L’Enisa e la strategia europea di cybersicurezza

L’Agenzia europea per la cybersicurezza ha l’incarico di costruire una difesa comune contro gli attacchi informatici. Anche se all’inizio sembrava un percorso in salita, dopo diversi passaggi l’agenzia è diventata un attore di primo piano nella lotta al crimine informatico.

Pubblicato il: Dicembre 13th, 2021
L’Enisa e la strategia europea di cybersicurezza_62cf0ce6e58ed.jpeg

L’Enisa e la strategia europea di cybersicurezza

L’Agenzia europea per la cybersicurezza ha l’incarico di costruire una difesa comune contro gli attacchi informatici. Anche se all’inizio sembrava un percorso in salita, dopo diversi passaggi l’agenzia è diventata un attore di primo piano nella lotta al crimine informatico.

Quando l’Agenzia dell’Unione europea per la cybersicurezza (Enisa) è stata fondata, nel 2004, Facebook era appena stato creato e la sicurezza informatica non era un problema urgente né per i governi né tanto meno per i cittadini. Il suo quartier generale si trovava piuttosto distante dai centri decisionali europei, nelle città greche di Heraklion e Atene e il suo mandato iniziale era a termine (solo cinque anni). Questo limite tuttavia è stato prorogato fino al 2019, quando è diventata finalmente un’agenzia permanente.

Negli anni l’Enisa è diventata centrale per lo sviluppo di una strategia comune di sicurezza informatica. Nel 2019 infatti gli è stato attribuito anche un nuovo scopo e una nuova denominazione, sebbene l’acronimo continui a richiamare il nome originario (Agenzia europea per la sicurezza delle reti e dell’informazione, in inglese: European network and information security agency).

Si tratta insomma del punto di riferimento per lo sviluppo del piano europeo per la sicurezza delle reti informatiche. Senza una strategia di difesa comune, senza una protezione a livello di europeo, l’Unione sarebbe un facile bersaglio per i crimini informatici. La commissione ha infatti proposto la creazione dell’Enisa proprio per disporre di un’agenzia che ha come primo impegno quello di mettere in sicurezza il continente, sistemare le questioni in sospeso e garantire che non vi siano direttive disapplicate con il rischio che alcuni paesi rimangano vulnerabili agli attacchi. Inoltre, l’agenzia lavora a stretto contatto con Europol e il Centro europeo per la criminalità informatica.

Nel 2004, quando internet stava entrando nella vita quotidiana dei cittadini, si trattava di un progetto un po’ in anticipo sui tempi. Ma con la crescita delle tecnologie dell’informazione e della comunicazione (Itc), anche i rischi associati sono cresciuti in modo esponenziale. Con il passare degli anni la protezione contro la criminalità informatica è passata da essere una precauzione a essere una necessità e il lavoro dell’Enisa si è rivelato cruciale.

Senza questa agenzia, attacchi informatici come quello che ha colpito l’ospedale universitario di Brno (Repubblica Ceca) nel marzo 2020, causando, nel bel mezzo della pandemia, il rinvio delle operazioni urgenti e il trasferimento di pazienti gravemente malati, sarebbero stati molto più frequenti. La pandemia ha complicato le cose: nell’accelerare la trasformazione digitale della società e dell’economia, le minacce si sono moltiplicate e si sono diversificati anche i settori, dall’approvvigionamento idrico al controllo delle nostre case, ormai sempre più connesse.

Una crescita progressiva

L’Enisa è stata concepita come una piccola agenzia con un compito specifico: aiutare le istituzioni e le organizzazioni all’interno dell’Ue e degli stati membri a proteggere la propria connettività. Nel 2008, un anno prima che scadesse il suo mandato iniziale, il parlamento europeo e il consiglio hanno deciso, su proposta della commissione, di rinnovarlo fino al 2012. L’opera di valutazione e il miglioramento della protezione delle reti europee era infatti appena iniziata.

Nel 2011 il mandato è stato di nuovo prorogato al 2013 e poi ancora al 2020. A differenza delle precedenti proroghe però, nell’ultimo caso è stato anche ampliato il ruolo dell’agenzia. In concomitanza con la pubblicazione della prima strategia per la sicurezza informatica dell’Ue, l’agenzia è stata inoltre modernizzata per adattarla ai compiti derivanti da alcuni aspetti del suo nuovo mandato. Tra questi, il più importante era lo sviluppo di una rete di team per la gestione delle emergenze informatiche (Eu Cert), diffusa in tutte le capitali europee.

Dunque è stato solo nel 2019, con l’approvazione del Cybersecurity Act, che l’Enisa ha ricevuto il suo mandato definitivo. Oltre a un aumento delle risorse, la nuova normativa ha reso permanente il mandato del 2004, ha cambiato la sua denominazione in Agenzia dell’Unione Europea per la cybersicurezza e ha ampliato il suo ruolo consultivo, fornendole poi per la prima volta chiare istruzioni operative .

L’agenzia ha anche iniziato ad aiutare gli stati membri a definire le priorità per il finanziamento di ricerca e sviluppo, lavorando inoltre per creare un sistema di certificazioni di sicurezza per prodotti e servizi Ict nell’Ue.
Perché le imprese e i consumatori possano fidarsi della sicurezza delle loro informazioni online, devono utilizzare dispositivi sicuri, ma la mancanza di un sistema di certificazione europeo unificato mina questa fiducia e limita il commercio transfrontaliero. Proprio per questo l’Enisa ha il compito di stabilire criteri comuni e unificare i meccanismi nazionali per il rilascio delle certificazioni di sicurezza informatica. Un elemento fondamentale per una serie di prodotti e servizi dalle smart card – carte di credito, abbonamenti bus, carte Sim – ai servizi cloud.

Per quanto riguarda il finanziamento, l’Enisa ha visto aumentare di anno in anno il proprio budget fino a quasi 22 milioni di euro nel 2020. Cinque volte in più rispetto al budget iniziale.
La gran parte delle risorse proviene dalla commissione europea, mentre i paesi See (Islanda, Liechtenstein, Norvegia e Svizzera) e la Grecia – dove ha sede l’agenzia – contribuiscono con piccole risorse aggiuntive. Nel 2019 l’Enisa contava settantacinque dipendenti .

Il ruolo crescente dell’agenzia nella strategia europea di sicurezza informatica ha inoltre reso necessario, agli occhi della commissione, avvicinare la sede dell’organizzazione al centro del potere europeo. Per questo, anziché cambiare sede, nel giugno scorso è stata autorizzata l’apertura di una terza sede a Bruxelles con lo scopo di mantenere una “cooperazione regolare e sistematica” tra l’agenzia e le istituzioni europee.

Un passo dopo l’altro, l’agenzia ha rappresentato un pilastro della sicurezza informatica europea sin dalla sua fondazione nel 2004. Il culmine di questo processo è stato l’apertura del suo nuovo ufficio a Bruxelles e il consolidamento delle sue funzioni operative. Un cambiamento che esprime il tentativo da parte dell’Unione di affrontare gli attacchi informatici con un ruolo da protagonista.

Questo articolo è stato prodotto nell’ambito del progetto Panelfit , cofinanziato dal programma Horizon 2020 della Commissione europea (grant agreement n. 788039). La Commissione non ha partecipato alla stesura del testo e non è responsabile per il suo contenuto. L’articolo rientra nella produzione giornalistica indipendente di EDJNet.

Ricevi la nostra newsletter