Rafforzare la sicurezza di tutti i cittadini dell’Unione europea
La digitalizzazione ha trasformato la società, offrendo numerose opportunità e soluzioni ai problemi che l’Europa deve affrontare. Allo stesso tempo, però, lascia l’economia e la società aperte alle minacce informatiche. Per rafforzare la resilienza e la reattività a questo problema, l’Unione europea ha adottato la normativa sulla cibersolidarietà, che intende potenziare le capacità in materia di sicurezza informatica negli Stati membri. Il progetto CyberSec4Europe, finanziato dall’UE, fa parte di questo obiettivo condiviso e si propone di rafforzare la sicurezza informatica nell’Unione europea, comprese le misure di protezione e difesa, preservando al contempo i valori culturali dei cittadini. «Il nostro obiettivo principale e quello dei nostri tre progetti associati, CONCORDIA, ECHO e SPARTA, è quello di fungere da pilota per il Centro europeo di competenza per la cibersicurezza (ECCC) e per la rete di centri di coordinamento nazionali», spiega Kai Rannenberg, coordinatore del progetto. Sia l’ECCC che i centri nazionali costituiscono il nuovo quadro dell’Unione a sostegno dell’innovazione e della politica industriale in materia di sicurezza informatica.
Progettare un modello di governance
Il lavoro realizzato nell’ambito di CyberSec4Europe ha portato allo sviluppo di un approccio guidato dalla comunità per l’ECCC, nonché di un modello di governance che integra e adatta marginalmente la proposta normativa del regolamento UE n. 2018/0328 per soddisfare i requisiti giuridici. «In breve, proponiamo un approccio combinato dall’alto verso il basso e dal basso verso l’alto e l’aggiunta di una rete di centri comunitari di competenza in materia di conoscenza della cibersicurezza alla rete europea, come indicato nella proposta di regolamento», conferma Rannenberg. Inoltre, CyberSec4Europe propone l’introduzione di una sotto-struttura per l’ECCC, l’introduzione di un consiglio dei portatori d’interesse come elemento aggiuntivo dal basso verso l’alto e una modifica della struttura di governance esistente per la rete, come delineato nella proposta di regolamento. «Questo approccio e questo modello sono fondamentali per consentire alle parti interessate di segnalare con franchezza i problemi di sicurezza informatica e di avere la certezza di essere ascoltate. Ciò significa che le segnalazioni sincere non si ritorceranno contro coloro che le rendono», conferma Rannenberg.
Una tabella di marcia e raccomandazioni per il funzionamento dei centri nazionali
Il progetto ha inoltre elaborato alcuni scenari di casi d’uso dimostrativi per abbinare i requisiti applicativi a soluzioni di sicurezza innovative per gli ambiti dell’open banking, della garanzia di sicurezza della catena di approvvigionamento, della gestione dell’identità che preserva la privacy, della segnalazione di incidenti (nel settore finanziario), del trasporto marittimo, dello scambio di dati medici e delle città intelligenti (scambio di dati personali fra i cittadini e gli altri attori della città). «Abbiamo anche sviluppato un portale con strumenti open-source e sistemi operativi, come il Cyber Sandbox Creator», conferma Rannenberg. Questo strumento è in grado di generare file di definizione portatili e di costruire ambienti virtuali utilizzando VirtualBox. Un altro risultato fondamentale del progetto è la pubblicazione di due libri. Il Blue Book è un insieme di tabelle di marcia e sfide per la sicurezza informatica destinate a ricercatori e responsabili politici, mentre Stories è una narrazione della comunità europea della cibersicurezza, creata da CyberSec4Europe.
Proteggere e mantenere una società democratica sana
«Abbiamo sviluppato la consapevolezza che la sicurezza informatica significa davvero difendere i valori europei e la necessità di rispettare le norme e le istituzioni che li preservano, come la protezione dei dati», afferma Rannenberg. L’impatto a lungo termine previsto del progetto è che, una volta che l’ECCC sarà pienamente operativo, si baserà sul lavoro e sui risultati ottenuti da CyberSec4Europe. «Lo stesso vale per i centri di coordinamento nazionali, che stanno già utilizzando i risultati, come è opportuno», conclude Rannenberg.
Parole chiave
CyberSec4Europe, sicurezza informatica, minaccia informatica, Centro europeo di competenza per la cibersicurezza, rete di centri di coordinamento nazionali, protezione dei dati
