Il palazzo del Berlaymont a Bruxelles, sede della Commissione europea (foto: Luca Zorloni per Wired)

Il 5G fa scuola. La Commissione europea vuole allargare gli strumenti utilizzati per verificare la sicurezza delle tecnologie per le reti di quinta generazione allo screening di apparati e infrastrutture critiche in generale. Il veicolo sarà la Nis2, la revisione della direttiva europea sulla cybersecurity proposta da Bruxelles, che, tra le varie novità, prevede anche obblighi più stringenti per le forniture digitali delle aziende. Niente liste nere, come hanno fatto gli Stati Uniti per mettere alla porta ospiti indesiderati, in primis quelli con passaporto cinese. Come con il 5G, anche sulla cybersecurity Bruxelles lavora a una serie di fattori per classificare il livello di rischio di un fornitore. A spiegarlo a Itasec, la più importante conferenza sulla sicurezza informatica in Italia, è Roberto Viola, a capo della direzione generale Connect della Commissione europea.

Ordine nelle protezioni europee

La nuova direttiva Nis è uno dei capisaldi della strategia comune sulla cybersecurity. Rispetto alla precedente, spiega Viola, si punta innanzitutto all’armonizzazione tra gli approcci di difesa degli Stati dell’Unione. Sulla protezione delle infrastrutture critiche, come reti idriche, banche, telecomunicazioni o trasporti, le cancellerie si sono mosse in ordine sparso. Ciascuna ha composto a proprio piacimento il novero di quelle infrastrutture considerate fondamentali per la vita quotidiana, perciò da tutelare con particolare attenzione da incursioni dallo spazio digitale. “L’Italia ha notificato tutti gli ospedali, altri stati no”, dice Viola. Differenze che aprono spiragli nella rete di protezione per malintenzionati. La Nis2 deve mettere ordine sotto l’ombrello delle infrastrutture critiche e creare uno scudo uniforme. “Per esempio, tutti devono ricomprendere infrastrutture per il trattamento dell’acqua o dei rifiuti, che sono sempre più generalizzate”, dice Viola.

Nel restyling della direttiva le aziende vengono chiamate in causa più spesso. A cominciare dallo screening dei fornitori. “Riteniamo importante che ogni azienda sappia quello che acquista”, chiosa Viola. E qui entra in campo il modello 5G. Quando il braccio di ferro tra Stati Uniti e Cina sulle reti di quinta generazione ha messo l’Europa alle strette, Bruxelles, che fa largo affidamento sulle multinazionali del Dragone per il 5G, si è smarcata adottando delle linee guida per stabilire il livello di rischio di un fornitore, anziché compilando blacklist. E ora intende replicarlo per altre tecnologie sensibili. “La classificazione del rischio non è un’etichetta, chiunque può cambiare profilo di rischio se rispetta le linee guida – dice Viola -. Ci auguriamo che l’approccio anche per le altre tecnologie sia lo stesso, basato su rischi obiettivi, anche di natura politica e geopolitica, e non su blacklisting. Noi vogliamo attenzione non solo alle telecomunicazioni, ma a tutta la catena del valore”.

La Nis2 prevede anche la disclosure volontaria per gli apparati digitali delle aziende e nuove regole per proteggere reti internet e domain name system. La proposta della Commissione è il minimo sindacale di protezione. Siccome la cybersecurity è materia degli Stati, è compito loro, in caso, stringere le viti. Un’indagine dell’Agenzia europea per la sicurezza informatica (Enisa) ha evidenziato che su 251 tra operatori dei servizi essenziali e fornitori di servizi digitali di Francia, Germania, Spagna, Italia e Polonia, l’82% ha promosso la Nis per colmare carenze nelle difese. Per il Parlamento europeo è tempo di allargarne lo spettro quindi, anche sulla base di studi che indicano che nel 2021 le aziende rischiano di subire un attacco cyber ogni 11 secondi, contro i 40 del 2016.

I centri di competenza europea

L’altro canale di investimento della Commissione è la ricerca. Come per il supercalcolo, Bruxelles vuole costituire una rete di centri di cybersecurity su cui puntellare il proprio scudo dagli attacchi. In rampa di lancio ci sono “3-400 milioni di euro per cofinanziare questi centri”, dice Viola, al 50% con gli Stati dell’Unione. A coordinare l’attività sarà il centro di eccellenza comunitario, sede a Bucarest, che terrà i rapporti con i nodi nazionali e potrà distribuire fondi per finanziare la ricerca nel Continente. Settimana prossima, annuncia Viola, si svolgerà “la prima riunione della governance di questo centro”.

A Itasec sono stati presentati alcuni dei progetti di ricerca che stanno muovendo i primi passi. Come il consorzio Concordia, a cui partecipano 52 partner e che fa ricerca in settori come le telecomunizioni (coinvolta anche Tim) e la mobilità elettrica (con Stellantis). O Sparta, che ha arruolato cento partner. Cybersecurity for Europe ne ha 43, tra cui Abi lab (che fa ricerca per l’Associazione bancaria italiana), Engineering, il Cnr, Intesa Sanpaolo e il Comune di Genova. Questi progetti vengono coordinati all’interno di focus group per organizzare gli sforzi, l’allocazione delle risorse e il trasferimento tecnologico.

Per Viola quello dei centri di competenza deve suonare come una sveglia per l’Italia, che ha l’obbligo di adeguarsi alle regole europee e selezionare il proprio dopo la partenza di quello comunitario a Bucarest. L’anno scorso proprio sull’istituto nazionale di cybersecurity si è consumato uno scontro politico che, alla fine, ha portato allo stralcio del progetto, nonostante proprio gli esperti, a cominciare da Paolo Prinetto, direttore del Laboratorio nazionale di cybersecurity del Consorzio interuniversitario nazionale per l’informatica (Cini), che organizza Itasec, ne avessero sottolineato l’importanza. Ora anche Bruxelles suona la campana.

 

The post La Commissione europea vuole mettere ordine nelle difese degli Stati contro gli attacchi cyber appeared first on Wired.



Leggi l’articolo su wired.it