Cibersecurity: la protezione UE รจ molto carente
- Gabriele Iuvinale
- 1 apr 2022
- Tempo di lettura: 4 min
Il livello complessivo di preparazione della cibersicurezza delle istituzioni, degli organi e delle agenzie dellโUE non รจ adatto alle minacce. La Corte dei Conti europea raccomanda lโintroduzione di norme vincolanti in materia e un aumento delle risorse della squadra di pronto intervento informatico CERT-UE
International Law - Cibersecurity
G Iuvinale
Il numero di ciberattacchi contro organismi dellโUE รจ in rapido aumento.
Tuttavia, il loro livello di preparazione in materia di cibersicurezza รจ variabile e complessivamente non commisurato alle crescenti minacce. Dato che questi organismi sono strettamente interconnessi, le debolezze di uno espongono gli altri a minacce per la sicurezza.
Questa รจ la conclusione alla quale รจ giunta la Corte dei conti europea in una relazione speciale in cui viene esaminato il grado di preparazione degli organismi UE alle minacce informatiche.
Foto gettyimages
La Corte raccomanda lโintroduzione di norme vincolanti in materia di cibersicurezza e un aumento delle risorse della squadra di pronto intervento informatico (CERT-UE). La Commissione europea dovrebbe, inoltre, secondo la Corte, promuovere una maggiore cooperazione tra gli organismi, mentre la CERT-UE e lโAgenzia dellโUnione europea per la cibersicurezza dovrebbero concentrarsi maggiormente su quegli organismi che hanno minore esperienza nella gestione della cibersicurezza.
Il regolamento (UE) 2019/881 definisce la cibersicurezza โlโinsieme delle attivitร necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informaticheโ. Le istituzioni, gli organi e agenzie dellโUE (EU institutions, bodies and agencies โ EUIBA) trattano informazioni sensibili e sono, quindi, obiettivi interessanti per potenziali aggressori, in particolare per gruppi in grado di attuare attacchi altamente sofisticati ed invisibili a fini di ciberspionaggio o altro. Gli EUIBA sono strettamente interconnessi, nonostante siano istituzionalmente indipendenti e amministrativamente autonomi. Pertanto, le debolezze di un singolo EUIBA possono esporre gli altri a minacce per la sicurezza.
Come disciplina, la cibersicurezza include la rilevazione, la prevenzione e lโindividuazione degli incidenti informatici, la risposta agli stessi e il successivo ripristino. Gli incidenti possono andare, ad esempio, dalla divulgazione accidentale di informazioni ad attacchi che mirano a compromettere infrastrutture critiche, ai furti di identitร e di eventuali dati personali
Il numero di incidenti significativi registrati dagli organismi dellโUE รจ piรน che decuplicato tra il 2018 e il 2021 e il telelavoro ha aumentato considerevolmente i potenziali punti di accesso per gli aggressori. Gli incidenti significativi sono generalmente causati da attacchi informatici sofisticati, che generalmente includono lโuso di nuovi metodi o tecnologie, e le indagini su tali incidenti e il ripristino del normale funzionamento possono richiedere settimane, se non addirittura mesi.
Un esempio รจ stato il ciberattacco sferrato nei confronti dellโAgenzia europea per i medicinali (EMA) che ha portato alla divulgazione di dati sensibili poi manipolati per minare la fiducia nei vaccini.
La principale constatazione della Corte รจ che gli organi europei non sono sempre adeguatamente protetti dalle minacce informatiche. Non adottano un approccio uniforme alla cibersicurezza, non sempre applicano i controlli essenziali e le buone pratiche in materia e non forniscono sistematicamente formazione a tale riguardo. Le risorse destinate alla cibersicurezza variano notevolmente e alcuni organismi spendono notevolmente meno rispetto ai propri omologhi di dimensioni analoghe. Anche se i diversi livelli di cibersicurezza potrebbero essere teoricamente giustificati dai diversi profili di rischio di ciascuna organizzazione e dai diversi livelli di sensibilitร dei dati trattati, la Corte sottolinea che le carenze della cibersicurezza in un organismo possono avere carattere sistemico, cioรจ possono esporre numerose altre organizzazioni a minacce informatiche (gli organismi sono strettamente interconnessi tra loro e spesso anche con organizzazioni pubbliche e private negli Stati membri).
La Squadra di pronto intervento informatico (CERT-UE) e lโAgenzia dellโUnione europea per la cibersicurezza (ENISA) sono le due principali entitร che forniscono sostegno in materia di cibersicurezza. Tuttavia, a causa delle risorse limitate e della prioritร attribuita ad altri ambiti, non sono state in grado di fornire tutto il sostegno di cui gli organismi necessitano.
A giudizio della Corte, un altro difetto riguarda la condivisione delle informazioni: ad esempio, non tutti gli organismi diffondono tempestivamente comunicazioni sulle vulnerabilitร e sugli incidenti significativi di cibersicurezza di cui sono stati vittime o che possono avere ripercussioni su altri organismi.
Quadro giuridico
Attualmente non esiste un quadro giuridico riguardante la sicurezza delle informazioni e la cibersicurezza nelle istituzioni, nelle agenzie e negli organismi dellโUE. Questi non sono soggetti alla normativa europea e, piรน generale, in materia di cibersicurezza, ossia la direttiva NIS (network and information security) del 2016, nรฉ alla relativa proposta di revisione, la direttiva NIS2.
Non vi sono, inoltre, informazioni complete sugli importi spesi dagli organismi per la cibersicurezza. Nel luglio 2020, la Commissione ha pubblicato una comunicazione sulla strategia dellโUE per lโUnione della sicurezza per il periodo 2020-2025, che contiene โnorme comuni in materia di sicurezza delle informazioni e sicurezza informatica per lโinsieme degli organismi dellโUEโ. Nella strategia in materia di cibersicurezza per il decennio digitale, pubblicata nel dicembre 2020, la Commissione annunciava la presentazione di un regolamento contenente norme comuni sulla cibersicurezza per tutti gli organismi. Proponeva, inoltre, la creazione di una nuova base giuridica per la CERTUE al fine di consolidarne mandato e finanziamenti.
La Corte ha evidenziato, inoltre, le sfide insite in unโefficace politica dellโUE in materia di cibersicurezza in un documento di riflessione del 2019.