La cybersicurezza tra coordinamento europeo e organi nazionali Mappe del potere
Gli organismi europei hanno un ruolo di supporto e coordinamento in materia di cybersicurezza. Pur nel rispetto di alcune regole comuni, ogni stato membro Ue può però organizzare in modo diverso un settore che riguarda sia soggetti privati sia i più importanti interessi nazionali.
martedì 25 Gennaio 2022 | Potere politico
L’agenzia europea per la cybersicurezza (Enisa) è diventata negli anni una realtà sempre più importante per affrontare le crescenti sfide in questo settore. La competenza dell’Unione europea in materia di cybersicurezza deriva dall’articolo 5 del Trattato sull’unione europea (Tue), là dove si sancisce la competenza concorrente nei settori in cui non è prevista una sua competenza esclusiva.
In virtù del principio di sussidiarietà, nei settori che non sono di sua competenza esclusiva l’Unione interviene soltanto se e in quanto gli obiettivi dell’azione prevista non possono essere conseguiti in misura sufficiente dagli Stati membri, né a livello centrale né a livello regionale e locale, ma possono, a motivo della portata o degli effetti dell’azione in questione, essere conseguiti meglio a livello di Unione.
L’Unione (e quindi Enisa) deve dunque limitarsi ad affrontare quegli aspetti che non potrebbero essere conseguiti efficacemente dai singoli stati. Per questo accanto all’agenzia europea ciascuno stato ha adottato un proprio assetto istituzionale e dei propri organi in materia di cybersicurezza. Il compito di Enisa dunque è proprio quello di assistere gli stati membri e la commissione e di favorire la cooperazione e gli scambi.
Il coordinamento europeo
In tema di cybersicurezza il principale riferimento normativo in ambito europeo è la direttiva Nis, anche se proprio in questo periodo è in discussione un aggiornamento del testo che dovrebbe portare all’approvazione di una direttiva Nis 2.
Data la natura delle direttive europee (articolo 288 del Trattato sul funzionamento dell’Unione europea, Tfue) questo testo si limita a indicare agli stati membri il risultato da raggiungere, lasciando poi a questi ultimi ampia autonomia su come strutturare i propri organismi di cybersicurezza.
Tra gli obblighi previsti per gli stati membri in ogni caso si trova l’individuazione di alcuni organi necessari al coordinamento delle politiche adottate per mantenere un alto livello di sicurezza delle infrastrutture cibernetiche. Si tratta delle autorità nazionali competenti, dei punti di contatto unici e dei Csirt (Computer security incident response team).
I Csirt sono organizzazioni incaricate di raccogliere e gestire le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software. Si tratta di soggetti che in alcuni casi sono presenti già dal 1990. Ogni paese dispone di un numero diverso di Csirt che possono essere accreditati presso diversi consorzi internazionali come il Trusted Introducer, il First (Forum of incident response and security teams) o il Csirt Network europeo.
I primi 15 paesi Ue per numero di Csirt
I paesi europei con più Computer security incident response team (Cirst) accreditati presso i tre principali consorzi internazionali
FONTE: elaborazione openpolis su dati Enisa
(ultimo aggiornamento: martedì 11 Gennaio 2022)
In questo ambito la direttiva Nis stabilisce la necessità che ciascuno stato membro designi uno o più Csirt per far parte del Csirt Network europeo. Nella maggior parte dei casi i paesi membri hanno designato un singolo Csirt ma non tutti. Alcuni paesi infatti ne hanno designati 2 e altri 3.
I Csirt nazionali designati dai paesi membri
Il numero di Csirt nazionali designati da ciascun paese membro dell'Unione europea a far parte del Csirts Network
FONTE: elaborazione openpolis su dati Enisa
(ultimo aggiornamento: martedì 11 Gennaio 2022)
Se i Csirt si occupano di incidenti informatici e potenziali vulnerabilità, a livello di regolamentazione e gestione operano invece le autorità competenti Nis, ovvero gli organi nazionali responsabili della sicurezza delle reti e dei sistemi informativi nei settori indicati nella direttiva. Anche in questo caso ciascuno stato può individuane una o più.
13 i paesi membri che hanno individuato un'unica autorità competente Nis.
Se ne viene individuata solo una questa diventa automaticamente anche il punto di contatto unico, altrimenti lo stato deve indicare quale organo svolgerà il ruolo di punto di collegamento per garantire la cooperazione con le autorità degli altri stati membri oltre che con Enisa e la rete Csirt.
Le autorità competenti Nis. I casi di Germania, Francia e Italia
Come abbiamo visto dunque ciascun paese ha il diritto di strutturare come crede i propri organi di settore, pur nel rispetto degli obblighi previsti dalla direttiva europea. Se prendiamo, per esempio, i tre paesi Ue più popolosi, il primo dato dato che emerge è che tutti e tre, ad oggi, hanno individuato un'unica autorità di competenza Nis.
Data protection in EU: Comparative Study of National Reports
Per l'Italia si tratta della nuova Agenzia per la cybersicurezza. Prima della sua istituzione, a maggio 2021, tuttavia erano 5 le autorità individuate, ovvero i ministeri dello sviluppo economico, delle infrastrutture, dell'economia, della salute e dell'ambiente, ora definiti autorità di settore (articolo 7 del D.lgs 65/2018). L'agenzia dunque rappresenta il punto di contatto unico ed al suo interno è anche collocato il Csirt italiano, che in precedenza era inserito nel dipartimento di informazioni per la sicurezza della repubblica, e quindi nel contesto dell'intelligence.
Come abbiamo avuto modo di raccontare in altri approfondimenti, l'Agenzia per la cybersicurezza è un organo dotato di autonomia da diversi punti di vista. Al contempo però è posta sotto la vigilanza della presidenza del consiglio, cui spetta l'alta direzione e la responsabilità generale nel settore oltre che la nomina del direttore, Roberto Baldoni, e del vicedirettore, Nunzia Ciardi. Al suo interno l'agenzia è strutturata in 8 servizi generali, suddivisi a loro volta in divisioni. Attualmente il personale massimo previsto è di circa 300 persone mentre il budget per il 2022 ammonta a 41 milioni di euro. Tuttavia per i prossimi anni è previsto un forte aumento delle risorse destinate a questa struttura.
€ 122 milioni il budget previsto per l'Agenzia italiana per la cybersicurezza a partire dal 2026.
Per quanto riguarda la Francia l'autorità competente è la Agence nationale de la sécurité des systèmes d'information (Anssi). Come nel caso italiano questa struttura è posta nell'ambito della presidenza del consiglio. Nello specifico l'agenzia francese è collocata nel Segretariato generale della difesa, un organo particolare dell'ordinamento francese che assiste il primo ministro nell'esercizio delle sue responsabilità in materia di difesa e sicurezza nazionale. Istituita per legge nel 2009 l'Anssi si è posta da subito obiettivi ambiziosi tra i quali diventare una potenza mondiale nella difesa informatica, anche se questa dicitura non è più presente nella versione più recente della strategia francese di cybersicurezza.
Al vertice dell'Anssi si trova una direzione generale di cui fanno parte il direttore generale, Guillaume Poupard, il direttore generale aggiunto e il capo dello staff. La struttura è poi suddivisa in 4 sotto direzioni a loro volta suddivise in divisioni. Al netto degli stipendi, nel 2020 il budget dell'Anssi ammontava a circa 21 milioni di euro e il personale contava oltre 500 ufficiali e 100 reclute.
€ 21 milioni il budget dell'Anssi nel 2020 al netto delle spese per il personale.
Anche la Germania ha un'unica autorità competente, ovvero la Federal cyber security authority (Bsi). Contrariamente a Francia e Italia questa non fa capo primo ministro (cancelliere nel caso tedesco) articolandosi invece all'interno della direzione generale Cyber and information security del ministero dell'interno. L'ufficio è stato istituito già nel 1991 ma oggi le sue funzione sono regolate principalmente de una legge del 2009. Successivi provvedimenti sono poi intervenuti sulla materia, uno già nel 2015, anticipando molti degli elementi presenti nella direttiva europea emanata l'anno successivo, e un altro solo pochi mesi fa. Con quest'ultima legge il governo tedesco ha inteso rafforzare ulteriormente la Bsi in particolare in materie come la protezione dei consumatori e la sicurezza delle aziende e nelle reti di cellulari.
Al vertice della Bsi si trovano un presidente, Arne Schönbohm, e un vice presidente. La struttura è articolata al suo interno in 8 divisioni, suddivise a loro volta in 18 rami e diverse sezioni. Il suo bilancio per il 2021 ammonta a quasi 200 milioni di euro e il suo personale a 1.550 persone.
€ 200 milioni il budget della Federal Cyber Security Authority tedesca nel 2021.
Le informazioni sui bilanci e sul numero di persone che lavorano presso queste strutture, per quanto interessanti, sono difficilmente comparabili. Questo non solo a causa delle diverse fonti da cui sono stati raccolti i dati e delle diverse metodologie utilizzate da queste ma anche perché la cybersicurezza non è in nessun paese di competenza esclusiva di un'unica organizzazione. Strutture diverse, come i ministeri, la difesa e l'intelligence hanno ruoli importanti in questo settore ed è dunque molto difficile valutare in questi termini l'impegno di ciascun paese nella cybersicurezza.
Il rapporto con i settori della difesa e dell'intelligence
Come accennato, prima della nascita dell'Agenzia italiana di cybersicurezza il settore rientrava all'interno delle competenze del dipartimento di inormazioni per la sicurezza della repubblica (Dis). La nuova legge tuttavia ha posto l'agenzia al di fuori del comparto di intelligence, anche se rimangono molti i collegamenti tra i due settori. Intanto al sottosegretario del governo con delega all'intelligence è da ora attribuita per legge un'identica competenza in materia di cybersicurezza. Inoltre il coordinamento con il settore dell'intelligence è garantito dalla presenza di rappresentanti delle agenzie di intelligence all'interno del nucleo per la cybersicurezza, cui prendono parte anche rappresentanti di vari ministeri. Tra questi è prevista anche la presenza di un rappresentante del ministero della difesa e probabilmente è proprio in questo modo che è garantito il collegamento con Comando operazioni in rete (Cor), l'organo di cyber difesa posto sotto la catena di comando dello stato maggiore della difesa. Nelle norme pubblicate fino a questo momento tuttavia non risulta alcun esplicito collegamento tra l'agenzia e il Cor.
Cyber defence in Nato countries: comparing models
Anche la Federal cyber security authority tedesca è nata dal comparto dell'intelligence, prendendo le mosse all'inizio degli anni novanta da un ufficio che si occupava a livello tecnico della protezione dei segreti di stato. Negli anni tuttavia la Bsi è diventato un organo del tutto autonomo. Le relazioni con l’intelligence infatti sono mantenute tramite il Centro nazionale di difesa informatica, un organo interistituzionale di cui fanno parte varie strutture federali interessate al tema della cybersicurezza. Tramite questo organo si sviluppa anche il rapporto con il comparto militare che in Germania ha una notevole importanza in questo settore. La difesa informatica è infatti costituzionalmente demandata alle forze armate. In quest'ambito infatti nel 2017 è stato istituito il Kommando cyber (Cir), una struttura considerata al pari degli altri comandi delle forze armate tedesche, responsabile della sicurezza delle infrastrutture informatiche e dei sistemi d’arma della difesa. Data la stretta relazione tra difesa e sicurezza cibernetica in caso di necessità il Cir fornisce supporto al Bsi. Tuttavia dati gli stringenti limiti costituzionali posti in capo al comparto militare tedesco questa può fornire solo un'assistenza di tipo "amministrativo". Infatti nel caso si riveli necessario il dispiegamento di personale militare in risposta a un attacco cibernetico di portata nazionale è costituzionalmente richiesta una preventiva autorizzazione da parte del parlamento.
Come abbiamo visto, in Francia l'Anssi è strutturata all'interno del segretariato generale della difesa. Tramite questa struttura dunque sono garantiti il coordinamento con il settore militare e quello dell'intelligence. Il segretariato generale della difesa infatti ha diverse competenze sia in materia di difesa che di intelligence svolgendo per il presidente del consiglio funzioni di indirizzo, di proposta, di coordinamento e regolamentazione in materia di difesa generale e di sicurezza nazionale. Inoltre il segretario generale della difesa risponde come abbiamo visto al presidente del consiglio, sotto la cui responsabilità ricadono anche le attività dei servizi di informazione interna ed estera, pur facendo questi capo rispettivamente a ministeri dell'interno e della difesa.
European data journalism network, i dati nel resto dell'Europa
Openpolis fa parte dell'European data journalism network, una rete di realtà che si occupano di data journalism in tutta Europa. Questo articolo è stato prodotto nell'ambito del progetto Panelfit, supportato dal programma Horizon 2020 della Commissione europea (grant agreement n. 788039). La commissione non ha preso parte alla produzione dell'articolo e non è responsabile per il suo contenuto.
Per i contributi all'articolo si ringraziano Harald Zwingelberg di Unabhängige Landeszentrum für Datenschutz e Álvaro Merino di El Orden Mundial.