A partire dal 2013, anno di avvio della Strategia di sicurezza cibernetica europea, Bruxelles ha incrementato la sua attenzione e posizione verso il quinto dominio adottando strumenti innovativi che hanno radicalmente cambiato il modo di vivere lo spazio cibernetico nel vecchio continente. Dal 2013, infatti, sono entrati in vigore importanti strumenti legislativi con impatto diretto sugli stati membri, le imprese e i cittadini europei: basti pensare alla direttiva Network Information Systems (NIS) o al General Data Protection Regulation (GDPR). Il minimo comune denominatore di questi misure è l’aumento della sicurezza cibernetica dell’Unione europea. Benché la gestione della sicurezza nazionale sia (ancora) nelle mani degli stati membri e non sia di competenza dell’Unione europea, la cybersecurity – proprio per la sua natura sovranazionale e interconnessa – va aldilà dei confini nazionali. Pertanto è indispensabile l’intervento dell’Ue da un lato per garantire maggior coordinamento e cooperazione tra gli stakeholders europei, dall’altro per armonizzare gli standard di sicurezza comuni per la costruzione di un mercato unico digitale Ue.

Ovviamente, da un punto di vista aziendale l’attuale rivoluzione digitale necessita di cambiamenti culturali, organizzativi e formativi per poter garantire la competitività sia sui mercati europei sia su quelli internazionali. Per le aziende l’adeguamento ai nuovi standard di cybersecurity in termini tecnologici, normativi e di expertise comporta inesorabilmente dei costi. Ad esempio, un paese come l’Italia, che fa dell’innovazione la pietra angolare della propria crescita, le perdite e i danni (incluso quelli di immagine) derivanti da un mancato adeguamento in ambito di sicurezza cibernetica potrebbero essere incalcolabili (vedi anche il dossier ISPI “Investire in Cybersecurity: una priorità di sicurezza nazionale). In particolare, è da sottolineare che nell’80% dei casi chi investe in cybersecurity sono le grandi aziende. Le piccole e medie imprese invece sono troppo spesso poco consapevoli dell’effettivo valore dei dati da loro gestiti oppure ritengono troppo caro l’accesso a servizi di cybersecurity affidabili.

Le Piccole medie imprese (Pmi) rappresentano uno dei motori trainanti non solo del Sistema Italia ma di tutto il panorama europeo. A fronte di una capacità produttiva, creativa e competitiva senza pari, però, spesso le Pmi europee non hanno competenze per quanto riguarda l’adeguamento a standard di cyber sicurezza minimi. Un fatto allarmante, specialmente se si considera che le Pmi in Europa sono le vittime più frequenti di attacchi hacker. Tra il 2014 e il 2020, l’Unione europea ha stanziato più di 600 milioni di euro per la ricerca e l’innovazione in sicurezza cibernetica. Bruxelles, inoltre, ha rafforzato il suo approccio al mondo cibernetico attraverso due importanti iniziative, lanciate entrambe nel 2015, volte a sviluppare fiducia e sicurezza: il mercato digitale unico e l’agenda europea sulla sicurezza, di cui la lotta al crimine cibernetico è uno dei pilastri.

In un’ottica di sostegno alle aziende, tuttavia, alcune problematiche rendono le politiche finora adottate non ottimali. Quest’ultime ruotano principalmente intorno a due nodi. Il primo: un’eccessiva attenzione alla ricerca e sviluppo, quindi la maggior parte dei fondi viene destinata ad aziende provider di cybersecurity per sviluppare nuova tecnologia (sia software che hardware). Il secondo: l’accesso delle Pmi ai fondi europei. Come evidenziato in uno studio del Comitato Economico e Sociale Europeo, la possibilità che un’azienda possa sfruttare i fondi europei per la cybersecurity è determinata dalla capacità dell’azienda stessa di gestire il carico amministrativo e burocratico che l’accesso a questi fondi determina. Non tutte le Pmi hanno le capacità o le conoscenze necessarie per far fronte a questo ulteriore carico di lavoro.

Inoltre, la Commissione europea ha recentemente ammesso, attraverso le parole del suo capo per la Unit for cyber technology and capacity building, Miguel Gonzalez-Sancho, che la protezione informatica a livello europeo non è ancora affrontata in maniera soddisfacente. In particolare lo stesso Sanchez ha affermato che ci sono differenze in termini di cyberdefence prepareness sia a livello nazionale che a livello di singola impresa che necessitano di essere affrontate a livello europeo poiché, data la stretta interconnessione, un attacco al terminale più debole rischia di mettere a rischio l’intero sistema.

Come si sta muovendo l’Unione europea? Come e dove trovare i fondi già a disposizione per la cybersecurity? Ci sono altri modelli di cybersecurity vincenti? In questo secondo Cyber Watch, ISPI cerca di dare alcune risposte e informazioni utili per orientarsi nel mondo dei finanziamenti europei dedicati alla sicurezza cibernetica per le aziende private. Come spiega nel suo contributo Pietro Francesco De Lotto vi è un’urgente necessità di azioni concrete da parte di Bruxelles. Questa richiesta trova risposta nel contributo della DG Connect della Commissione europea, la quale si sta facendo promotrice di diverse iniziative che vanno in questa direzione. Al di fuori dei confini europei, un modello di cybersecurity vincente è quello Israeliano che però è fondato su policies diverse da quelle europee, come spiegato nel contributo di Lior Tabansky.