L’Enisa e la strategia europea di cibersicurezza Mappe del potere

L’Agenzia europea per la cibersicurezza ha l’incarico di costruire una difesa comune contro gli attacchi informatici. Anche se all’inizio sembrava un percorso in salita, dopo diversi passaggi l’agenzia è diventata un attore di primo piano nella lotta al crimine informatico.

|

Partner

Quando l’Agenzia dell’Unione europea per la cibersicurezza (Enisa) è stata fondata, nel 2004, Facebook era appena stato creato e la sicurezza informatica non era un problema urgente né per i governi né tanto meno per i cittadini. Il suo quartier generale si trovava piuttosto distante dai centri decisionali europei, nelle città greche di Heraklion e Atene e il suo mandato iniziale era a termine (solo cinque anni). Questo limite tuttavia è stato prorogato fino al 2019, quando è diventata finalmente un’agenzia permanente.

Negli anni l’Enisa è diventata centrale per lo sviluppo di una strategia comune di sicurezza informatica. Nel 2019 infatti gli è stato attribuito anche un nuovo scopo e una nuova denominazione, sebbene l’acronimo continui a richiamare il nome originario (Agenzia europea per la sicurezza delle reti e dell’informazione, in inglese: European network and information security agency).

L’Enisa svolge i compiti che le sono attribuiti ai sensi del presente regolamento allo scopo di conseguire un elevato livello comune di cibersicurezza in tutta l’Unione, anche sostenendo attivamente gli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione nel miglioramento della cibersicurezza.

Si tratta insomma del punto di riferimento per lo sviluppo del piano europeo per la sicurezza delle reti informatiche. Senza una strategia di difesa comune, senza una protezione a livello di europeo, l’Unione sarebbe un facile bersaglio per i crimini informatici. La commissione ha infatti proposto la creazione dell’Enisa proprio per disporre di un’agenzia che ha come primo impegno quello di mettere in sicurezza il continente, sistemare le questioni in sospeso e garantire che non vi siano direttive disapplicate con il rischio che alcuni paesi rimangano vulnerabili agli attacchi. Inoltre, l’agenzia lavora a stretto contatto con Europol e il Centro europeo per la criminalità informatica.

Con il passare degli anni è diventato sempre più chiaro il ruolo cruciale di Enisa.

Nel 2004, quando internet stava entrando nella vita quotidiana dei cittadini, si trattava di un progetto un po’ in anticipo sui tempi. Ma con la crescita delle tecnologie dell’informazione e della comunicazione (Itc), anche i rischi associati sono cresciuti in modo esponenziale. Con il passare degli anni la protezione contro la criminalità informatica è passata da essere una precauzione a essere una necessità e il lavoro dell’Enisa si è rivelato cruciale.

Senza questa agenzia, attacchi informatici come quello che ha colpito l’ospedale universitario di Brno (Repubblica Ceca) nel marzo 2020, causando, nel bel mezzo della pandemia, il rinvio delle operazioni urgenti e il trasferimento di pazienti gravemente malati, sarebbero stati molto più frequenti. La pandemia ha complicato le cose: nell’accelerare la trasformazione digitale della società e dell’economia, le minacce si sono moltiplicate e si sono diversificati anche i settori, dall’approvvigionamento idrico al controllo delle nostre case, ormai sempre più connesse.

Una crescita progressiva

L’Enisa è stata concepita come una piccola agenzia con un compito specifico: aiutare le istituzioni e le organizzazioni all’interno dell’Ue e degli stati membri a proteggere la propria connettività. Nel 2008, un anno prima che scadesse il suo mandato iniziale, il parlamento europeo e il consiglio hanno deciso, su proposta della commissione, di rinnovarlo fino al 2012. L’opera di valutazione e il miglioramento della protezione delle reti europee era infatti appena iniziata.

Nel 2011 il mandato è stato di nuovo prorogato al 2013 e poi ancora al 2020. A differenza delle precedenti proroghe però, nell’ultimo caso è stato anche ampliato il ruolo dell’agenzia. In concomitanza con la pubblicazione della prima strategia per la sicurezza informatica dell’Ue, l’agenzia è stata inoltre modernizzata per adattarla ai compiti derivanti da alcuni aspetti del suo nuovo mandato. Tra questi, il più importante era lo sviluppo di una rete di team per la gestione delle emergenze informatiche (Eu Cert), diffusa in tutte le capitali europee.

Dunque è stato solo nel 2019, con l’approvazione del Cybersecurity Act, che l’Enisa ha ricevuto il suo mandato definitivo. Oltre a un aumento delle risorse, la nuova normativa ha reso permanente il mandato del 2004, ha cambiato la sua denominazione in Agenzia dell’Unione Europea per la cibersicurezza e ha ampliato il suo ruolo consultivo, fornendole poi per la prima volta chiare istruzioni operative.

L’agenzia ha anche iniziato ad aiutare gli stati membri a definire le priorità per il finanziamento di ricerca e sviluppo, lavorando inoltre per creare un sistema di certificazioni di sicurezza per prodotti e servizi Ict nell’Ue.

Perché le imprese e i consumatori possano fidarsi della sicurezza delle loro informazioni online, devono utilizzare dispositivi sicuri, ma la mancanza di un sistema di certificazione europeo unificato mina questa fiducia e limita il commercio transfrontaliero. Proprio per questo l’Enisa ha il compito di stabilire criteri comuni e unificare i meccanismi nazionali per il rilascio delle certificazioni di sicurezza informatica. Un elemento fondamentale per una serie di prodotti e servizi dalle smart card – carte di credito, abbonamenti bus, carte Sim – ai servizi cloud.

Per quanto riguarda il finanziamento, l’Enisa ha visto aumentare di anno in anno il proprio budget fino a quasi 22 milioni di euro nel 2020. Cinque volte in più rispetto al budget iniziale.

€ 21,7 mln il budget previsto per l’agenzia europea per la cibersicurezza nel 2020.

La gran parte delle risorse proviene dalla commissione europea, mentre i paesi See (Islanda, Liechtenstein, Norvegia e Svizzera) e la Grecia – dove ha sede l’agenzia – contribuiscono con piccole risorse aggiuntive. Nel 2019 l’Enisa contava settantacinque dipendenti.

FONTE: El Orden Mundial, Enisa
(ultimo aggiornamento: lunedì 20 Dicembre 2021)

Il ruolo crescente dell'agenzia nella strategia europea di sicurezza informatica ha inoltre reso necessario, agli occhi della commissione, avvicinare la sede dell'organizzazione al centro del potere europeo. Per questo, anziché cambiare sede, nel giugno scorso è stata autorizzata l'apertura di una terza sede a Bruxelles con lo scopo di mantenere una “cooperazione regolare e sistematica” tra l'agenzia e le istituzioni europee.

Un passo dopo l'altro, l'agenzia ha rappresentato un pilastro della sicurezza informatica europea sin dalla sua fondazione nel 2004. Il culmine di questo processo è stato l'apertura del suo nuovo ufficio a Bruxelles e il consolidamento delle sue funzioni operative. Un cambiamento che esprime il tentativo da parte dell'Unione di affrontare gli attacchi informatici con un ruolo da protagonista.

European data journalism network, i dati nel resto dell'Europa

Openpolis fa parte dell'European data journalism network, una rete di realtà che si occupano di data journalism in tutta Europa. La versione originale di questo articolo è di El orden Mundial (Eom) ed è stato prodotto nell'ambito del progetto Panelfit, supportato dal programma Horizon 2020 della Commissione europea (grant agreement n. 788039). La commissione non ha preso parte alla produzione dell'articolo e non è responsabile per il suo contenuto.

Foto Credit: Markus Spiske - Unsplash (Licenza)

PROSSIMO POST