governance di sicurezza del Programma spaziale europeo

La governance di sicurezza del Programma spaziale europeo

A cura di:Antonio Piccirillo Ore

Il programma spaziale europeo rappresenta un elemento chiave per l’autonomia strategica dell’Unione Europea, nonché per lo sviluppo tecnologico e la sicurezza nel settore spaziale. Attraverso un complesso quadro normativo, che include il Trattato di Lisbona e regolamenti successivi, l’UE ha definito le basi legali e operative per la gestione e la sicurezza delle sue infrastrutture spaziali. Questo articolo esplora il quadro legale, gli organismi coinvolti, le regole di sicurezza e le iniziative in corso, offrendo una panoramica approfondita della governance del programma spaziale europeo.

Il quadro legale e il Programma spaziale europeo

Il Trattato di Lisbona[1] stabiliva che l’Unione potesse perseguire una politica spaziale europea, promuovendo iniziative comuni, sostenendo la ricerca e lo sviluppo tecnologico e coordinando gli sforzi necessari per l’esplorazione e l’utilizzo dello spazio. Queste iniziative – recita il Trattato – possono assumere la forma di un Programma spaziale europeo: pertanto le iniziative del Parlamento europeo e del Consiglio, come il Programma spaziale stesso o lo Space working party, possono essere ricondotte al Trattato.

Nel 2021 il Regolamento (UE) 2021/696, che abrogava i precedenti, istituiva il programma spaziale dell’Unione europea e sanciva la nascita dell’Agenzia dell’Unione europea per il programma spaziale (EUSPA). In aggiunta ai componenti Galileo e PRS, EGNOS, Copernicus, SSA/SST e GOVSATCOM, ricompresi nel Regolamento (UE) 2021/696, possiamo considerare anche il Programma dell’Unione per una connettività sicura (IRIS2) introdotto dal Regolamento (UE) 2023/588.

Di fondamentale importanza è altresì la decisione (PESC) 2021/698, che definisce i meccanismi e il ruolo Consiglio dell’Unione europea e dell’Alto Rappresentante per prevenire una minaccia alla sicurezza dell’Unione o di uno o più dei suoi Stati membri, o per attenuare le conseguenze di un danno grave agli interessi essenziali dell’Unione o di uno o più dei suoi Stati membri, derivante dal dispiegamento, dal funzionamento o dall’uso dei sistemi istituiti e dei servizi forniti nell’ambito delle componenti del programma spaziale dell’Unione, oppure in caso di minaccia al funzionamento di uno di tali sistemi o alla fornitura dei servizi.

Alcuni principi

Al fine di comprendere le dinamiche e la governance degli aspetti di sicurezza, occorre considerare due principi fondamentali.

  1. Il primo è quello sancito dall’articolo 4 (2) del Trattato sull’Unione europea[2], secondo il quale la sicurezza nazionale resta competenza esclusiva di ciascuno Stato membro. Da qui discende una notevole capacità degli Stati membri di direzionare (cd. steering), a livello degli organi comunitari, i vari dossier con impatti sulla sicurezza, compresi quelli relativi al settore spaziale.
  1. Il secondo aspetto è legato alla giurisdizione delle regole di sicurezza: a ogni istituzione europea, come alle agenzie da essi coordinate, si applicano le regole di quella istituzione. Nonostante le regole di information assurance, COMSEC e crypto discendano tutte, per sommi capi, da quelle del Consiglio[3], alla Commissione, al Parlamento e al Servizio Europeo di Azione Esterna (EEAS) si applicano le proprie regole di sicurezza. Nel Programma spaziale il medesimo principio si applica anche all’Agenzia Spaziale Europea (ESA) e all’Agenzia per i Programmi Spaziali Europei (EUSPA). Non esistono, conseguentemente, un corpus unico di regole di sicurezza e un’unica Autorità di Sicurezza a livello del Programma spaziale, bensì regole diverse, anche se omogenee.

Una governance multilivello

Il Regolamento spaziale ha ribadito due principi, ovvero (1) quello secondo cui bisogna tenere conto dell’esperienza acquisita dagli Stati membri nel settore della sicurezza e ispirarsi alle loro migliori pratiche; e (2) l’applicabilità delle regole di sicurezza del Consiglio e della Commissione, che prevedono, tra le altre cose, una separazione tra le funzioni operative e di accreditamento.

La Commissione Europea (DG DEFIS), quale programme manager, ha la responsabilità generale dell’attuazione del programma anche nel settore della sicurezza, fatte salve le prerogative degli Stati membri in materia di sicurezza nazionale.

Con il supporto di EUSPA, garantisce:

  1. la protezione dell’infrastruttura (sia spaziale sia di terra) e la fornitura di servizi, in particolare contro gli attacchi fisici e informatici, incluse le interferenze con i flussi di dati;
  2. il controllo e la gestione dei trasferimenti di tecnologia;
  3. lo sviluppo e la conservazione all’interno dell’Unione delle competenze e delle conoscenze acquisite;
  4. la protezione delle informazioni sensibili non classificate e delle informazioni classificate.

Sulla base dell’analisi del rischio e delle minacce per ciascun componente, la Commissione definisce i requisiti di sicurezza di quel componente[4] e l’identificazione della struttura per il monitoraggio della sicurezza. Per questi aspetti la Commissione è assistita, ratione materiae, dal comitato di programma in configurazione di sicurezza; i lavori sono svolti tramite gruppi di lavoro composti dagli esperti degli Stati membri.

EUSPA, oltre a contribuire alla sicurezza del Programma e a supportare la Commissione nella definizione degli aspetti di sicurezza, è responsabile per la sicurezza operativa dei componenti per i quali è responsabile della gestione (component manager), come ad esempio Galileo.

Il comitato di accreditamento di sicurezza (SAB, Security Accreditation Board), istituito presso EUSPA, è responsabile di tutte le attività necessarie a ottenere e mantenere l’accreditamento di tutti i componenti del Programma, incluse eventuali interconnessioni con altri sistemi o sottosistemi.

Il SAB adotta, in modo strettamente indipendente, le decisioni di accreditamento riferite al lancio di satelliti; le autorizzazioni necessarie a operare sistemi, sottosistemi o servizi e al dispiegamento di nuove configurazioni (system releases), incluso il segnale nello spazio; e l’autorizzazione a gestire le stazioni terrestri. Infine, per quel che concerne il Public Regulated Service (PRS[5]), adotta decisioni relative all’autorizzazioni delle entità industriali.

Con un esempio pratico, all’atto dell’avvio di un nuovo componente del Programma che implementa caratteristiche di sicurezza, sarà la Commissione a definire – con il supporto degli esperti degli Stati membri nonché attraverso il Comitato di programma in configurazione sicurezza e i propri gruppi di lavoro – i general security requirements e gli altri requisiti di sicurezza (e.g. aspetti COMSEC, di sicurezza industriale) e a monitorarne l’implementazione da parte di EUSPA ed ESA. Essi, a loro volta, implementeranno i requisiti nell’ambito delle loro precipue competenze (e.g. EUSPA quale service manager, ESA quale system design authority) e li declineranno ulteriormente in requisiti di livello inferiore, applicandoli altresì ai contratti o grant classificati che EUSPA ed ESA gestiscono quali stazioni appaltanti.

Il SAB – che, ricordiamo, è composto anch’esso dagli esperti degli Stati membri, la Commissione e il Servizio Europeo di Azione Esterna – verifica, tramite l’accreditamento di sicurezza, la corretta implementazione dei requisiti (compliance) prima di autorizzare (tramite ATO, authorization to operate) o meno le operazioni del componente stesso, di sottosistemi, network, apparati.

La sicurezza del Programma spaziale dell’Unione è, quindi, garantita tramite una governance multilivello nella quale le decisioni finali sono prese in maniera collettiva e adottate in un contesto di responsabilità condivisa per la sicurezza dell’Unione e degli Stati membri.

L’autonomia strategica della UE

Con il Regolamento 2021/696, la UE ha deciso di dotarsi di uno strumento specifico per preservare la sicurezza, l’integrità e la resilienza dei sistemi operativi dell’Unione. L’Articolo 24 si pone, infatti, l’obiettivo di essere un ulteriore scudo a salvaguardia della tecnologia e delle catene di fornitura (supply chain) fondamentali europee, al fine di garantirne l’autonomia strategica e preservare, al contempo, un’economia aperta.

I medesimi principi sono applicati anche al Programma IRIS[6].

L’Articolo 24, che viene implementato nelle condizioni di ammissibilità e di partecipazione (participating conditions) delle entità che partecipano agli appalti, alle sovvenzioni o ai premi (procurement e grant), prevede che:

  1. il soggetto giuridico ammissibile è stabilito in uno Stato membro e le sue strutture di gestione esecutiva sono stabilite nello stesso Stato membro;
  2. il soggetto giuridico ammissibile si impegna a svolgere tutte le attività pertinenti in uno o più Stati membri;
  3. il soggetto giuridico ammissibile non è soggetto al controllo di un paese terzo o di un soggetto di paese terzo.

Il meccanismo prevede, quindi, un “controllo all’ingresso” al fine di assicurarsi che i soggetti giuridici non siano sotto il controllo di attori terzi, ovvero che non vi sia la possibilità per questi ultimi di esercitare, direttamente o indirettamente, un’influenza determinante attraverso uno o più soggetti giuridici intermedi.

Come monitorano gli Stati membri l’implementazione dell’Articolo 24? Attraverso il Comitato di programma in configurazione sicurezza: le autorità competenti degli Stati membri forniscono pareri sulla definizione delle condizioni di partecipazione e, soprattutto, verificano se i soggetti giuridici in parola abbiano attuato misure sufficienti ad assicurare la protezione delle Informazioni Classificate Europee (EUCI) nonché ad assicurare l’integrità, la sicurezza e la resilienza delle componenti del programma, del loro funzionamento e dei loro servizi.

Sebbene formalmente indipendente dal Programma spaziale, è opportuno menzionare un altro strumento che contribuisce a rafforzare la competitività dell’Unione, dotando gli Stati membri e la Commissione di un mezzo per affrontare in modo globale i rischi per la sicurezza (e per l’ordine pubblico).

Il Regolamento (UE) 2019/452[7], ispirato tra gli altri al D. legge n. 21 del 2012[8] italiano che istituisce il golden power, definisce un quadro per il controllo degli investimenti esteri diretti nell’Unione. Tale Regolamento rappresenta, quindi, un ulteriore strumento per verificare, in cooperazione con gli Stati membri, se nell’ambito del Programma spaziale è in programma – o è stato realizzato – un investimento estero e intervenire di conseguenza.

Il controllo dell’export della tecnologia ad uso duale

Pur ribadendo la natura civile del Programma spaziale, il Regolamento 2021/696 sottolinea quanto, storicamente, le attività spaziali siano legate alla sicurezza; e quanto i componenti, gli apparati, i sistemi, i dati e le applicazioni abbiano una natura duale.

Il regime di controllo delle esportazioni e trasferimenti ad uso duale[9] prevede che gli Stati membri possano subordinare l’autorizzazione o il transito di determinati apparati, sistemi, software, applicazioni all’autorizzazione delle competenti autorità nazionali. Il materiale aerospaziale, il software crittografico e gli algoritmi, ad esempio, sono ricompresi nella normativa europea per il controllo dell’export.

La Strategia Europea per la Sicurezza e la Difesa

Il Programma spaziale, come la governance di sicurezza con esso stabilita, non rappresenta un monolite granitico o immutabile nel corso del suo periodo di validità[10].

Nel 2023, con la Strategia Europea per la Sicurezza e la Difesa[11], sono state infatti avviate iniziative per difendere gli interessi strategici della UE, rafforzarne la postura strategica e la capacità deterrente verso le minacce nello – e provenienti dallo – spazio.

Tra queste iniziative la Commissione Europea ha avviato, con il supporto di EUSPA, l’ISAC (Information Sharing and Analysis Centre), un centro di fusione di informazioni circa le minacce, vulnerabilità, trend e migliori pratiche relativi alla sicurezza e alla cybersicurezza, al fine di aumentare le capacità di resilienza dell’industria spaziale. Il Centro è rivolto all’industria europea, incluso il settore New Space, a università e centri di ricerca, nonché ad agenzie spaziali, ESA e CERT (Computer Emergency Response Teams) nazionali.

Per quanto concerne gli aspetti di cybersicurezza, è da sottolineare altresì il rinnovato interesse a incrementare lo scambio informativo. Ciò vede, quale perno principale, i centri operativi di sicurezza (SOC, Security Operation Centre) dei componenti del Programma. In particolare, sarà aumentata la cooperazione con il CERT-EU (il Computer Security Incident Response Team delle istituzioni della UE) e con ENISA (Agenzia dell’Unione europea per la cibersicurezza).

È altresì verosimile ritenere che anche il C-SOC (Cyber-Security Operations Centre)[12] di ESA verrà incluso, con modalità da definire, in questo sistema di sistemi.

Infine, nel panorama dei futuri sviluppi tecnologici, meritano un cenno le comunicazioni e la sicurezza quantistiche.

Al progetto SAGA (Security And cryptoGrAphic mission)[13], che prevede la creazione di una serie di satelliti quantici gestiti da ESA e un network di stazioni terrestri gestite dalla Commissione Europea (DG CONNECT), si è affiancata l’iniziativa UE EuroQCI[14]. Lo scopo del progetto è sviluppare un segmento terrestre – basato su reti di comunicazione in fibra ottica che collegano siti strategici a livello nazionale – e un segmento spaziale, basato su satelliti quantistici: EuroQCI sarà parte integrante di IRIS.

La rivoluzione quantistica, che pure presenta una serie di sfide non banali (e.g. per l’accreditamento di sicurezza), è un elemento che permetterà un significativo salto di qualità, aumentando il livello di resilienza dei nostri sistemi spaziali e la capacità di affrontare minacce di livello strategico.

Note

[1] Il Trattato di Lisbona modifica il Trattato sull’Unione Europea e il Trattato che istituisce la Comunità Economica Europea (2007/C 306/01), articolo 127(bis)

[2] Trattato sull’Unione europea (TUE) (Maastricht, 7 febbraio 1992) modificato dal Trattato di Lisbona

[3] Decisione del Consiglio del 23 settembre 2013 sulle norme di sicurezza per proteggere le informazioni classificate UE (2013/488/UE)

[4] I requisiti generali di sicurezza sono adottati quali atti di esecuzione (implementing acts), dopo l’approvazione degli Stati membri nel comitato del programma in configurazione di sicurezza

[6] Articolo 22 del Regolamento (UE) 2023/588

[7] Regolamento (UE) 2019/452 del Parlamento Europeo e del Consiglio del 19 marzo 2019, che istituisce un quadro per il controllo degli investimenti esteri diretti nell’Unione

[8] Decreto legge 15 marzo 2012, n. 21 ”Norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni”

[9] Regolamento (UE) 2021/821 del Parlamento Europeo e del Consiglio del 20 maggio 2021, che istituisce un regime dell’Unione di controllo delle esportazioni, dell’intermediazione, dell’assistenza tecnica, del transito e del trasferimento di prodotti a duplice uso

[10] Il Regolamento copre il quadro finanziario pluriennale (MFF, Multiannual Financial Framework) 2021-2027

[11] JOIN(2023) 9 final, Joint communication to the European Parliament and the Council “European Union Space Strategy for Security and Defence”

[12] Il C-SOC fornisce ad ESA capacità di monitoraggio ed implementazione preventiva e reattiva delle misure di cybersicurezza riferite agli assetti spaziali gestiti da ESA

[13] https://www.esa.int/ESA_Multimedia/Images/2019/04/SAGA_for_quantum_key_distribution

[14] https://digital-strategy.ec.europa.eu/it/policies/european-quantum-communication-infrastructure-euroqci

 

Questo articolo è stato estratto dal white paper “Quaderni di Cyber Intelligence #6” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/quaderni-di-cyber-intelligence-6/

Articolo a cura di Antonio Piccirillo

Profilo Autore
Antonio Piccirillo

Attualmente Programme Officer nella Direzione Generale Industria della difesa e spazio (DG DEFIS) della Commissione Europea, da Ufficiale dell’Esercito Italiano è stato impiegato in Italia e in vari teatri operativi, in ruoli di comando nel settore delle telecomunicazioni e dell’information security. Si è occupato di gestione delle crisi presso l’Ufficio del Consigliere Militare della Presidenza del Consiglio dei Ministri ed è stato parte dello staff dell’Autorità Nazionale Responsabile per il Galileo PRS. Dal 2019 è nel team che si occupa della definizione e gestione degli aspetti di sicurezza del Programma Spaziale dell’Unione.

Condividi sui Social Network:

Articoli simili

Cyber Risk Management: dalla cyber intelligence alla cyber insurance

Cyber Risk Management: dalla cyber intelligence alla cyber insurance

A cura di:Redazione Ore Pubblicato il

Intervista a Giampiero Nanni, Government Affairs, Symantec EMEA, durante la 18° edizione del Forum ICT Security Qual è l’esperienza di Symantec nel cyber risk management? Symantec è la più grande società di Cyber security al mondo; io appartengo al team di Government Affairs, diviso tra Bruxelles e Londra. Non siamo tecnici né commerciali, ci occupiamo…

Previsioni e trend 2018 – Le novità in ambito cybersecurity

Previsioni e trend 2018 – Le novità in ambito cybersecurity

A cura di:Redazione Ore Pubblicato il

A dicembre è tempo di bilanci e il mondo della cybersecurity non fa eccezione: come di consueto, all’avvicinarsi della fine dell’anno arrivano le valutazioni sui dodici mesi appena trascorsi, unitamente alle previsioni su quelli a venire. Le principali organizzazioni di settore, infatti, proprio in questi giorni diffondono i propri “oroscopi” in materia di sicurezza informatica…

Intervista a Marco Tulliani – Forum ICT Security 2019

Intervista a Marco Tulliani – Forum ICT Security 2019

A cura di:Redazione Ore Pubblicato il

20° Forum ICT Security Marco Tulliani – Head of Security IT Risk Management e Antifrode presso BNL, Gruppo BNP Paribas Le banche sono le vittime eccellenti del crimine informatico e devono, pertanto, tenere sempre il passo in termini di prevenzione. A tale scopo, negli ultimi tempi BNL ha investito molto sulla sicurezza di ecosistema –…

BlackCat: conosciamo meglio questo ransomware

BlackCat: conosciamo meglio questo ransomware

A cura di:Redazione Ore Pubblicato il

BlackCat (alias ALPHV) è una famiglia di ransomware emersa a metà novembre 2021 che ha rapidamente guadagnato notorietà per la sua sofisticazione e innovazione. Operando con un modello di business ransomware-as-a-service (RaaS), BlackCat è stato osservato mentre cercava affiliati in noti forum di criminalità informatica, offrendo loro la possibilità di sfruttare il ransomware e mantenere…

Endian Secure Digital Platform adotta il concetto di Zero Trust

Endian Secure Digital Platform adotta il concetto di Zero Trust

A cura di:Redazione Ore Pubblicato il

Oggi, le reti aziendali non hanno più confini così definiti: il numero di dispositivi e appliance in rete sta aumentando rapidamente, i dipendenti lavorano da qualsiasi luogo e usano i propri dispositivi personali. Allo stesso tempo, sia partner commerciali sia fornitori richiedono l’accesso ad alcune risorse aziendali. Anche all’interno delle imprese stesse, si sta verificando…

Guida al riconoscimento dell’emulatore nell’analisi di un malware in Android

Guida al riconoscimento dell’emulatore nell’analisi di un malware in Android

A cura di:Gianluigi Spagnuolo Ore Pubblicato il

Per comprendere il comportamento di un malware si eseguono un’analisi statica e una dinamica; gli strumenti che si occupano di questo, di solito, vengono utilizzati in un ambiente emulato e virtualizzato. Avviene però, a volte, che un malware cerchi di eludere queste analisi individuando l’ambiente di esecuzione e non permettendo di fatto a questi tool…