Il CESE: la nuova strategia dell'UE per la cibersicurezza segna un passo avanti

This page is also available in

Il Comitato economico e sociale europeo (CESE) accoglie con favore la proposta di un nuovo pacchetto di misure dell'UE in materia di cibersicurezza, ma evidenzia le debolezze nell'affrontare l'enorme carenza di competenze specifiche che si registra in Europa. Secondo il CESE, anche per i soggetti critici vi è un'esigenza di concentrazione funzionale, di semplificazione e di maggiore chiarezza in merito alle indicazioni per l'applicazione.

Nel complesso, il CESE accoglie con favore la nuova strategia dell'UE in materia di cibersicurezza quale passo positivo verso la protezione di governi, cittadini e imprese dalle minacce informatiche e verso la salvaguardia della crescita economica: un ambito in cui l'UE sembra essere altamente vulnerabile, considerando che, secondo le stime, l'impatto sulla sua economia è pari allo 0,84 % del PIL, rispetto allo 0,78 % dell'America settentrionale.

Pericolosa mancanza di competenze in materia di cibersicurezza

Il CESE sottolinea tuttavia che in Europa si registra una grave carenza di competenze in materia di cibersicurezza e che la nuova strategia non sarà sufficiente per porvi rimedio. La domanda di professionisti della cibersicurezza è andata crescendo in questi ultimi anni e si è impennata con la pandemia. Con il rapido trasferimento delle attività verso modalità operative online da parte delle organizzazioni e il passaggio del 40 % dei lavoratori europei al lavoro a distanza (telelavoro), si stima che nel 2020 il 40 % degli utenti nell'UE abbia avuto problemi legati alla sicurezza e oltre il 12 % delle imprese sia stato colpito da attacchi informatici.

La necessità di proteggere i dati e di evitare i continui tentativi di hackeraggio è diventata più pressante, e l'assunzione di professionisti della cibersicurezza costituisce ormai una priorità assoluta. Il numero di profili necessari è tuttavia superiore a quello dei professionisti in grado di ricoprirli: nell'UE si prevede che le offerte di lavoro nella cibersicurezza saliranno ad almeno 200 000 entro il 2022. Per la maggior parte delle aziende europee, e in particolare per le PMI, la crescente carenza di competenze costituisce un enorme problema.

È evidente che l'UE ha urgentemente bisogno di professionisti preparati ad operare nel campo della cibersicurezza, sia nel settore privato che in quello pubblico, per la sicurezza dei cittadini, delle imprese e dell'UE, ha dichiarato Philip von Brockdorff, relatore del parere del CESE sulla strategia in materia di cibersicurezza. Questo è il motivo per cui il CESE raccomanda vivamente di armonizzare il percorso professionale nel campo della cibersicurezza al fine di contribuire a colmare la crescente carenza di competenze in tutta l'UE.

Gli Stati Uniti hanno messo a punto uno strumento specifico denominato Cyber Security Career Pathways Tool volto ad aiutare chi voglia intraprendere una carriera nel campo della cibersicurezza a individuare, creare ed esplorare un percorso professionale pertinente. Questo strumento interattivo aiuta a scoprire la grande varietà di ruoli in questo settore, illustrando i compiti e le conoscenze, le competenze e le capacità richieste e delineando i percorsi professionali dai livelli di base ai quelli dirigenziali. Il CESE suggerisce che l'UE sviluppi un proprio strumento europeo analogo per contribuire a formare una forza lavoro nel settore della cibersicurezza con competenze equiparabili, in grado di muoversi oltre le frontiere e rispondere alla domanda di questo settore in forte crescita in tutta l'Unione.

Cibersicurezza e resilienza dei soggetti critici: necessità di concentrazione funzionale e di definizioni chiare

Nel secondo parere, di cui è relatore Maurizio Mensi, il CESE accoglie con favore le due proposte della Commissione volte ad aumentare la resilienza dei soggetti critici pubblici e privati contro le minacce derivanti dagli attacchi cibernetici e fisici, sottolineando la necessità di rafforzare l'industria e la capacità di innovazione in modo inclusivo, secondo una strategia basata su quattro pilastri: protezione dei dati, diritti fondamentali, sicurezza e cibersicurezza.

Tuttavia, per esigenze di semplificazione e concentrazione funzionale, il Comitato chiede che le due proposte siano accorpate in un unico testo, in quanto strettamente collegate e complementari (una è incentrata principalmente sulla cibersicurezza e l'altra sulla sicurezza fisica), con disposizioni che talvolta si sovrappongono.

Inoltre, il CESE ritiene che, data la rilevanza e la delicatezza degli obiettivi perseguiti dalle due proposte, sarebbe stato preferibile optare per lo strumento del regolamento piuttosto che per quello della direttiva, tenendo conto dei risultati della valutazione d'impatto e della consultazione condotta prima della presentazione delle proposte, nonché della volontà condivisa di evitare la frammentazione delle norme nazionali.

Infine, con riferimento al campo di applicazione, il CESE sottolinea la necessità di indicazioni specifiche e più chiare per individuare con precisione i soggetti "critici" tenuti al rispetto della direttiva proposta. A tale riguardo, Mensi ha spiegato che: i criteri per distinguere tra soggetti 'essenziali' e soggetti 'importanti' in settori individuati in base alla loro criticità per l'economia e la società dovrebbero essere definiti più precisamente. Bisogna evitare che approcci divergenti a livello nazionale si traducano in ostacoli al commercio o alla libera circolazione di beni e servizi, con il rischio di pregiudicare le imprese e compromettere gli scambi commerciali.

Qualche informazione di base

Nel dicembre 2020 la Commissione europea ha presentato la nuova strategia dell'UE in materia di cibersicurezza per il decennio digitale, insieme a due proposte legislative: la revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS 2) e una nuova direttiva sulla resilienza dei soggetti critici (CER).

La strategia costituisce un elemento chiave della comunicazione sul tema Plasmare il futuro digitale dell'Europa, del piano per la ripresa dell'Europa e della strategia dell'UE per l'Unione della sicurezza, ed è volta a rafforzare la resilienza collettiva dell'Europa contro le minacce informatiche e a garantire che tutti i cittadini e le imprese possano beneficiare di servizi e strumenti digitali affidabili e sicuri.

See also