La Strategia dell’Unione europea sulla cibersicurezza a fronte delle recenti minacce ibride
L’intensità, la sofisticazione e la pervasività degli attacchi informatici specie ibridi, compiuti a danno di entità critiche (pubbliche e private) nel panorama internazionale ha spinto l’Unione europea a dotarsi di una politica e di una strategia della cibersicurezza.
L’azione dell’UE risponde all’esigenza avvertita nel contesto internazionale di garantire un ciberspazio globale, stabile e sicuro in quanto ritenuto indispensabile per favorire una trasformazione digitale sicura dell’economia e per affrontare le nuove sfide poste dai servizi e prodotti digitali, quali i Cloud, il 5G e l’intelligenza artificiale.
A fronte delle profonde vulnerabilità tecnologiche di sistemi e reti dell’informazione e della comunicazione, il legislatore europeo ha previsto un quadro di azioni coerenti relative agli aspetti normativi, operativi, diplomatici e di difesa della cibersicurezza. Esso è rivolto a garantire il funzionamento del Mercato unico e la protezione della sovranità digitale anche alla luce dei crescenti investimenti degli Stati – membri e terzi – nelle cyber capabilities offensive, realizzati non solo per scopi militari.
La finalità perseguita dall’Unione è la strutturazione di una risposta rapida, efficiente ed efficace alle azioni offensive da attuare sulla base di un coordinamento politico, tecnico e operativo e attraverso strumenti innovativi, tra i quali spicca la proposta di istituire un’Unità congiunta sul ciberspazio.
Infatti, nelle Conclusioni dell’8 ottobre 2021 su “Esplorare il potenziale dell’iniziativa concernente un’unità congiunta per il ciberspazio a integrazione della risposta coordinata dell’UE agli incidenti e alle crisi di cibersicurezza su vasta scala”, il Consiglio UE partendo dalla condivisione del quadro giuridico proposto dall’ONU sul comportamento responsabile degli Stati nel ciberspazio, ha iniziato a elaborare una propria linea di cyber defense.
In proposito, si rammenta che, attualmente, il quadro normativo internazionale si incardina sul progetto di un Codice internazionale di condotta per la sicurezza delle informazioni e sulle norme di cyber international law contenute nei rapporti redatti dai gruppi di lavoro che, parallelamente, in seno all’ONU si occupano di individuare «il comportamento responsabile degli Stati nel cyber spazio nel contesto della sicurezza internazionale».
Nello specifico, nei rapporti indicati sono richiamati i principî di diritto internazionale generale relativi al rispetto della sovranità territoriale o dell’indipendenza politica degli Stati, al divieto della minaccia o dell’uso della forza, alla non ingerenza negli affari interni di uno Stato, all’obbligo di soluzione pacifica delle controversie e all’obbligo degli Stati di impedire che sul loro territorio si svolgano attività illecite, per citare i principali.
Sulla base di tali principi, gli Stati possono coordinare una risposta cinetica qualora l’attacco cibernetico subito assuma proporzioni ed effetti tali da minacciare la pace e la sicurezza internazionale. In tal caso è pacifico l’esercizio del diritto naturale alla legittima difesa individuale e collettiva (ex art. 51 della Carta ONU) e l’operatività del sistema di sicurezza collettiva della Carta dell’ONU (ex art. 39 ss. Carta ONU).
Analogamente, la NATO riconosce che al verificarsi di tale ipotesi sia consentito il ricorso alla capacità difensiva collettiva anche ibrida, cioè inclusiva dell’impiego di armi cibernetiche e cinetiche ex art. 5 del suo Statuto.
Dal canto suo, l’Unione europea già dal 2001 ha elaborato una politica di sicurezza delle reti e dell’informazione, che è uno degli obiettivi realizzati sia con l’istituzione dell’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), sia con la prima Strategia sulla cibersicurezza nel 2013. Le priorità strategiche ivi individuate – tutt’oggi attuali – riguardano lo sviluppo di capacità industriali e tecnologiche; la creazione di una politica internazionale coerente sul ciberspazio e lo sviluppo di una politica e di una capacità di resilienza e di ciberdifesa incardinata nella Politica di sicurezza e di difesa comune dell’Unione.
Successivamente, nel 2016 l’Unione ha proceduto all’adozione della direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS) al fine di garantire un elevato livello comune di cibersicurezza nell’UE. Tale direttiva rappresenta il punto di partenza nella gestione del rischio perché introduce requisiti di sicurezza obbligatori per i principali operatori economici che forniscono servizi essenziali e per i fornitori di alcuni dei principali servizi digitali. Sul punto, la cooperazione tra gli Stati membri in materia di cibersicurezza è garantita dal ‘Gruppo di cooperazione NIS’ e dalla ‘Rete dei gruppi di intervento per la sicurezza informatica in caso di incidente’ (CSIRT).
Di recente, la crescente diffusione dei dispositivi connessi ai sistemi operativi, c.d. “internet degli oggetti” (IoT), ha spinto il legislatore europeo a proporre la direttiva “NIS2” (sostitutiva della NIS) volta a favorire la resilienza in tutti i settori esclusi dalla precedente versione.
Contestualmente, stante il mutato ecosistema della cibersicurezza, nel dicembre 2020 la Commissione europea e l’Alto rappresentante per gli affari esteri e la politica della sicurezza hanno presentato una nuova Strategia dell’UE per la cibersicurezza, inclusiva di strumenti normativi, strategici e di investimento per costruire un’Europa resiliente e digitale.
Obiettivi fondamentali della Strategia in parola sono il raggiungimento dell’autonomia strategica, intesa quale capacità di compiere scelte autonome nel settore mantenendo un’economia aperta, il potenziamento della leadership digitale e il rafforzamento delle capacità strategiche dell’UE.
Il Consiglio ha ulteriormente precisato i settori d’intervento dell’attuale decennio digitale tra i quali – oltre alla revisione della direttiva sulla resilienza dei soggetti critici e del regolamento relativo alla resilienza operativa digitale – particolare attenzione è dedicata alla creazione dell’Unità congiunta per il ciberspazio. A tal fine, nelle citate Conclusioni di ottobre 2021 è stato ricostruito il quadro normativo di riferimento richiamando i principî di sussidiarietà, proporzionalità, complementarità, non duplicazione e riservatezza nonché la natura esclusiva della competenza statale in materia di sicurezza nazionale (art. 4, par. 2, TUE). Ad ogni buon conto, è fatta salva la competenza degli organi dell’UE qualora si tratti di incidenti e crisi di cibersicurezza su vasta scala che ledano il corretto funzionamento del Mercato unico e la sicurezza interna dell’UE. L’Unità in esame è stata ritenuta essenziale dalla Presidente della Commissione europea, Ursula von der Leyen, già nelle Linee guida per la Commissione europea 2019-2024, per dotare l’UE e gli Stati membri di una risposta coordinata in situazioni di emergenza dovute ad attacchi e incidenti di carattere transfrontaliero.
A tale Unità spetterà pertanto il compito di coinvolgere gli esperti delle comunità della cibersicurezza sulle decisioni di attribuzione di un attacco informatico e sulla gestione e mitigazione delle crisi informatiche dell’UE. Essa coordinerà anche i meccanismi di assistenza, su richiesta di uno o più Stati membri, integrando i meccanismi orizzontali e settoriali di risposta alle crisi dell’UE già esistenti. Il riferimento è all’allineamento di meccanismi e processi esistenti in ambito statale ed europeo, con particolare riguardo alle procedure di cooperazione e di condivisione delle informazioni esistenti a tutti i livelli necessari – tecnico, operativo, strategico/politico e diplomatico – tra Stati membri e tra istituzioni, organi e agenzie dell’UE.
Da un punto di vista operativo, l’Unità in parola e i centri operativi di sicurezza (SOC2) costituiranno una Rete che, entro il 2023, rappresenterà il ciberscudo europeo. A tal fine, l’Unità sarà competente a individuare precocemente i segnali di attacchi informatici, grazie all’impiego di strumenti basati sull’intelligenza artificiale, in collaborazione con la rete CSIRTS, l’ENISA e il Cybercrime Centre (EC3) creato presso EUROPOL.
Poiché l’Unità lavorerà a stretto contatto con l’ENISA, è il caso di specificare il diverso ruolo svolto dai due organi. Infatti, mentre gli obiettivi dell’ENISA riguardano l’assistenza alle istituzioni dell’Unione e agli Stati membri nel potenziare e condividere la capacità informatiche per prevenire, rilevare e rispondere a problemi e incidenti di sicurezza delle reti, stimolando una cooperazione tra attori del settore pubblico e privato, l’Unità si occuperà di cooperazione tecnica e operativa in caso di incidenti anche transfrontalieri, sul presupposto di una mappatura delle capacità disponibili a livello nazionale e dell’UE e dopo aver valutato le strategie nazionali sulla cibersicurezza, anche per evitare la duplicazione delle attività.
L’operatività dell’Unità è prevista a partire dal 30 giugno 2022 grazie alla creazione di una piattaforma virtuale fisica e di un Comitato dell’UE per lo sviluppo delle capacità informatiche. A tal proposito, il Gruppo di lavoro orizzontale sulle questioni nazionale e dell’UE, dopo aver valutato le strategie nazionali sulla cibersicurezza, anche per evitare la duplicazione delle attività, ha invitato l’Unione e gli Stati membri a impegnarsi nello sviluppo del quadro europeo sugli obiettivi e possibili ruoli e responsabilità dell’Unità.
In conclusione, la creazione dell’Unità risponde all’obiettivo primario dell’Unione di dotarsi di una bussola strategica per costruire un’Europa indipendente da un punto di vista militare, economico e tecnologico e anche per realizzare le priorità di resilienza, sovranità e autonomia tecnologica. In tal senso, essa rappresenta un passo importante verso la creazione di un esercito dell’UE, sempre che la sua attività si basi su un approccio olistico, poiché la sicurezza informatica è un dominio interdisciplinare.
A tal fine, a nostro avviso, tra i compiti dell’Unità dovrebbe essere previsto il sostegno agli Stati membri nella creazione di una forza militare di cyber difesa proattiva e reattiva, sotto la direzione dell’Agenzia Europea della difesa; il rafforzamento della capacità di digital investigation, sulla quale è già impegnata la Commissione europea; la conduzione in collaborazione con l’EUROPOL di operazioni di contrasto agli attacchi di cyber-terrorismo e alle info-strutture per contrastare la cognitive warfare e altre minacce ibride.
A nostro avviso, per la realizzazione dei compiti indicati l’Unità dovrebbe potersi avvalere anche dell’ausilio di un proprio Hub di cyber intelligence, posto che l’attuale Centro UE di analisi e di intelligence-INTCEN ha funzione meramente consultiva. Ciò consentirebbe un’autonomia di detection e valutazione delle minacce informatiche in coordinamento con le agenzie di informazione degli Stati membri, realizzando un’indispensabile sinergia con i 27 Stati membri in materia di difesa e di intelligence.
Continua a leggere o scarica il white paper gratuito “Quaderni di Cyber Intelligence #1“
Articolo a cura di Annita Sciacovelli
Professore aggregato di Diritto internazionale presso l’Università degli Studi di Bari ‘Aldo Moro’, cybersecurity specialist e avvocato iscritto all’Ordine degli Avvocati di Bari. La Prof.ssa Sciacovelli è visiting Research Fellow presso l’IESE Business school di Barcelona (Spagna) e Researcher fellow in Cybersecurity presso l’Institute of National Security Studies, Jerusalem. È membro della Commissione Cyber Security and Warfare della Società Italiana di Intelligence, membro della Società Italiana di Diritto Internazionale e dell’UE e membro a pieno titolo dell’Istituto di Internazionale di Diritto Umanitario di Sanremo. La Prof.ssa Sciacovelli è membro del comitato scientifico della rivista Sicurezza e Intelligence, membro dell’Advisory Board dell’International Institute for Peace, Vienna, Austria, e insegna Diritto internazionale presso l’Università degli Studi Internazionali di Roma (UNINT).