“Il cyberspazio non ha limiti, non ha frontiere. Gli attacchi cyber sono diventati parte della guerra moderna e non è un caso che un’azione cibernetica abbia preceduto il bombardamento di Kiev. Oggi proponiamo quindi la creazione del Centro di coordinamento europeo per la cyberdifesa, che ci aiuterà a proteggerci meglio aumentando la collaborazione tra stati membri”.
Lo ha detto l’alto rappresentate per la politica estera e di difesa Ue Josep Borrell, intervenendo durante i negoziati relativi alla nuova Direttiva della Commissione europea sulla cyberdifesa, finalizzata a rivedere le norme in materia rafforzando la cooperazione e gli investimenti per proteggere, individuare, scoraggiare e difendere meglio i Paesi membri da un numero crescente di attacchi informatici.
Il testo legislativo è stato adottato con 577 voti favorevoli, 6 contrari e 31 astensioni. Dopo l’approvazione del Parlamento, anche il Consiglio deve adottare formalmente la legge prima che venga pubblicata nella Gazzetta Ufficiale dell’Ue e entri cosi in vigore.
Rafforzamento delle capacità di cyberdifesa
La legislazione, già concordata tra i deputati e il Consiglio nel maggio scorso, stabilirà obblighi più severi in materia di cibersicurezza per quanto riguarda la gestione del rischio, gli obblighi di segnalazione e la condivisione delle informazioni. I requisiti riguardano, tra l’altro, la risposta agli incidenti, la sicurezza della catena di approvvigionamento, la crittografia e la divulgazione delle vulnerabilità.
Il testo mira a rafforzare le capacità Ue di cyberdifesa, il coordinamento e la cooperazione tra i settori informatici militari e civili. Bruxelles vuole anche migliorare la gestione efficiente delle cyber-crisi all’interno dell’Ue, contribuendo a ridurre la dipendenza strategica dalle tecnologie informatiche essenziali e rafforzando nel contempo la base industriale tecnologica di difesa europea. Si mira inoltre a incoraggiare la formazione, l’attrazione e la conservazione dei talenti informatici oltre alla cooperazione con i Paesi partner nel campo della difesa informatica. Il rafforzamento nelle capacità di cyberdifesa dovrà essere garantito anche dagli Stati membri che, a detta della Commissione, “devono aumentare significativamente gli investimenti nelle moderne capacità di cyberdifesa militare in modo collaborativo, utilizzando le piattaforme di cooperazione e i meccanismi di finanziamento disponibili a livello dell’Ue, come la Pesco, il Fondo europeo per la difesa e Horizon Europe e il programma Europa digitale“.
Protetti i “settori essenziali” e quelli “importanti”
Un numero maggiore di entità e settori, poi, dovrà adottare misure per proteggersi. I “settori essenziali”, come quelli dell’energia, dei trasporti, delle banche, della sanità, delle infrastrutture digitali, della pubblica amministrazione e dello spazio, saranno coperti dalle nuove disposizioni in materia di sicurezza. Durante i negoziati, i deputati hanno insistito sulla necessità di regole chiare per le aziende e sono riusciti a includere il maggior numero possibile di enti governativi e pubblici nel campo di applicazione della direttiva.
Le nuove norme proteggeranno anche i cosiddetti “settori importanti” come i servizi postali, la gestione dei rifiuti, i prodotti chimici, gli alimenti, la produzione di dispositivi medici, l’elettronica, i macchinari, i veicoli a motore e i fornitori di servizi digitali. Tutte le medie e grandi imprese dei settori selezionati dovranno rispettare le nuove regole. Il testo stabilisce inoltre un quadro per una migliore cooperazione e condivisione delle informazioni tra le diverse autorità e gli Stati membri e crea una banca dati europea sulle vulnerabilità.
Verso una gestione proattiva degli incidenti informatici
“Questa direttiva europea aiuterà circa 160.000 enti a rafforzare la propria sicurezza e a rendere l’Europa un luogo sicuro in cui vivere e lavorare. Inoltre, consentirà di condividere le informazioni con il settore privato e con i partner di tutto il mondo. Se veniamo attaccati su scala industriale, dobbiamo rispondere su scala industriale”, ha dichiarato il relatore Bart Groothuis. “Si tratta della migliore legislazione sulla sicurezza informatica che il Continente abbia mai visto, perché offre all’Europa una gestione proattiva degli incidenti informatici e orientata al servizio“.
