annunciato la revisione della direttiva NIS nel febbraio di quest'anno.

Il Cybersecurity Act dell'UE, in vigore dal 2019, ha dotato l'Europa di un quadro di certificazione della sicurezza informatica di prodotti, servizi e processi e ha rafforzato il mandato dell'Agenzia dell'UE per la sicurezza informatica (ENISA). Per quanto riguarda la sicurezza informatica delle reti 5G, gli Stati membri, con il sostegno della Commissione e dell'ENISA, hanno stabilito, con il pacchetto di strumenti 5G dell'UE adottato nel gennaio 2020, un approccio globale e oggettivo basato sul rischio. Il riesame della Commissione della sua raccomandazione del marzo 2019 sulla sicurezza informatica delle reti 5G ha rilevato che la maggior parte degli Stati membri ha compiuto progressi nell'attuazione del Toolbox. A partire dalla strategia dell'UE per la cybersecurity del 2013, l'UE ha sviluppato una politica informatica internazionale coerente e olistica.

Lavorando con i suoi partner a livello bilaterale, regionale e internazionale, l'UE ha promosso un cyberspazio globale, aperto, stabile e sicuro guidato dai valori fondamentali dell'UE e fondato sullo Stato di diritto. L'UE ha sostenuto i paesi terzi nell'aumentare la loro resilienza informatica e la capacità di contrastare la criminalità informatica e ha utilizzato il suo pacchetto di strumenti di diplomazia informatica dell'UE del 2017 per contribuire ulteriormente alla sicurezza e stabilità internazionali nel cyberspazio, anche applicando per la prima volta il suo regime di sanzioni informatiche del 2019 elencando 8 persone fisiche e 4 enti ed enti. L'UE ha compiuto progressi significativi anche nella cooperazione in materia di difesa informatica, anche per quanto riguarda le capacità di difesa informatica, in particolare nel quadro del suo quadro per la politica di difesa informatica (CDPF), nonché nel contesto della cooperazione strutturata permanente (PESCO) e del lavoro dell'Agenzia europea per la difesa. La sicurezza informatica è una priorità che si riflette anche nel prossimo bilancio a lungo termine dell'UE (2021-2027).

Nell'ambito del programma Europa digitale, l'UE sosterrà la ricerca, l'innovazione e le infrastrutture sulla cibersicurezza, la difesa informatica e l'industria della cibersicurezza dell'UE. Inoltre, nella sua risposta alla crisi del Coronavirus, che ha visto un aumento degli attacchi informatici durante il blocco, sono assicurati ulteriori investimenti nella sicurezza informatica nell'ambito del piano di ripresa per l'Europa. L'UE riconosce da tempo la necessità di garantire la resilienza delle infrastrutture critiche che forniscono servizi essenziali per il buon funzionamento del mercato interno e per la vita e il sostentamento dei cittadini europei. Per questo motivo, l'UE ha istituito nel 2006 il Programma europeo per la protezione delle infrastrutture critiche (EPCIP) e nel 2008 ha adottato la direttiva sulle infrastrutture critiche europee (ECI), che si applica ai settori dell'energia e dei trasporti. Queste misure sono state integrate negli anni successivi da varie misure settoriali e intersettoriali su aspetti specifici come l'impermeabilizzazione del clima, la protezione civile o gli investimenti esteri diretti.

Condividi questo articolo: