Un documento dell’Enisa getta luce sulle migliori prassi nazionali. In un momento di emergenza come quello attuale, caratterizzato da una forte spinta all’utilizzo di sistemi a distanza, la protezione delle reti diventa un tema centrale nel panorama sociale e istituzionale, da tenere in altissima considerazione.
Le Good practices in innovation on Cybersecurity under the NCSS pubblicate a novembre 2019 dall’Enisa (European Network Information and Security Agency) analizzano le strategie nazionali volte a garantire la cybersicurezza. Il documento analizza le strategie nazionali, al fine di disegnare una visione d’insieme.
Si può partire da questo aspetto: uno dei punti focali del rapporto, infatti, indica la difficoltà di ricostruire uno scenario unitario, per la varietà degli strumenti e delle tecniche messe in atto da ciascuno Stato membro dell’Unione. Di qui l’interesse dell’Agenzia a raccogliere un quadro informativo unico.
In generale, il tema della innovazione e della cybersicurezza è posto in stretto rapporto con la strategia del Digital Single Market dell’Unione europea: l’avanzamento del primo, infatti, genera un ricorso sempre maggiore a tecniche di comunicazione digitali, che a loro volta, oltre agli innegabili vantaggi, pongono serissimi rischi – soprattutto nel contesto internazionale. Deve aggiungersi anche il nuovo assetto normativo dell’Unione europea, che nel 2019 si è dotata di un ulteriore strumento normativo (il regolamento n. 2019/881) voto a coordinare e rafforzare le misure adottate dagli Stati nella stessa materia, di cui l’Enisa è ormai il fulcro istituzionale.
Nel merito, il documento cerca di comprendere lo spettro delle soluzioni adottate per l’innovazione tecnica, i mezzi finanziari messi in campo, gli indirizzi rivolti ai soggetti interessati. Tre le macro aree in cui si divide il rapporto: politiche dell’innovazione e finanziamenti, industrializzazione e collaborazione, assetto e regolazione del mercato. Si indicheranno gli aspetti più significativi in chiave pubblicistica.
Di rilievo, innanzitutto, il riferimento al ruolo dei soggetti pubblici. Da un lato, i governi fanno fatica a definire un quadro coerente delle politiche dell’innovazione, il cui perimetro varia conseguentemente, in base alle scelte dei singoli governi; viene in luce una grande variabilità nel ricomprendere, all’interno delle politiche di innovazione, anche il tema, ormai centrale, della sicurezza delle reti rispetto a intrusioni, attacchi e sottrazione di dati. Ne deriva anche la forte difficoltà a comprendere le caratteristiche del settore privato e a definire un quadro certo ed efficiente di sinergie tra i primi e il secondo (per cui anche le PPP assumono contorni sfuggenti).
Da evidenziare, poi, il tema dei finanziamenti, in cui spesso ci si concentra sull’innovazione in generale, ma si perdono i profili specifici relativi alla cybersicurezza. C’è un dato, poi, che indica la difficoltà di relazioni dei poteri pubblici con la “large enterprise”, che coinvolge anche l’Italia, e che indica una strada ancora lunga da compiere per strategie nazionali che consolidino la posizione dell’Europa nel suo insieme. A questo si somma la difficoltà, per le PMI e le startup, di diventare protagoniste, a causa delle lunghezze e dei criteri delle procedure di evidenza pubblica: un dato su cui riflettere, che testimonia un vizio dell’impianto normativo che si riscontra in pressoché tutti i settori economici, non solo in quello della cybersicurezza.
Il tema del rapporto con il mercato svela un aspetto di rilievo, relativo alla regolazione. Qui i risultati sono abbastanza soddisfacenti, in relazione alla qualità delle regole e alla prevedibilità da parte dei privati. Manca, però, un approccio efficace quanto a performance: spesso si fa maggiormente leva sulla compliance, piuttosto che sulla sicurezza, e questo frena l’innovazione – tanto che in un terzo dei casi le misure adottate sono considerate un ostacolo. Il margine di miglioramento è quindi ampio, sebbene il framework sia orientato nella giusta direzione.
Sarebbe auspicabile, per l’Enisa, l’introduzione di meccanismi di certificazione di livello europeo: questo sia per un controllo sulle aziende, sia per facilitare l’utente, che potrebbe facilmente verificare le capacità tecniche dei soggetti cui intende affidare il proprio patrimonio informatico (tema che vale per le istituzioni, per i cittadini e per le imprese).
Sul piano delle tecniche di analisi, è da notare che l’agenzia monitora lo sviluppo, l’attuazione e la successiva valutazione. Di fronte alla complessità degli ordinamenti statali, la risposta per definire un quadro di regole efficienti passa per un ciclo complessivo, che sappia evidenziare genesi, applicazione ed effetti di settori particolarmente complessi come quello in parola.
Le sfide della NIS (Network and Information Security) sono aperte, soprattutto considerando che un programma unitario deve fronteggiare diversità culturali e sensibilità civiche e istituzionali notevoli. Anche di qui l’importanza di raccogliere le iniziative nazionali e porle a raffronto.
In questo senso, tra gli strumenti più interessanti messi a disposizione, si segnala una mappa virtuale, che mostra le strategie nazionali adottate in materia di sicurezza (tra cui quella relativa all’Italia).
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.