Un paio di giorni di "dialogo cyber" per allinearsi meglio sulle principali questioni legate alla cybersecurity globale e ai suoi sempre più stretti collegamenti con lo scenario geopolitico. Questo è stata in breve la recente edizione - la nona - dello EU-US Cyber Dialogue tenutosi a Bruxelles. Un incontro dove si è parlato di molte cose, proprio perché il panorama delle principali minacce cyber ormai è globale e colpisce imprese, cittadini, intere supply chain.

La partnership cyber tra Europa e Stati Uniti è stata ribadita come forte, e non poteva essere altrimenti perché le minacce digitali che UE e USA affrontano sono bene o male le stesse. Serve però maggiore collaborazione internazionale, infatti UE e USA spiegano di volere "una più ampia cooperazione interregionale, anche con gli Stati dell'America Latina, dell'Indo-Pacifico e dell'Africa, per sensibilizzare e promuovere un comportamento responsabile degli Stati attraverso l'azione diplomatica".

Sullo sfondo resta infatti il solito problema della cybersecurity globale: le nazioni possono avere priorità differenti e spesso si muovono ciascuna per conto proprio o quasi, in mancanza di vere normative globali vincolanti in tema sicurezza digitale. Potrebbe introdurle o definirle il Cyber Programme of Action delle Nazioni Unite che si cerca di finalizzare da qualche anno, ma la strada in questa direzione è ancora lunga, a quanto pare.

Le priorità cyber di USA ed Europa però sono chiare e sono state ribadite anche a Bruxelles: la sicurezza dei prodotti digitali e i relativi standard di cybersecurity, la resilienza informatica delle infrastrutture critiche, l'impatto e le opportunità delle tecnologie emergenti, la cooperazione tra le rispettive agenzie di cybersecurity.

Il lavoro di CISA ed ENISA

È proprio in questo ultimo campo che si è avuto l'annuncio più concreto. l'Agenzia UE per la sicurezza informatica (ENISA) e l'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) hanno formalizzato un accordo di lavoro che riguarda diversi temi. In particolare, la collaborazione tra UE e USA si intensificherà lungo tre direttrici principali.

La prima è la generica spinta alla crescita della "cyber awareness" globale, tra l'altro semplificando la partecipazione di rappresentanti di Paesi terzi a esercitazioni europee o formazioni specifiche sulla sicurezza informatica e favorendo la condivisione e la promozione di strumenti e programmi di sensibilizzazione informatica.

Il secondo filone di sviluppo è legato alla condivisione di best practice nell'attuazione della legislazione cyber. In particolare per quanto riguarda l'attuazione di norme fondamentali in materia di cibernetica, come la direttiva NIS, la segnalazione degli incidenti cyber, la gestione delle vulnerabilità e l'approccio a settori quali le telecomunicazioni e l'energia.

Infine, c'è un preciso impegno a condividere conoscenze e informazioni per aumentare la "situational awareness" comune. In questo senso serve, soprattutto, una condivisione più sistematica delle conoscenze e delle informazioni in relazione al panorama delle minacce cyber, per aumentare la consapevolezza di tutte le parti interessate. Sepre nel pieno rispetto dei requisiti di protezione dei dati.

Più allineamento

Uno dei messaggi chiave dello EU-US Cyber Dialogue è stato che è necessario avere un maggiore allineamento tra Europa e Stati Uniti anche quando si tratta delle normative che regolano la cybersecurity e la sicurezza dei prodotti hardware e software in generale. Ad esempio, si discute di un Joint CyberSafe Products Action Plan attraverso cui arrivare al rispettivo riconoscimento delle norme e dei marchi UE e USA per la identificazione dei prodotti IoT sicuri. Si tratta nello specifico dell'EU Cyber Resilience Act e dell'US Cyber Trust Mark.

L'idea è anche quella di allineare meglio i meccanismi per il reporting degli incidenti di cybersecurity da parte delle imprese. Anche se in questo caso siamo ancora allo stato di semplice possibilità da esplorare. Dovrebbe andare meglio per la condivisione delle best practice per la sicurezza del software: qui la collaborazione dovrebbe cominciare ad approfondirsi nel 2024, concentrandosi in primo luogo sulla sicurezza dell'open source e sul modello delle SBOM (Software Bills of Materials).

Dovremmo vedere presto pià collaborazione anche nella cybersecurity delle tecnologie emergenti, con particolare attenzione all'Intelligenza Artificiale e alla crittografia post-quantistica. La cooperazione tra Unione Europea e Stati Uniti "cercherà di promuovere l'uso sicuro dell'AI nelle infrastrutture critiche", si spiega. E si pensa anche a "potenziali attività congiunte" nella transizione verso la crittografia post-quantistica, in particolare nelle attività di standardizzazione.