L’invasione della Russia ai danni dell’Ucraina ha cambiato profondamente il panorama delle minacce cyber, come sottolineato anche nell’ultima edizione del Rapporto Clusit e ribadito anche dal Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale Roberto Baldoni. In questa occasione Baldoni aveva anche sottolineato l’importanza di un buon coordinamento internazionale. Coordinamento che deve interessare soprattutto l’Europa – particolarmente colpita dal fuoco di fila degli attacchi legati alla situazione geopolitica. È in questo contesto che si inserisce la revisione da parte della Commissione Europea di alcune politiche di difesa, con l’obiettivo dichiarato di "potenziare la capacità della UE di proteggere cittadini e infrastrutture". Il risultato di questa necessità è una nuova EU Policy on Cyber Defence, basata su alcuni presupposti e su quattro pilastri operativi.

I presupposti sono in sostanza la constatazione - ribadita, non nuova - che "il cyberspazio non ha confini" e quindi gli attacchi informatici motivati da conflitti o da ragioni economiche finiscono per avere, come vittime volute o collaterali, tanto i cittadini quanto le forze armate e le istituzioni. La novità principale della EU Policy on Cyber Defence sta probabilmente proprio in questa "commistione" tra civile e militare. Una volta, anche lato cyber, i due ambiti erano nettamente separati. Ora non più.

Da qui nascono i quattro pilastri del nuovo piano. Che parte mettendo in evidenza la necessità di "agire insieme per una cyber Difesa più forte". Detta così non significa molto, nella pratica si prevede un rafforzamento dei meccanismi di cordinamento fra i vari attori europei della cyber Difesa. Più in dettaglio, tra le iniziative previste si conta la creazione dello EU Cyber Defence Coordination Centre (EUCDCC) e la definizione di una rete operativa tra i vari MilCERT (Military Computer Emergency Response Team) nazionali.

Saranno potenziati anche altri aspetti della collaborazione tra le forze di cyber Difesa, come ad esempio le esercitazioni comuni e lo scambio di informazioni tra comunità di esperti militari e civili. Gradualmente, sarà anche creata una "cyber riserva" a livello continentale, combinando servizi e risorse di provider privati affidabili.

Il secondo pilastro della nuova EU Policy on Cyber Defence prevede di "mettere in sicurezza l'ecosistema della Difesa". L'assunto di partenza è che ci sono sempre più componenti software giudicati non critici che vengono usati dalle imprese e dalle organizzazioni civili e militari collegate alla Difesa, componenti che possono essere usati come vettori di attacchi cyber. Bisogna evitare questo rischio, standardizzando e certificando i prodotti software usati - appunto - dall'ecosistema della Difesa.

Qui il lavoro è essenzialmente normativo, di condivisione di informazioni e di analisi dei profili di rischio specifici. Tra l'altro, la UE punta a definire raccomandazioni (comunque non vincolanti) sui prodotti e servizi da usare, anche collaborando con gli organismi di standardizzazione per definire standard specifici per i prodotti che hanno un uso sia civile sia militare.

Terzo pilastro: le capacità di cyber Difesa europee vanno in ogni caso potenziate. Qui la palla passa agli Stati membri, perché sono loro che devono identificare le aree in cui devono principalmente rafforzarsi e investire di conseguenza. La UE può aiutarli svolgendo due ruoli complementari.

Il primo è quello di indirizzamento generale: definendo le priorità di cyber Difesa a livello europeo e così anche, indirettamente, le direzioni che i singoli Stati dovranno seguire. Ma anche individuando una "cyber technology roadmap" comune a breve-medio termine e, per delineare le priorità di investimento più a lungo termine, eseguendo una valutazione strategica delle cosiddette Emerging Disruptive Technology (EDT), ossia delle tecnologie più innovative.

Il secondo ruolo è quello di "catalizzatore" dello sviluppo cyber dei singoli Stati. In parte con fondi mirati, che possono ad esempio arrivare dallo European Defence Fund. Ma soprattutto con lo sviluppo di progetti europei di formazione mirata in campo cyber, specie per il personale della Difesa.

Il quarto pilastro della auspicata nuova cyber Difesa europea è, necessariamente, la ricerca di una sempre maggiore collaborazione. È un obiettivo obbligato, ampio ma anche un po' generico. La Commissione però cita in particolare una più forte collaborazione con la NATO e una intensificazione del dialogo con tutti i partner possibili del mondo cyber, pubblico e privato.