Sono due i problemi principali che bloccano una vera e omogenea reazione a livello europeo alle minacce cibernetiche. Il primo è la riluttanza a cedere sovranità in una materia così delicata, che attiene soprattutto a questioni di sicurezza nazionale, il secondo è la mancata compenetrazione di settore pubblico e privato nella gestione dei rischi cibernetici. Questo è quanto si legge nel nuovo Rapporto Osservatorio Innov-E 2018, realizzato da I-Com, l’Istituto per la Competitività.
Ma qualcosa si sta muovendo. Di fatto il cammino per la soluzione dei problemi è iniziato nel settembre 2017 con la nuova proposta del Cybersecurity Act, e con la recente entrata in vigore della direttiva Gdpr.
Armonizzare le normative e condividere le informazioni fra Stati membri
Un’armonizzazione delle normative, ma soprattutto una condivisione di informazioni tra Stati membri diventa più difficile, se i Paesi sono riluttanti a cedere sovranità in materia, e rende ardua la governance della cybersecurity. Nel 2016 l’Ue aveva pianificato di investire 1,8 miliardi di euro entro il 2020 come primo passo per superare frammentazione fra Paesi, e arrivare a un maggior coordinamento delle strutture di risposta. Ma la ritrosia a cedere sovranità potrebbe bloccare tali sforzi. Un po’ come è successo ai tentativi di creazione di un’unica agenzia di intelligence europea, riferisce Askanews.
Formalizzare un meccanismo di partnership pubblico-privata
Nel 2009, con la direttiva sulla protezione delle infrastrutture critiche, si era cercato di istituire lo European Public-Private Partnership for Resilience (EP3R), un tentativo di formalizzare un meccanismo di partnership pubblico-privata. Ma presto il consesso è diventato un forum di lobbying, con tentativi da parte del privato di influenzare la legislazione, piuttosto che di cooperare con le istituzioni per formare nuovi standard di resilienza.
“Oltretutto si registrò una disparità tra imprese dell’Ict e quelle delle infrastrutture, con le seconde nettamente sottorappresentate. Anche il tentativo di rivitalizzarla nel 2013 creando una nuova piattaforma non ha portato ai risultati sperati e l’interazione tra soggetti diversi per migliorare la risposta resta ancora difficile da realizzare”, si legge nel Rapporto.
Il cammino per risolvere questi problemi di fatto è stato avviato nell’ultimo anno, con la nuova proposta del Cybersecurity Act nel settembre 2017 e con l’entrata in vigore della direttiva Gdpr e la trasposizione nell’ordinamento italiano della direttiva Rsi. Un’applicazione omogenea delle normative esistenti, unita al sistema di certificazione europea, potrebbe costituire un punto di inizio per tenere conto di tutte le interdipendenze del sistema energetico a livello europeo. E per far fronte a una minaccia intangibile, che però ha conseguenze estremamente reali
