Era stata ampiamente anticipata come componente importante del programma politico della nuova “legislatura” europea e alla fine è arrivata, con il nome abbastanza esplicativo di ProtectEU. In realtà il nuovo piano strategico per la sicurezza interna dell’Unione Europea sarà dibattuto soprattutto per le sue sfaccettature “analogiche”, ma comprende anche diverse parti dedicate in modo specifico alla sicurezza cyber o comunque “ibrida”. Nulla di concettualmente nuovo, a ben vedere, ma è importante che la Commissione rafforzi gli approcci che ha già deciso di seguire e di imporre con norme come il Cybersecurity Act o la Direttiva NIS2.

L’approccio di fondo di ProtectEU è, come anticipato, ibrido. Si parte dall’assunto che i principali threat actor mettano in campo di tutto contro le nazioni UE: dagli atti di sabotaggio contro le infrastrutture critiche agli attacchi informatici, dalle interferenze elettorali alla disinformazione via social network. Dato questo scenario, la UE deve in generale rafforzare la propria resilienza e sviluppare nuovi modi per affrontare le sempre nuove minacce portate dai threat actor, state-sponsored o meno.

Un particolare focus viene dedicato alle minacce verso le infrastrutture critiche UE, con in primo piano le reti energetiche, di comunicazione digitale (il sabotaggio dei cavi sottomarini nel Nord è un punto ancora molto dolente), di trasporto. Per difendersi da queste minacce serve in primo luogo una maggiore collaborazione tra tutte le entità europee coinvolte, ma servono anche nuove misure specifiche che coprano i settori e i servizi che non sono già contemplati dalle norme che già esistono, come la NIS2.

In caso di attacchi alle infrastrutture che comportino problemi importanti a livello transnazionale, la risposta della UE sarà coordinata dallo EU Critical Infrastructure Blueprint. Ma anche dallo EU Cyber Blueprint, chiamato in causa dalla natura ibrida dei probabili attacchi: perciò la Commissione spinge perché questo framework per la gestione delle crisi cyber sia approvato in fretta dal Consiglio d’Europa. La Commissione inoltre prevede, e spinge per, nuovi stress test volontari delle reti energetiche e delle altre infrastrutture chiave.

La visione della cybersecurity

Lato cybersecurity in senso stretto, la Commissione Europea ritiene che le norme già presentate in questi ultimi anni (NIS2, Cyber Resilience Act, Cyber Solidarity Act, Digital Services Act e via dicendo) rappresentino una base solida. Ma anche che per affrontare minacce sempre nuove sia necessario potenziare ulteriormente quanto già si sta facendo per rafforzare la sicurezza delle supply chain ICT, combattere il ransomware, conquistare una sovranità tecnologica europea.

Nel primo ambito - la messa in sicurezza delle supply chain ICT - il modello resta quello del 5G Cybersecurity Toolbox, che però è esso stesso poco adottato dagli Stati membri. Con il risultato che “rimangono rischi inaccettabili per la sicurezza, in modo specifico per quanto riguarda la sostituzione dei fornitori ad alto rischio”. Per risolvere la questione e in generale favorire un approccio omogeneo alla sicurezza delle supply chain tecnologiche, la Commissione pensa a una revisione mirata del Cybersecurity Act e ad una estensione dello European Cybersecurity Certification Framework. L’obiettivo è in generale fare in modo che le entità critiche “scelgano servizi cloud e di telecomunicazioni che offrano un livello appropriato di cybersecurity, tenendo conto non solo dei rischi tecnici ma anche di quelli strategici”.

La difesa efficace contro il ransomware ed altri attacchi cyber dovrebbe essere già in buona parte garantita dalla compliance alla NIS2 e al Cyber Resilience Act. Ma la Commissione punta anche ad aumentare la trasparenza delle aziende colpite, facendo in modo che più attacchi siano debitamente segnalati alle autorità, specie se vengono da APT, per favorire le investigazioni. Per il resto la palla resta nel campo di Europol ed Enisa, che stanno nel complesso portando buoni risultati.

Il tema, peraltro ampio e molto delicato, della tanto desiderata “technological sovereignty” europea è per la Commissione strettamente legato alla cybersecurity. Il presupposto è che la sicurezza cyber in futuro si potrà garantire solo con lo sviluppo di proprie tecnologie in campi che spaziano dall’AI al quantum computing, dai nuovi protocolli di comunicazione all’IoT, dal cloud all’edge computing.

In primissimo piano c’è la Post-Quantum Cryptography, che la Commissione giudica “cruciale” per la protezione dei dati critici e delle identità digitali. L’obiettivo è che, nei casi ad alto rischio e che coinvolgono entità critiche, la PQC sia adottata il prima possibile e comunque entro fine 2030. La Commissione spinge ora anche per velocizzare l’implementazione di EuroQCI, la rete “mista” satellitare-terrestre per le comunicazioni quantistiche a cui lavorano anche organizzazioni italiane.