S. Dominioni – G. Persi Paoli, Unpacking Cyber Capacity-Building Needs – Part I. Mapping the Foundational Cyber Capabilities

Il volume mira ad esaminare la prima parte del Rapporto “Unpacking Cyber Capacity-Building Needs. Mapping the Foundational Cyber Capabilities”, di Samuele Dominioni e Giacomo Persi Paoli, incentrato sul concetto di capacità informatiche fondamentali (FCCs), definite come la combinazione di politiche e regolamenti, processi e strutture, partnership e reti, persone e competenze e tecnologie necessarie per l’attuazione del Framework. 

 

 

Negli ultimi due decenni, gli Stati hanno esplorato attivamente i modi per garantire la pace e la sicurezza internazionale nel settore delle tecnologie dell’informazione e della comunicazione (ICTs). Questi sforzi hanno portato all’adozione, da parte dell’Assemblea Generale, di una serie di misure che collettivamente sono denominate come Quadro di riferimento per un comportamento responsabile degli Stati nel ciberspazio, che elabora ciò che gli Stati membri dovrebbero e non dovrebbero fare nell’ambiente delle ICTs da una prospettiva di sicurezza internazionale. Il Quadro si basa su alcune componenti sostenute da uno sviluppo mirato delle capacità: 11 norme volontarie e non vincolanti di comportamento responsabile da parte degli Stati, misure di costruzione della fiducia, misure di rafforzamento della fiducia e il diritto internazionale.  

Nell’OEWG in corso (2021-2025), molti Stati membri hanno sottolineato la necessità di sostenere l’implementazione del Quadro, anche attraverso l’uso di strumenti dedicati, linee guida, assistenza e sforzi per lo sviluppo delle capacità. Il rapporto che in questa sede si vuole portare a disanima è la prima parte di uno studio intrapreso dall’UNIDIR per sostenere gli Stati nei loro sforzi finalizzati a implementare il Quadro e ad aumentare la loro sicurezza e resilienza informatica. 

In particolare, questo rapporto identifica le capacità informatiche fondamentali (FCCs), definite come la combinazione di politiche e regolamenti, processi e strutture, partenariati e reti, persone, competenze, e tecnologia ritenute necessarie per implementare ogni elemento del Framework: le 11 norme, il diritto internazionale e le misure di rafforzamento della fiducia. 

Nello specifico, si possono distinguere: politiche e regolamenti, ossia documenti ufficiali relativi a questioni di cybersicurezza. Questi includono documenti che delineano le posizioni, le politiche e le strategie degli Stati membri (sviluppate specificamente per settori chiave, ad esempio le infrastrutture critiche, o per applicazioni intersettoriali a livello nazionale), quadri giuridici e normativi e firme di accordi o altre forme di cooperazione con parti interessate internazionali; processi e strutture, ovvero posizioni chiave, agenzie/enti responsabili, altri meccanismi nazionali o regionali e processi, procedure e protocolli ufficiali relativi alla cybersicurezza; partenariati e reti, cioè iniziative a livello nazionale e internazionale volte a rafforzare le capacità domestiche. A livello nazionale, sono compresi meccanismi o strumenti per la cooperazione intrasettoriale e intragovernativa. A livello internazionale, meccanismi o strumenti di cooperazione bilaterale, regionale e multilaterale; Persone e competenze, ossia conoscenze e competenze relative alla cybersecurity (si noti che alcune FCC elencate nel pilastro “persone e competenze” potrebbero essere soddisfatte anche attraverso l’esternalizzazione e la stipula di accordi con fornitori esterni o altri soggetti interessati, nel caso in cui lo Stato non sia in grado di sviluppare o sostenere internamente questa capacità specializzata). Tecnologia, ovvero l’esperimento di soluzioni/capacità tecniche di livello nazionale relative alla cybersicurezza (si noti che le FCC elencate sotto il pilastro “tecnologia” potrebbero essere soddisfatte anche attraverso l’esternalizzazione a fornitori di servizi esterni, ad esempio attraverso partenariati pubblico-privati). 

È importante notare che le FCCs sono destinate a servire come base di partenza su cui sviluppare risposte più raffinate e complete, una volta raggiunta tale base. Le FCCs rappresentano quindi requisiti di capacità “minimi” necessari per l’attuazione del Quadro, non le soluzioni migliori o i requisiti di capacità “ottimali”. 

L’insieme delle FCC può essere utilizzato come strumento per supportare una migliore identificazione dei requisiti e una migliore prioritizzazione degli interventi di capacity-building, sulla base delle esigenze e dei contesti nazionali specifici, rafforzando così i legami tra l’implementazione del Quadro e le discussioni relative al capacity-building stesso, comprese quelle in corso nell’attuale OEWG (e nel potenziale futuro Programma d’azione). 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale