Il livello complessivo di preparazione della cibersicurezza delle istituzioni, degli organi e delle agenzie dell’UE non è adatto alle minacce. La Corte dei Conti europea raccomanda l’introduzione di norme vincolanti in materia e un aumento delle risorse della squadra di pronto intervento informatico CERT-UE
International Law - Cibersecurity
G Iuvinale
Il numero di ciberattacchi contro organismi dell’UE è in rapido aumento.
Tuttavia, il loro livello di preparazione in materia di cibersicurezza è variabile e complessivamente non commisurato alle crescenti minacce. Dato che questi organismi sono strettamente interconnessi, le debolezze di uno espongono gli altri a minacce per la sicurezza.
Questa è la conclusione alla quale è giunta la Corte dei conti europea in una relazione speciale in cui viene esaminato il grado di preparazione degli organismi UE alle minacce informatiche.
Foto gettyimages
La Corte raccomanda l’introduzione di norme vincolanti in materia di cibersicurezza e un aumento delle risorse della squadra di pronto intervento informatico (CERT-UE). La Commissione europea dovrebbe, inoltre, secondo la Corte, promuovere una maggiore cooperazione tra gli organismi, mentre la CERT-UE e l’Agenzia dell’Unione europea per la cibersicurezza dovrebbero concentrarsi maggiormente su quegli organismi che hanno minore esperienza nella gestione della cibersicurezza.
Il regolamento (UE) 2019/881 definisce la cibersicurezza “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”. Le istituzioni, gli organi e agenzie dell’UE (EU institutions, bodies and agencies – EUIBA) trattano informazioni sensibili e sono, quindi, obiettivi interessanti per potenziali aggressori, in particolare per gruppi in grado di attuare attacchi altamente sofisticati ed invisibili a fini di ciberspionaggio o altro. Gli EUIBA sono strettamente interconnessi, nonostante siano istituzionalmente indipendenti e amministrativamente autonomi. Pertanto, le debolezze di un singolo EUIBA possono esporre gli altri a minacce per la sicurezza.
Come disciplina, la cibersicurezza include la rilevazione, la prevenzione e l’individuazione degli incidenti informatici, la risposta agli stessi e il successivo ripristino. Gli incidenti possono andare, ad esempio, dalla divulgazione accidentale di informazioni ad attacchi che mirano a compromettere infrastrutture critiche, ai furti di identità e di eventuali dati personali
Il numero di incidenti significativi registrati dagli organismi dell’UE è più che decuplicato tra il 2018 e il 2021 e il telelavoro ha aumentato considerevolmente i potenziali punti di accesso per gli aggressori. Gli incidenti significativi sono generalmente causati da attacchi informatici sofisticati, che generalmente includono l’uso di nuovi metodi o tecnologie, e le indagini su tali incidenti e il ripristino del normale funzionamento possono richiedere settimane, se non addirittura mesi.
Un esempio è stato il ciberattacco sferrato nei confronti dell’Agenzia europea per i medicinali (EMA) che ha portato alla divulgazione di dati sensibili poi manipolati per minare la fiducia nei vaccini.
La principale constatazione della Corte è che gli organi europei non sono sempre adeguatamente protetti dalle minacce informatiche. Non adottano un approccio uniforme alla cibersicurezza, non sempre applicano i controlli essenziali e le buone pratiche in materia e non forniscono sistematicamente formazione a tale riguardo. Le risorse destinate alla cibersicurezza variano notevolmente e alcuni organismi spendono notevolmente meno rispetto ai propri omologhi di dimensioni analoghe. Anche se i diversi livelli di cibersicurezza potrebbero essere teoricamente giustificati dai diversi profili di rischio di ciascuna organizzazione e dai diversi livelli di sensibilità dei dati trattati, la Corte sottolinea che le carenze della cibersicurezza in un organismo possono avere carattere sistemico, cioè possono esporre numerose altre organizzazioni a minacce informatiche (gli organismi sono strettamente interconnessi tra loro e spesso anche con organizzazioni pubbliche e private negli Stati membri).
La Squadra di pronto intervento informatico (CERT-UE) e l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) sono le due principali entità che forniscono sostegno in materia di cibersicurezza. Tuttavia, a causa delle risorse limitate e della priorità attribuita ad altri ambiti, non sono state in grado di fornire tutto il sostegno di cui gli organismi necessitano.
A giudizio della Corte, un altro difetto riguarda la condivisione delle informazioni: ad esempio, non tutti gli organismi diffondono tempestivamente comunicazioni sulle vulnerabilità e sugli incidenti significativi di cibersicurezza di cui sono stati vittime o che possono avere ripercussioni su altri organismi.
Quadro giuridico
Attualmente non esiste un quadro giuridico riguardante la sicurezza delle informazioni e la cibersicurezza nelle istituzioni, nelle agenzie e negli organismi dell’UE. Questi non sono soggetti alla normativa europea e, più generale, in materia di cibersicurezza, ossia la direttiva NIS (network and information security) del 2016, né alla relativa proposta di revisione, la direttiva NIS2.
Non vi sono, inoltre, informazioni complete sugli importi spesi dagli organismi per la cibersicurezza. Nel luglio 2020, la Commissione ha pubblicato una comunicazione sulla strategia dell’UE per l’Unione della sicurezza per il periodo 2020-2025, che contiene “norme comuni in materia di sicurezza delle informazioni e sicurezza informatica per l’insieme degli organismi dell’UE”. Nella strategia in materia di cibersicurezza per il decennio digitale, pubblicata nel dicembre 2020, la Commissione annunciava la presentazione di un regolamento contenente norme comuni sulla cibersicurezza per tutti gli organismi. Proponeva, inoltre, la creazione di una nuova base giuridica per la CERTUE al fine di consolidarne mandato e finanziamenti.
La Corte ha evidenziato, inoltre, le sfide insite in un’efficace politica dell’UE in materia di cibersicurezza in un documento di riflessione del 2019.
Comments