Cibersicurezza delle istituzioni, degli organi e delle agenzie dell’UE: Il livello complessivo di preparazione non è commisurato alle minacce
Contenuto del documentoIl numero di ciberattacchi a istituzioni, organi e agenzie dell’UE (EUIBA) è in rapido aumento. Poiché gli EUIBA sono strettamente interconnessi, le debolezze di uno di essi espongono gli altri a minacce per la sicurezza. La Corte ha esaminato se gli EUIBA dispongano di adeguati meccanismi per proteggersi dalle minacce informatiche. Ha riscontrato che, complessivamente, il livello di preparazione degli EUIBA non è commisurato alle minacce e che i livelli di maturità in materia di cibersicurezza sono molto diversi. La Corte raccomanda alla Commissione di migliorare la preparazione degli EUIBA proponendo l’introduzione di norme vincolanti in materia di cibersicurezza e un aumento delle risorse per la squadra di pronto intervento informatico (CERT-UE). La Commissione dovrebbe inoltre promuovere ulteriori sinergie tra gli EUIBA, e la CERT-UE e l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) dovrebbero concentrare il loro sostegno sugli EUIBA meno maturi.
Relazione speciale della Corte dei conti europea presentata in virtù dell’articolo 287, paragrafo 4, secondo comma, del TFUE.
Sintesi
I Il regolamento (UE) 2019/881 definisce la cibersicurezza “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”. Le istituzioni, gli organi e agenzie dell’UE (EU institutions, bodies and agencies – EUIBA) trattano informazioni sensibili e sono quindi obiettivi interessanti per potenziali aggressori, in particolare per gruppi in grado di attuare attacchi altamente sofisticati ed invisibili a fini di ciberspionaggio o altro. Gli EUIBA sono strettamente interconnessi, nonostante siano istituzionalmente indipendenti e amministrativamente autonomi. Pertanto, le debolezze di un singolo EUIBA possono esporre gli altri a minacce per la sicurezza.
II Considerando il forte aumento del numero di attacchi informatici agli EUIBA, con questo audit la Corte si prefigge di stabilire se gli EUIBA nel loro complesso abbiano posto in essere idonei meccanismi per proteggersi dalle minacce informatiche. La Corte conclude che la comunità degli EUIBA non ha raggiunto un livello di preparazione in materia di cibersicurezza commisurato alle minacce.
III La Corte ha riscontrato che le buone pratiche in materia, tra cui alcuni controlli essenziali, non sono sempre attuate e alcuni EUIBA non spendono certo a sufficienza in cibersicurezza. Inoltre, alcuni EUIBA non hanno ancora definito un’adeguata governance della cibersicurezza: le strategie di sicurezza informatica sono in molti casi carenti o non sono sostenute dall’alta dirigenza, le politiche di sicurezza non sono sempre formalizzate e le valutazioni dei rischi non coprono l’intero ambiente informatico. Non tutti gli EUIBA sottopongono periodicamente la propria cibersicurezza a una verifica indipendente.
IV Le formazioni in materia di cibersicurezza non sono sempre sistematiche. Poco più della metà appena degli EUIBA offre una formazione continua in cibersicurezza per il personale informatico e per gli specialisti in sicurezza informatica. Pochi EUIBA prevedono una formazione obbligatoria specifica al riguardo per i dirigenti responsabili dei sistemi informatici che contengono informazioni sensibili. Le esercitazioni di phishing sono uno strumento importante di formazione e sensibilizzazione del personale, ma non tutti gli EUIBA le organizzano sistematicamente.
V Anche se gli EUIBA hanno creato strutture per la cooperazione e lo scambio di informazioni sulla cibersicurezza, la Corte ha rilevato che non sfruttano appieno le potenziali sinergie. Gli EUIBA non condividono sistematicamente informazioni su progetti relativi alla cibersicurezza, le valutazioni della sicurezza e i contratti per servizi. Inoltre, gli strumenti di comunicazione di base, come le e-mail o le soluzioni di videoconferenza criptate non sono pienamente interoperabili. Tale situazione può rendere meno sicuri gli scambi di informazioni e provocare una duplicazione degli sforzi e un aumento dei costi.
VI La Squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie europee (CERT-UE) e l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) sono le due principali entità che forniscono sostegno agli EUIBA in materia di cibersicurezza. Tuttavia, a causa delle risorse limitate o della priorità attribuita ad altri ambiti, non sono state in grado di fornire agli EUIBA il sostegno di cui questi necessitano, in particolare per quanto riguarda lo sviluppo di capacità per gli EUIBA meno maturi. Anche se la CERT-UE è molto apprezzata dagli EUIBA, la sua efficacia risente del sempre crescente carico di lavoro, dell’instabilità delle risorse umane e finanziarie e dell’insufficiente collaborazione con alcuni EUIBA, che non condividono sempre tempestivamente le informazioni sulle vulnerabilità e sugli incidenti significativi di cibersicurezza di cui sono stati vittime o che possono avere ripercussioni sugli altri EUIBA.
VII Alla luce di queste conclusioni, la Corte raccomanda:
- alla Commissione di migliorare la preparazione degli EUIBA proponendo l’introduzione di norme vincolanti comuni in materia di cibersicurezza per tutti gli EUIBA e un aumento delle risorse della CERT-UE;
- alla Commissione, nel contesto del Comitato interistituzionale per la trasformazione digitale (ICDT), di promuovere ulteriori sinergie tra gli EUIBA in settori specifici;
- alla CERT-UE e all’ENISA di concentrarsi maggiormente sugli EUIBA meno maturi in materia di cibersicurezza;
Introduzione
Che cos’è la cibersicurezza?
01 Il regolamento (UE) 2019/8811 definisce la cibersicurezza “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”. La cibersicurezza dipende dalla sicurezza delle informazioni, che mira a preservare la confidenzialità, l’integrità e la disponibilità delle informazioni2, siano esse su supporto fisico o elettronico. Inoltre, la protezione delle reti e dei sistemi informativi su cui tali informazioni sono archiviate è nota come sicurezza delle tecnologie dell’informazione (TI) (cfr. figura 1).
02 Come disciplina, la cibersicurezza include la rilevazione, la prevenzione e l’individuazione degli incidenti informatici, la risposta agli stessi e il successivo ripristino. Gli incidenti possono andare, ad esempio, dalla divulgazione accidentale di informazioni ad attacchi che mirano a compromettere infrastrutture critiche, ai furti di identità e di eventuali dati personali3.
03 Il quadro sulla cibersicurezza comprende molti elementi, tra cui requisiti e controlli tecnici per la sicurezza delle reti e dei sistemi informativi, nonché adeguati dispositivi di governance e programmi di sensibilizzazione sulla cibersicurezza per il personale.
Cibersicurezza delle istituzioni, degli organi e delle agenzie dell’UE
04 Le istituzioni, gli organi e agenzie dell’UE (EU institutions, bodies and agencies – EUIBA) trattano informazioni sensibili e sono quindi obiettivi interessanti per potenziali aggressori, in particolare per gruppi in grado di attuare attacchi altamente sofisticati ed invisibili (“minacce persistenti avanzate”) a fini di ciberspionaggio o altro4. Gli attacchi riusciti contro gli EUIBA possono comportare significative implicazioni politiche, nuocere alla reputazione generale dell’UE e minare la fiducia nelle sue istituzioni.
05 La pandemia di COVID-19 ha costretto gli EUIBA, come molte altre organizzazioni di tutto il mondo, ad accelerare in modo brusco la trasformazione digitale e ad adottare il telelavoro, aumentando così considerevolmente il numero dei potenziali punti di accesso per gli aggressori (la “superficie di attacco”) ed estendendo il perimetro delle organizzazioni a tutte le case connesse ad Internet e ai dispositivi mobili, di cui è possibile sfruttare le vulnerabilità. I servizi di accesso remoto sono una delle vie più comuni utilizzate dai gruppi che attuano minacce persistenti avanzate contro gli EUIBA per ottenere accesso alle loro reti5.
06 Il numero di incidenti informatici è in aumento, e una tendenza particolarmente preoccupante riguarda il drastico incremento degli incidenti significativi che interessano gli EUIBA6, che nel 2021 hanno registrato un vero record. Gli incidenti significativi sono incidenti che non sono né ripetitivi né di livello base. Generalmente includono l’uso di nuovi metodi o tecnologie e le indagini su tali incidenti e il recupero da essi possono richiedere settimane, se non addirittura mesi. Il numero di incidenti significativi è più che decuplicato tra il 2018 e il 20217. Almeno 22 singoli EUIBA sono stati vittime di incidenti significativi solo negli ultimi due anni. Un esempio recente è stato il ciberattacco sferrato nei confronti dell’Agenzia europea per i medicinali (EMA), che ha portato alla divulgazione di dati sensibili poi manipolati in modo da minare la fiducia nei vaccini8.
07 Gli EUIBA sono un gruppo molto eterogeneo, che include le istituzioni, le agenzie e vari altri organismi. Le sette istituzioni dell’UE sono state istituite dai trattati. Le agenzie decentrate e gli altri organismi dell’UE, invece, sono istituiti da atti di diritto derivato e sono entità giuridiche distinte. Da un punto di vista giuridico, esistono diverse tipologie di agenzie: sei agenzie esecutive della Commissione e 37 agenzie decentrate dell’UE9. Gli EUIBA includono anche gli uffici dell’UE, un corpo diplomatico (il servizio europeo per l’azione esterna), le imprese comuni e altri organismi. Gli EUIBA hanno la responsabilità di definire i propri requisiti di cibersicurezza e di attuare le proprie misure di sicurezza.
08 Per rafforzare la cibersicurezza degli EUIBA, nel 2012 la Commissione ha istituito una task force permanente, la Squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie europee (CERT-UE). La CERT-UE funge da polo per lo scambio di informazioni e il coordinamento della risposta agli incidenti per gli EUIBA e coopera con altri gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) degli Stati membri e con società specializzate nel settore della sicurezza informatica. L’organizzazione e il funzionamento della CERT-UE sono attualmente disciplinati da un accordo interistituzionale10 del 2018 tra gli EUIBA, anche noti come gli “utenti”. Attualmente gli utenti sono 87.
09 Un altro organismo fondamentale che coadiuva gli EUIBA è l’Agenzia dell’Unione europea per la cibersicurezza (ENISA), il cui compito è conseguire un elevato livello comune di cibersicurezza in tutta l’Unione. Istituita nel 2004, l’ENISA ha la missione di rafforzare l’affidabilità dei prodotti delle tecnologie dell’informazione e della comunicazione (TIC) grazie a sistemi di certificazione della cibersicurezza, cooperare con gli EUIBA e gli Stati membri e contribuire a prepararli ad affrontare le minacce informatiche. L’ENISA assiste gli EUIBA nello sviluppo delle capacità e nella cooperazione operativa.
10 Nonostante siano indipendenti da un punto di vista giuridico, gli EUIBA sono fortemente interconnessi. Si scambiano informazioni su base quotidiana e condividono una serie di sistemi e reti comuni. Le debolezze di un singolo EUIBA possono esporre gli altri a minacce per la sicurezza, dato che molti attacchi informatici richiedono più di un passaggio per raggiungere il loro obiettivo o bersaglio finale11. Un attacco riuscito portato contro un EUIBA più debole potrebbe essere un primo passo per attaccare altre entità. Gli EUIBA sono inoltre interconnessi con organizzazioni pubbliche e private negli Stati membri e, non essendo sufficientemente preparati in materia di cibersicurezza, potrebbero analogamente esporle a minacce informatiche.
11 Attualmente non esiste un quadro giuridico riguardante la sicurezza delle informazioni e la cibersicurezza negli EUIBA. Questi non sono soggetti alla normativa UE più generale in materia di cibersicurezza, ossia la direttiva NIS (network and information security) del 201612, né alla relativa proposta di revisione, la direttiva NIS213. Non vi sono inoltre informazioni complete sugli importi spesi dagli EUBA per la cibersicurezza.
12 Nel luglio 2020, la Commissione ha pubblicato una comunicazione sulla strategia dell’UE per l’Unione della sicurezza14 per il periodo 2020‑2025. Le azioni principali includono “norme comuni in materia di sicurezza delle informazioni e sicurezza informatica per l’insieme delle istituzioni, organi e agenzie dell’UE”. Questo nuovo quadro dovrebbe fungere da base per una cooperazione operativa forte ed efficiente incentrata sul ruolo della CERT-UE. Nella strategia dell’UE in materia di cibersicurezza per il decennio digitale15, pubblicata nel dicembre 2020, la Commissione annunciava la presentazione di un regolamento contenente norme comuni sulla cibersicurezza per tutti gli EUIBA. Proponeva inoltre la creazione di una nuova base giuridica per la CERT-UE al fine di consolidarne mandato e finanziamenti.
Estensione e approccio dell’audit
13 Considerando che il numero di attacchi informatici è in forte aumento e che le debolezze di un EUIBA possono esporre gli altri a minacce per la sicurezza, con questo audit la Corte si prefigge di stabilire se gli EUIBA nel loro complesso abbiano posto in essere idonei meccanismi per proteggersi dalle minacce informatiche. Per rispondere a questo quesito di audit principale, la Corte lo ha scomposto in tre sottoquesiti:
- Sono state adottate le misure essenziali in materia di cibersicurezza in tutti gli EUIBA?
- La cooperazione tra gli EUIBA in materia di cibersicurezza è efficiente?
- L’ENISA e la CERT-UE forniscono adeguato sostegno agli EUIBA nel settore della cibersicurezza?
14 La tempistica del presente audit tiene conto della necessità di fornire un input alla Commissione in vista dell’attuazione della strategia dell’UE per l’Unione della sicurezza. Tramite la valutazione dei meccanismi attuali in materia di sicurezza adottati dagli EUIBA, la Corte mira ad individuare gli ambiti da migliorare. La Commissione può tenerne conto al momento di elaborare la sua proposta legislativa per norme comuni vincolanti per un livello elevato di cibersicurezza in tutti gli EUIBA.
15 L’audit ha preso in considerazione gli sviluppi e le iniziative nel settore della cibersicurezza dal gennaio 2018 (quando è stato sottoscritto l’accordo interistituzionale sulla CERT-UE) fino ad ottobre 2021.
16 La Corte ha limitato il proprio esame alla ciberresilienza e ai sistemi non classificati. Si è concentrata sugli aspetti relativi alla preparazione (attività corrispondenti alle fasi “identifica, proteggi, rileva”). Le fasi “rispondi” e “ripristina” esulano dall’ambito dell’audit, anche se la Corte ha esaminato alcuni elementi organizzativi connessi alla risposta agli incidenti. Inoltre, aspetti relativi alla protezione dei dati, alle attività di contrasto, alla ciberdifesa e alla ciberdiplomazia non rientrano nell’estensione dell’audit (cfr. figura 2).
17 Le constatazioni di audit della Corte si basano su un’analisi approfondita della documentazione disponibile e sui colloqui realizzati. La Corte ha condotto un’indagine di autovalutazione presso 65 EUIBA per raccogliere informazioni sui loro meccanismi di cibersicurezza e sui loro punti di vista in materia di cooperazione interistituzionale. Sono stati interpellati tutti gli EUIBA che rientrano nel mandato di audit della Corte e che gestiscono la propria infrastruttura informatica, tra cui istituzioni (inclusa la Corte stessa), agenzie decentrate, imprese comuni e organismi dell’UE. L’indagine ha riguardato anche le missioni civili, che sono entità autonome temporanee finanziate dal bilancio dell’UE e indipendenti da un punto di vista informatico. Nell’allegato I viene fornito un elenco completo di tutti gli EUIBA interpellati. Il Mediatore dell’Unione europea e il Garante europeo della protezione dei dati non sono stati inclusi nell’estensione del presente audit.
18 L’indagine ha registrato un tasso di risposta del 100 % ed è servita da punto di partenza per ulteriori analisi. Inoltre, gli auditor della Corte hanno selezionato un campione di sette EUIBA rappresentativo dell’eterogeneità degli stessi e, dopo aver analizzato le risposte ricevute, hanno approfondito l’esame con interviste e richieste di documentazione. Ai fini della selezione del campione, sono stati considerati criteri quali la base giuridica, le dimensioni (in termini di effettivi e di dotazione finanziaria) e il settore di attività. Il campione di EUIBA era costituito da: Commissione europea, Parlamento europeo, Agenzia dell’UE per la cibersicurezza (ENISA), autorità bancaria europea (ABE), Agenzia europea per la sicurezza marittima (EMSA), missione consultiva dell’UE in Ucraina (EUAM-Ucraina) e Impresa comune per l’iniziativa in materia di farmaci innovativi (IMI).
19 Gli auditor della Corte hanno anche tenuto riunioni in videoconferenza con la CERT-UE, il comitato consultivo TIC della rete delle agenzie (ICTAC), il comitato interistituzionale per la trasformazione digitale (ICDT) e altre parti interessate.
Osservazioni
Gli EUIBA hanno livelli di maturità molto diversi in materia di cibersicurezza e non adottano sempre buone pratiche
20 Questa sezione prende in esame i singoli meccanismi e i quadri di cibersicurezza degli EUIBA. La Corte ha esaminato se il loro approccio alla cibersicurezza sia uniforme ed adeguato, in termini di governance della sicurezza informatica, gestione dei rischi, ripartizione delle risorse, formazioni di sensibilizzazione, controlli e certificazione indipendente.
La governance della sicurezza informatica negli EUIBA è spesso non ben sviluppata e le valutazioni dei rischi non sono complete
In molti EUIBA vi sono carenze nella governance della sicurezza informatica
21 La buona governance svolge un ruolo essenziale nell’ambito di un quadro efficace per la sicurezza delle informazioni e dei sistemi informatici, in quanto definisce gli obiettivi di una organizzazione e fornisce direttive per quanto riguarda l’ordine di priorità e il processo decisionale. In base all’Information Systems Audit and Control Association (ISACA)16, un quadro di governance della sicurezza informatica dovrebbe includere generalmente diversi elementi:
- una strategia di sicurezza globale intrinsecamente collegata agli obiettivi dell’organizzazione;
- politiche per la gestione della sicurezza per ogni aspetto della strategia, controlli e regolamentazione;
- un insieme completo di norme per ciascuna politica che descriva le misure operative necessarie per attuare la politica;
- processi di monitoraggio istituzionalizzati per garantire la conformità e fornire un feedback sull’efficacia;
- una struttura organizzativa efficace senza conflitti di interesse.
22 La Corte ha rilevato carenze nella governance della sicurezza informatica in molti EUIBA. Solo il 58 % degli EUIBA (38 su 65) dispone di una strategia in materia di sicurezza informatica approvata a livello di consiglio di amministrazione/alta dirigenza. Una disaggregazione per tipo di EUIBA mostra che le missioni civili e le agenzie decentrate (che insieme rappresentano il 71 % degli EUIBA oggetto dell’indagine della Corte) registrano le percentuali più basse (cfr. tabella 1). Il fatto di non avere una strategia o un piano per la sicurezza informatica approvato a livello dell’alta dirigenza comporta il rischio che i dirigenti non siano consapevoli delle criticità della sicurezza informatica o non vi attribuiscano la dovuta priorità.
Tabella 1 – Percentuale di EUIBA che dispongono di una strategia o di un piano di sicurezza informatica approvati dall’alta dirigenza
Disaggregazione per numero di effettivi
meno di 100 effettivi
(22 EUIBA) |
da 100 a 249 effettivi
(17 EUIBA) |
da 250 a 1 000 effettivi
(16 EUIBA) |
oltre 1 000 effettivi
(10 EUIBA) |
---|---|---|---|
45 % | 53 % | 69 % | 80 % |
Disaggregazione per tipo di EUIBA
Agenzie decentrate
(35 EUIBA) |
Missioni civili
(11 EUIBA) |
Organismi
(4 EUIBA) |
Istituzioni
(6 EUIBA) |
Imprese comuni
(9 EUIBA) |
---|---|---|---|---|
45 % | 56 % | 75 % | 83 % | 89 % |
Fonte: indagine della Corte.
23 La Corte ha esaminato le strategie/i piani di sicurezza informatica forniti dai sette EUIBA inclusi nel campione (cfr. paragrafo 18). Ha constatato che le strategie degli EUIBA sono ragionevolmente ben collegate ai loro obiettivi operativi. Ad esempio, la strategia della Commissione in materia di sicurezza informatica copre la dimensione sicurezza informatica della Strategia digitale della Commissione europea17 e mira a garantire il rispetto della tabella di marcia e il conseguimento dei relativi obiettivi. Tuttavia, solo tre EUIBA selezionati nel campione della Corte avevano incluso in tali strategie/piani di sicurezza informatica obiettivi concreti e scadenze per il loro conseguimento.
24 Le politiche in materia di sicurezza stabiliscono le norme e le procedure cui devono attenersi coloro utilizzano o gestiscono le informazioni e le risorse informatiche. Contribuiscono a mitigare i rischi per la cibersicurezza e ad indicare come comportarsi in caso di incidenti. La Corte ha riscontrato che il 78 % degli EUIBA disponeva di una politica formale sulla sicurezza delle informazioni, mentre solo il 60 % aveva politiche formali di sicurezza informatica (cfr. figura 1 per le definizioni di sicurezza delle informazioni e sicurezza informatica). Ha rilevato inoltre che quattro EUIBA sui sette del campione avevano politiche di sicurezza in linea con le rispettive strategie di sicurezza informatica. Tuttavia, in tre di queste quattro, le politiche di sicurezza informatica sono solo in parte accompagnate da norme di sicurezza dettagliate che descrivano le fasi operative necessarie per dare attuazione alle politiche. La mancanza di norme di sicurezza formali aumenta il rischio che i problemi di sicurezza informatica non siano affrontati in modo adeguato e uniforme all’interno dello stesso EUIBA. Inoltre, rende più difficile misurare se l’organizzazione agisca conformemente alla propria politica di sicurezza informatica. Dei sette EUIBA del campione, solo la Commissione dispone di procedure strutturate per monitorare la conformità alle proprie politiche e norme in materia di sicurezza informatica, anche se queste sono seguite solo da un ridotto numero di direzioni generali (DG) (cfr. riquadro 1).
Conformità della sicurezza informatica presso la Commissione
In linea con la governance informatica decentrata della Commissione, il direttore di ciascuna DG è il titolare del servizio, che è responsabile e chiamato a rispondere della conformità dei sistemi della DG alle norme di sicurezza informatica. La direzione generale Informatica (DG DIGIT) e la direzione generale Risorse umane e sicurezza (DG HR) monitorano e agevolano l’attuazione delle pratiche di gestione della conformità. La DG DIGIT ha predisposto uno strumento, noto come “GRC” (governance, risk and compliance), che consente alle DG di misurare e riferire sulla conformità dei propri sistemi ai controlli previsti dalla politica in materia di sicurezza informatica.
I 580 controlli sono divisi in tre gruppi: controlli generali (per lo più sulla governance), controlli specifici alla DG e controlli specifici ai sistemi. Lo strumento è operativo, ma finora solo cinque DG lo utilizzano. Di conseguenza, la DG DIGIT non ha una visione d’insieme della conformità a livello dell’intera Commissione. Tuttavia, il comitato per le tecnologie dell’informazione e la cibersicurezza della Commissione europea (ITCB) può richiedere alla DG DIGIT di verificare la conformità ad una norma specifica (ad esempio, l’autenticazione a più fattori nel 2021) e può formulare pareri e raccomandazioni non vincolanti o, per i rischi critici, emanare anche requisiti formali.
25 Un altro elemento importante per una buona governance della cibersicurezza è la designazione di un responsabile della sicurezza informatica a livello centrale (CISO). Anche se non esplicitamente richiesto dalla famiglia di norme ISO 2700018, nelle organizzazioni è ormai prassi diffusa disporre di un CISO o di un ruolo equivalente, previsto peraltro dagli orientamenti dell’ISACA. Generalmente, il CISO ha la responsabilità generale dei programmi di sicurezza delle informazioni e della sicurezza informatica dell’organizzazione. Per evitare eventuali conflitti d’interesse, il CISO dovrebbe godere di un certo grado di indipendenza dalla funzione/dal servizio informatico19.
26 In base all’indagine della Corte, il 60 % degli EUIBA non ha designato un CISO indipendente o una persona con mansioni equivalenti. Anche quando sono stati nominati CISO (o figure equivalenti), il ruolo da essi svolto nei vari EUIBA era estremamente diverso e le funzioni erano interpretate in modo non uniforme. Soprattutto negli EUIBA di piccole e medie dimensioni, i CISO tendono ad essere associati a ruoli più operativi, non funzionalmente indipendenti dal servizio informatico, il che ne limita l’autonomia nell’attuare le proprie priorità in materia di sicurezza. Attualmente l’ENISA sta lavorando ad un quadro UE sulle competenze in materia di cibersicurezza al fine di stabilire, tra l’altro, una definizione comune per i ruoli, le competenze e le capacità.
Le valutazioni dei rischi per la sicurezza informatica degli EUIBA non prendono in esame l’intero ambiente informatico
27 Tutte le norme internazionali in materia di sicurezza informatica sottolineano l’importanza di definire un metodo adeguato per valutare e gestire i rischi per la sicurezza che interessano i sistemi informatici ed i dati in essi contenuti. Le valutazioni dei rischi dovrebbero essere eseguite periodicamente per tener conto delle modifiche introdotte nei requisiti relativi alla sicurezza delle informazioni dell’organizzazione ed i rischi a cui questa è esposta20. Alle valutazioni dovrebbe far seguito un piano per la mitigazione dei rischi (o un piano di sicurezza informatica).
28 La maggior parte degli EUIBA interpellati (58 su 65) ha risposto di seguire un quadro di riferimento o una metodologia per eseguire le valutazioni dei rischi sui rispettivi sistemi informatici. Non esiste però una metodologia comune a tutti gli EUIBA. Almeno 26 EUIBA utilizzano in tutto o in parte quelle elaborate dalla Commissione, in particolare il 31 % degli EUIBA ha utilizzato la metodologia di gestione dei rischi per la sicurezza informatica del 2018 (ITSRM2). Gli altri seguono metodologie basate su norme del settore ben consolidate (come ISO27001, ISO27005, il quadro per la cibersicurezza del National Institute of Standards and Technology (NIST-CSF) o i controlli del Center for Internet Security (CIS)), oppure utilizzano metodologie da essi sviluppate.
29 Dei sette EUIBA inclusi nel campione, solo due eseguono valutazioni dei rischi complete che coprono l’interno ambiente informatico (ossia, tutti i loro sistemi informatici). La maggior parte effettua valutazioni di singoli rischi solo per i sistemi informatici più importanti. La Corte ha individuato diversi esempi di valutazioni dei rischi eseguite prima dell’entrata in funzione di nuovi sistemi, ma non ha rilevato elementi che attestino valutazioni dei rischi realizzate, ad esempio, dopo la modifica delle infrastrutture e dei sistemi informatici.
Gli EUIBA non hanno un approccio uniforme alla cibersicurezza e non attuano sempre i controlli essenziali
Le risorse destinate alla cibersicurezza variano fortemente da un EUIBA all’altro
30 Nel corso dell’indagine, la Corte ha chiesto agli EUIBA di indicare la spesa totale per l’informatica nel 2020 e di fornire una stima dell’importo speso per la cibersicurezza. I dati mostrano significative differenze per quanto riguarda la percentuale delle spese per l’informatica che i singoli EUIBA hanno destinato alla cibersicurezza. Tali differenze si riscontrano anche tra EUIBA di dimensioni analoghe in termini di personale. Come mostra la figura 3, le differenze tendono essere particolarmente grandi tra gli EUIBA con meno effettivi.
31 È difficile valutare in termini assoluti quale sia il livello ottimale della spesa per la cibersicurezza. Questo dipende da molti fattori, come la superficie di attacco dell’organizzazione, i dati sensibili trattati, il profilo di rischio e la propensione al rischio, nonché i requisiti normativi/giuridici del settore. Tuttavia, i dati esaminati dalla Corte evidenziano differenze sostanziali, le cui ragioni non sono spesso chiare. Alcuni EUIBA spendono notevolmente meno in cibersicurezza rispetto ai loro omologhi di dimensioni analoghe, il che potrebbe indicare un livello di spesa insufficiente nel caso siano esposti a rischi e minacce simili.
32 La maggior parte degli EUIBA è di piccole o medie dimensioni in termini di personale e di spese per l’informatica e due terzi degli EUIBA conta meno di 350 effettivi. I più piccoli ne hanno solo 15. Gestire la cibersicurezza è più impegnativo e richiede maggiori risorse per gli EUIBA più piccoli. Nella maggior parte dei casi, questi non possono beneficiare di economie di scala e non dispongono di sufficienti competenze al loro interno. In base ai risultati dell’indagine e ai colloqui avuti, le istituzioni più grandi, come la Commissione e il Parlamento europeo, hanno team di esperti che gestiscono a tempo pieno la cibersicurezza. Gli EUIBA più piccoli, invece, che dispongono di minori risorse finanziarie e di personale più ridotto, non hanno al loro interno esperti in materia di cibersicurezza, per cui le attività in tale ambito sono svolte part time da personale interno con una formazione informatica. Poiché gli EUIBA sono fortemente interconnessi, questa situazione comporta un maggiore rischio (cfr. paragrafo 10).
33 Nel corso dell’indagine presso gli EUIBA, la Corte ha chiesto quali fossero le principali sfide affrontate nell’attuare politiche efficaci in materia di cibersicurezza all’interno delle organizzazioni (cfr. figura 4). La sfida più importante è che gli esperti di cibersicurezza sono una risorsa rara e molti EUIBA hanno difficoltà a reperirne, data la concorrenza sia del settore privato che degli altri EUIBA. Problemi ricorrenti sono, tra l’altro, le lunghe procedure di assunzione, le condizioni contrattuali non competitive e le scarse prospettive di carriera interessanti. La carenza di personale specializzato rappresenta un rischio significativo per l’efficace gestione della cibersicurezza.
La maggior parte degli EUIBA offre una qualche forma di formazione per la sensibilizzazione alla cibersicurezza, ma in modo non sistematico e mirato
34 I potenziali aggressori non si limitano a sfruttare le vulnerabilità dei sistemi e dei meccanismi per colpire le organizzazioni, ma possono anche indurre gli utenti a rivelare informazioni sensibili o a scaricare malware, ad esempio attraverso il phishing o l’ingegneria sociale. Il personale rappresenta la prima linea di difesa in ogni organizzazione. I programmi di sensibilizzazione e formazione in materia di cibersicurezza sono quindi un elemento essenziale di un efficace quadro di cibersicurezza.
35 La quasi totalità degli EUIBA interpellati (95 %) eroga a tutto il personale una qualche forma di formazione generica di sensibilizzazione in materia di cibersicurezza, ma tre di essi non lo fanno. Tuttavia, solo il 41 % degli EUIBA organizza formazioni o sessioni di sensibilizzazione specifiche per manager e solo il 29 % prevede una formazione obbligatoria sulla cibersicurezza per i dirigenti responsabili di sistemi informatici contenenti informazioni sensibili. La sensibilizzazione e l’impegno della dirigenza sono fondamentali per una governance efficace della cibersicurezza. Degli 11 EUIBA che hanno menzionato lo scarso sostegno della dirigenza come una delle sfide per una cibersicurezza efficace, solo tre avevano organizzato una qualche forma di formazione di sensibilizzazione per i loro dirigenti. Le formazioni continue in materia di cibersicurezza erogate al personale informatico e agli specialisti in sicurezza informatica sono offerte rispettivamente dal 58 % e dal 51 % degli EUIBA.
36 Non tutti gli EUIBA dispongono di meccanismi per monitorare la partecipazione del personale alle formazioni sulla cibersicurezza e il successivo cambiamento a livello di consapevolezza e comportamento. Soprattutto nelle organizzazioni più piccole, le sessioni di sensibilizzazione alla cibersicurezza potrebbero essere fornite durante incontri informali con il personale. Le organizzazioni misurano solitamente il grado di consapevolezza del personale attraverso test che ne verificano il comportamento, come indagini sulla maturità o esercitazioni di phishing. Negli ultimi cinque anni, il 55 % degli EUIBA ha organizzato una o più simulazioni di phishing (o esercitazioni simili). Poiché il phishing è una delle principali minacce a cui è soggetto il personale delle amministrazioni pubbliche21, queste esercitazioni sono uno strumento importante per abituare il personale a reagire correttamente e sensibilizzarlo sulla cibersicurezza. La Corte ha riscontrato che le azioni di sensibilizzazione attuate della Commissione in materia di cibersicurezza costituiscono una buona pratica e sono disponibili agli altri EUIBA interessati (cfr. riquadro 2).
Formazioni di sensibilizzazione alla cibersicurezza presso la Commissione
Presso la DG DIGIT della Commissione esiste un gruppo “Cyber Aware” che si occupa del programma di sensibilizzazione alla cibersicurezza all’interno della organizzazione. Il programma è gestito congiuntamente con la DG HR, il segretariato generale, la direzione generale Reti di comunicazione, contenuti e tecnologie (DG CNECT) e dalla CERT-UE. Si tratta di una formazione di alta qualità e in molti casi disponibile a livello interistituzionale. Le sessioni di formazione sono pubblicizzate attraverso il Learning Bulletin che raggiunge circa 65 000 agenti e funzionari dell’UE. Attraverso la piattaforma “Cyber Aware”, la Commissione ha organizzato 15 esercitazioni di phishing negli ultimi cinque anni e recentemente ha eseguito la prima esercitazione a livello dell’intera Commissione.
I controlli essenziali non sono sempre attuati o non sono formalizzati sotto forma di norme
37 La Corte ha invitato gli EUIBA ad auto-valutare l’attuazione di una selezione di controlli essenziali22. La Corte ha selezionato un insieme di migliori pratiche che anche le organizzazioni più piccole erano ragionevolmente in grado di attuare23. I risultati sono esposti sinteticamente nella figura 5. La maggior parte degli EUIBA esaminati aveva adottato i controlli essenziali selezionati. Tuttavia, in alcuni ambiti, i controlli sono risultati carenti o limitati per almeno il 20 % degli EUIBA.
38 Per i sette EUIBA del campione, la Corte ha richiesto documenti giustificativi e le norme/politiche relative a ciascun controllo che queste dichiaravano di aver attuato. Questi documenti sono stati forniti per il 62 % dei controlli. Come chiarito durante i colloqui, in molti casi i controlli tecnici erano attuati ma non formalizzati sotto forma di norme o politiche aggiornate, il che aumenta il rischio che problemi di sicurezza informatica siano affrontati in modo diverso all’interno di uno stesso EUIBA (cfr. anche paragrafo 24).
Diversi EUIBA non prevedono audit periodici indipendenti sui propri meccanismi di cibersicurezza
39 Secondo l’ISACA24, l’audit interno è una delle tre linee essenziali di difesa di un’organizzazione, insieme al management e alla gestione dei rischi. Gli audit interni contribuiscono a migliorare la governance in materia di sicurezza delle informazioni e di sicurezza informatica. La Corte ha esaminato con quale frequenza gli EUIBA prevedono che vengano svolti audit interni o esterni e test proattivi delle loro ciberdifese atti a fornire una garanzia indipendente sul loro quadro di sicurezza informatica.
40 Il servizio di audit interno della Commissione (IAS) è responsabile, tra l’altro, di eseguire audit informatici presso la Commissione, le agenzie decentrate, le imprese comuni e il SEAE. Il mandato dello IAS copre 46 (70 %) dei 65 EUIBA oggetto dell’indagine della Corte e lo IAS ha eseguito audit relativi alla sicurezza informatica su 6 diversi EUIBA negli ultimi cinque anni. Inoltre, la DG HR è competente per lo svolgimento di ispezioni sulla sicurezza informatica che riguardano aspetti tecnici della sicurezza delle informazioni25. Dei restanti EUIBA, sette hanno dichiarato di disporre di una funzione di audit interno che si occupa degli aspetti informatici; tuttavia, per 12 EUIBA, sulla base delle risposte fornite non è stato possibile stabilire se disponessero o meno di questa funzione di audit interno.
41 Gli audit esterni sulla sicurezza informatica svolti da entità indipendenti sono un altro modo per ottenere una certificazione indipendente. Nonostante un ambiente digitale in rapida evoluzione, tra l’inizio del 2015 e il primo trimestre del 2021 il 34 % degli EUIBA non è stato oggetto di alcun audit interno o esterno sulla sicurezza informatica. Una scomposizione di quest’ultima percentuale per tipo di EUIBA rivela che dal 2015 non sono stati effettuati audit interni o esterni sulla sicurezza informatica sul 75 % degli organismi dell’UE, 66 % delle imprese comuni e 45 % delle missioni civili.
42 Al di là degli audit interni ed esterni, le organizzazioni possono ottenere una garanzia riguardo all’idoneità del loro quadro di sicurezza informatica mettendo proattivamente alla prova le proprie difese informatiche per individuarne le vulnerabilità. I test di penetrazione (anche noti come “hacking etico”), ossia ciberattacchi simulati autorizzati su singoli sistemi informatici, sono uno dei sistemi adottati. Il 69 % degli EUIBA ha risposto al sondaggio della Corte di aver eseguito almeno un test di penetrazione negli ultimi cinque anni. Nel 45 % dei casi, tali test erano stati eseguiti dalla CERT-UE.
43 Le esercitazioni di red teaming sono un altro modo per mettere alla prova le ciberdifese utilizzando le stesse tecniche degli attacchi in condizioni reali. Sono più complesse e complete rispetto ai test di penetrazione perché coinvolgono più sistemi e potenziali vie di attacco. Gli EUIBA le effettuano meno di frequente: il 46 % degli EUIBA ha comunicato di aver effettuato almeno una esercitazione di questo tipo negli ultimi cinque anni. La CERT-UE ha eseguito il 75 % di queste esercitazioni. Esse richiedono un notevole lavoro di preparazione e realizzazione e la CERT-UE ha attualmente la capacità di eseguire al massimo cinque o sei esercitazioni all’anno.
44 Se si escludono i due EUIBA di recente costituzione, 16 degli EUIBA oggetto dell’indagine (25 %) non avevano eseguito test di penetrazione o esercitazioni di red teaming negli ultimi cinque anni. Complessivamente, in sette EUIBA (10 %) non è stata attuata alcuna misura volta a fornire una garanzia indipendente sui loro meccanismi di sicurezza informatica: una impresa comune, una agenzia decentrata e cinque missioni civili.
Gli EUIBA hanno istituito meccanismi di cooperazione, ma si riscontrano carenze
45 Questa sezione esamina gli organismi e i comitati costituiti al fine di promuovere la cooperazione tra gli EUIBA nel settore della cibersicurezza, nonché i dispositivi di governance e di coordinamento interistituzionale. Più specificamente, la Corte ha esaminato due organismi interistituzionali, ENISA e CERT-UE, e due comitati interistituzionali, il Comitato interistituzionale per la trasformazione digitale (ICDT), in particolare il suo sottogruppo sulla cibersicurezza (CSSG), e il Comitato consultivo sulle tecnologie dell’informazione e della comunicazione (ICTAC). La Corte ha esaminato inoltre in che misura questi soggetti abbiano conseguito sinergie al fine di aumentare la preparazione degli EUIBA in materia di cibersicurezza.
Esiste una struttura formalizzata per il coordinamento delle attività degli EUIBA, anche se con qualche problema di governance
46 L’ICDT e l’ICTAC sono i due principali comitati che promuovono la cooperazione in materia di tecnologie dell’informazione tra gli EUIBA. L’ICDT è un forum per promuovere lo scambio di informazioni e la cooperazione comprendente i responsabili dei servizi informatici delle istituzioni e degli organismi dell’UE. Al suo interno esiste un sottogruppo sulla cibersicurezza (CSSG dell’ICDT) che riferisce all’ICDT e che può raccomandare l’adozione di decisioni su questioni specifiche. L’ICTAC, invece, è un sottogruppo della rete delle agenzie dell’UE (EUAN), una rete informale istituita dai direttori delle agenzie dell’UE che si concentra sulla cooperazione tra agenzie e imprese comuni. Sia l’ICDT che l’ICTAC hanno ruoli ben definiti e complementari: l’ICTAC si occupa delle agenzie decentrate e delle imprese comuni, mentre l’ICDT delle istituzioni e degli organismi. Entrambi i comitati sono per loro natura gruppi e forum consultivi piuttosto informali per lo scambio di informazioni e di migliori pratiche. Maggiori informazioni su questi comitati interistituzionali sono presentate nell’allegato II.
Gli EUIBA non sono sempre adeguatamente rappresentati nei forum competenti
47 Anche se esistono strutture di rappresentanza ben definite, non tutti gli EUIBA ritengono di essere sufficientemente rappresentati. In risposta all’indagine, il 42 % degli EUIBA ha dichiarato di non condividere l’affermazione “Le mie esigenze sono state prese sufficientemente in considerazione da forum interistituzionali e il mio EUIBA è adeguatamente rappresentato nei comitati con poteri decisionali”. Alcuni degli EUIBA più piccoli ritengono di non disporre di risorse sufficienti per partecipare attivamente ai forum interistituzionali.
48 Neppure il comitato direttivo della CERT-UE, ossia il principale organo decisionale, consente di rappresentare adeguatamente tutti i suoi componenti. La CERT-UE fornisce servizi a 87 EUIBA e a tre altre entità. Tuttavia, il suo comitato direttivo comprende solo rappresentanti di 11 parti firmatarie dell’accordo interistituzionale (le sette istituzioni dell’UE più il SEAE, il Comitato economico e sociale, il Comitato delle regioni e la Banca europea per gli investimenti) e un rappresentante dell’ENISA, aventi ognuno diritto di voto26.
49 Più della metà dei componenti della CERT-UE è costituito da agenzie decentrate e imprese comuni dell’UE, che contano complessivamente circa 12 000 effettivi. Formalmente, i loro interessi nel comitato direttivo della CERT-UE sono rappresentati dall’ENISA. Tuttavia, il mandato di rappresentanza delle agenzie e delle imprese comuni dell’UE affidato all’ENISA è debole e tale organismo non è da queste direttamente designato o eletto. In pratica, le opinioni delle agenzie decentrate e delle imprese comuni vengono sottoposte all’attenzione del comitato direttivo da un rappresentante dell’ICTAC, che è autorizzato a partecipare alle riunioni per aiutare l’ENISA a rappresentare le agenzie. Nonostante sia portavoce delle opinioni e degli interessi di 48 EUIBA, il rappresentante dell’ICTAC attualmente non dispone di un seggio né ha diritto di voto in seno al comitato direttivo. Nell’aprile 2021, l’ICTAC ha richiesto formalmente al presidente del comitato direttivo della CERT-UE che gli venisse riconosciuto il diritto di voto. Al momento della stesura della presente relazione, la richiesta in questione non era ancora stata accolta. Nella figura 6 viene presentata una panoramica della rappresentanza delle EUIBA negli organi e nei comitati con potere decisionale.
50 La governance interistituzionale della cibersicurezza degli EUIBA è frammentaria e non esiste un’unica entità attualmente in grado di avere un quadro completo della maturità degli EUIBA in materia di cibersicurezza, o l’autorità di assumere un ruolo guida o di far applicare norme comuni vincolanti. Sia l’ENISA che la CERT-UE possono solo “sostenere” o “assistere” gli EUIBA. I comitati competenti non hanno alcun potere decisionale e possono solo formulare raccomandazioni agli EUIBA. Inoltre, un quinto degli EUIBA interpellati non sa a chi rivolgersi per specifici servizi, strumenti o soluzioni.
Esistono memorandum di intesa tra i principali soggetti coinvolti, ma finora non hanno prodotto risultati concreti
51 Nel maggio 2018 è stato firmato un memorandum d’intesa tra l’ENISA, la CERT-UE, il Centro europeo per la lotta alla criminalità informatica di Europol (EC3) e Agenzia europea per la difesa (AED). Riguardava cinque ambiti di cooperazione: scambio di informazioni, istruzione e formazione, esercitazioni di cibersicurezza, cooperazione tecnica e questioni strategiche e amministrative. Sebbene tale memorandum d’intesa possa contribuire a evitare doppioni grazie alla definizione di un programma di lavoro comune, la Corte non ha riscontrato elementi che attestino realizzazioni concrete o azioni comuni.
52 Il regolamento sulla cibersicurezza, entrato in vigore nel giugno 2019, prevedeva la firma di un nuovo accordo di cooperazione specifico tra la CERT-UE e l’ENISA. È opportuno segnalare che c’è voluto più di un anno e mezzo per arrivare infine alla firma di un memorandum d’intesa, nel febbraio 2021, con il quale si tenta di instaurare una cooperazione strutturata tra la CERT-UE e l’ENISA. Esso definisce gli ambiti di cooperazione (sviluppo delle capacità, cooperazione operativa, e conoscenza e informazione) e stabilisce una approssimativa divisione dei ruoli tra le due entità: la CERT-UE svolgerà il ruolo di capofila nell’assistere gli EUIBA, mentre l’ENISA contribuirà a tale sforzo. Il memorandum d’intesa non definisce le modalità pratiche della cooperazione, che sono invece specificate in un piano annuale di cooperazione. Il primo piano di cooperazione per il 2021 è stato adottato dal consiglio di amministrazione dell’ENISA nel luglio 2021 e dal comitato direttivo della CERT-UE nel settembre 2021. È quindi prematuro valutare se tale piano abbia prodotto risultati tangibili.
53 Poiché entrambi i memorandum d’intesa di cui ai paragrafi 51 e 52 hanno finalità e ambiti di cooperazione comuni, come la formazione, le esercitazioni o lo scambio di informazioni, esiste un rischio di sovrapposizioni e ridondanze.
Non vengono ancora pienamente sfruttate potenziali sinergie tramite la cooperazione
Sono stati fatti passi in avanti per realizzare sinergie
54 I programmi di lavoro dell’ICTAC e del CSSG dell’ICDT individuano ambiti pertinenti per i quali è possibile ottenere incrementi di efficienza attraverso la collaborazione. Esempi pratici di iniziative che hanno consentito agli EUIBA di beneficiare di sinergie comprendono:
- contratti quadro interistituzionali;
- per le agenzie decentrate, un centro comune di ripristino informatico in caso di disastro, ospitato dal 2019 dall’Ufficio dell’Unione europea per la proprietà intellettuale (EUIPO); esso consente un risparmio di almeno il 20 % rispetto ai prezzi di mercato (nove agenzie hanno adottato questa soluzione di ripristino in caso di disastro);
- accordi tra sei imprese comuni aventi sede nello stesso edificio per condividere infrastrutture comuni e un quadro comune di sicurezza informatica (dal 2014).
55 Un altro esempio importante è il “GovSec”, un sistema che aiuta gli EUIBA a effettuare valutazioni dei rischi al fine di adottare soluzioni cloud. Secondo l’indagine effettuata dalla Corte, il 75 % degli EUIBA utilizza già alcune piattaforme cloud pubbliche e molti di quelli che non le utilizzano pianificano di migrare verso una soluzione cloud. Dal 2019, la Commissione ha adottato una strategia “cloud first”, che prevede un’offerta di servizi ibridi multicloud sicuri27. La Commissione funge anche da broker per il cloud di tutti gli EUIBA, nel contesto del contratto quadro “Cloud II”. Gestire i rischi per la sicurezza e la protezione dei dati sulle piattaforme cloud richiede nuove competenze e un approccio diverso rispetto a quello adottato per le tradizionali infrastrutture informatiche in situ. Gestire efficacemente i rischi per la sicurezza delle informazioni nel cloud è una sfida comune agli EUIBA e GovSec è un esempio di soluzione che potrebbe rispondere alle esigenze di parecchi EUIBA, se non di tutti.
La collaborazione e la condivisione delle pratiche tra gli EUIBA non sono ancora ottimali
56 Il fatto che esistano comitati interistituzionali non porta automaticamente a sinergie e gli EUIBA non sempre condividono le migliori pratiche, le competenze, le metodologie e gli insegnamenti tratti. Inoltre, spetta a ciascun EUIBA decidere il proprio livello di impegno nel lavoro del CSSG dell’ICDT. I membri del CSSG dell’ICDT, pur partecipando alle riunioni, possono contribuire solo nella misura in cui i loro compiti regolari nell’ambito degli EUIBA lo consentano, e ciò ha già rallentato i progressi nell’attuazione delle azioni concordate da alcune task force.
57 La Corte ha riscontrato ambiti specifici in cui non esistono meccanismi che consentono agli EUIBA di condividere esperienze e iniziative. Ad esempio, nell’ambito del contratto quadro “Capacità di difesa della rete”, gli EUIBA possono richiedere uno studio per consolidare i requisiti di cibersicurezza e trovare soluzioni. Tuttavia, non esiste un archivio di studi di questo tipo effettuati o richiesti da altri EUIBA, e gli EUIBA possono pertanto richiedere lo stesso studio più volte. Inoltre, gli EUIBA non rivelano sistematicamente l’uno all’altro i propri rapporti contrattuali con specifici fornitori o l’utilizzo di una specifica soluzione software. Questo divario di conoscenze può comportare costi aggiuntivi e mancate sinergie.
58 Gli EUIBA non si scambiano sistematicamente neppure informazioni sui progetti di cibersicurezza che intraprendono, anche se questi potrebbero avere un impatto interistituzionale. Il mandato del CSSG dell’ICDT prevede che gli EUIBA condividano informazioni su nuovi progetti che potrebbero incidere sulla cibersicurezza di altri EUIBA e/o sulla protezione delle informazioni provenienti da essi. Tuttavia, il CSSG dell’ICDT non è tenuto al corrente di tali progetti.
59 Quando viene creata una nuova agenzia, essa deve costruire a partire da zero la propria infrastruttura informatica e il quadro di sicurezza informatica. Non esiste un “catalogo dei servizi”, un pacchetto di strumenti né orientamenti/requisiti chiari per le nuove agenzie. Il risultato è una notevole eterogeneità degli ambienti informatici degli EUIBA: ogni organizzazione è potenzialmente libera di acquistare software, hardware, infrastrutture e servizi in modo indipendente. Lo stesso vale per il quadro di sicurezza informatica, in assenza di requisiti e norme comuni. Questa situazione comporta una potenziale duplicazione degli sforzi e un uso inefficiente dei fondi dell’UE, ma anche una maggiore complessità per la CERT-UE in termini del sostegno che deve fornire.
Vi sono carenze pratiche nello scambio di informazioni sensibili
60 Alcuni EUIBA non dispongono ancora di soluzioni adeguate per lo scambio di informazioni sensibili non classificate. Quelli che ne dispongono hanno generalmente adottato propri prodotti e sistemi diversi, con conseguenti problemi di interoperabilità. Piattaforme comuni sicure esistono solo per scopi specifici, come ad esempio le piattaforme che la CERT-UE offre a tutti i propri utenti per lo scambio di informazioni sensibili su incidenti, minacce e vulnerabilità.
61 A titolo di esempio, oltre il 20 % degli EUIBA non dispone di un servizio di posta elettronica criptato. Quelli che ne dispongono spesso si trovano ad affrontare problemi di interoperabilità e i certificati non sono riconosciuti reciprocamente. L’ICTAC e l’ICDT discutono da anni le opzioni per una soluzione scalabile e interoperabile e nel 2018 è stato avviato un progetto pilota. Tuttavia, tale questione non è ancora stata risolta.
62 Un’altra problematica è l’assenza di contrassegni comuni per le informazioni sensibili non classificate. I contrassegni sono classificazioni che indicano ai detentori delle informazioni i requisiti specifici per la protezione di tali informazioni. Essi differiscono tra un EUIBA e l’altro, il che complica lo scambio e la corretta gestione delle informazioni.
63 Nel 2020, la pandemia di COVID-19 ha costretto gli EUIBA ad adottare strumenti di comunicazione e videoconferenza su larga scala per garantire la continuità operativa. La Corte ha individuato almeno 15 diverse soluzioni software di videoconferenza in uso presso gli EUIBA. Anche quando i diversi EUIBA utilizzano la stessa soluzione/piattaforma software, l’interoperabilità è spesso comunque carente. Inoltre, le linee-guida indicanti quali informazioni (in termini di sensibilità) potevano essere condivise o discusse su una data piattaforma differivano tra gli EUIBA. Tali problemi determinano inefficienze economiche e operative e possono creare potenziali problemi di sicurezza.
L’ENISA e la CERT-UE non hanno ancora fornito agli EUIBA tutto il sostegno necessario
64 Per questa sezione, gli auditor della Corte hanno esaminato le due principali entità incaricate di sostenere gli EUIBA in materia di cibersicurezza: l’ENISA e la CERT‑UE. La Corte ha verificato se il sostegno fornito da entrambe queste entità abbia raggiunto gli EUIBA e stia rispondendo alle loro esigenze, evidenziando le ragioni alla base delle carenze individuate.
L’ENISA è un attore chiave nel panorama della cibersicurezza dell’UE, ma finora il suo sostegno ha raggiunto pochissimi EUIBA
65 Nel giugno 2019 è entrato in vigore il regolamento UE sulla cibersicurezza28, che ha sostituito la precedente base giuridica dell’ENISA29 e ha conferito a quest’ultima un mandato più forte. Più specificamente, detto regolamento prevede che l’ENISA aiuti attivamente sia gli Stati membri che gli EUIBA a migliorare la cibersicurezza attraverso lo sviluppo di capacità, il rafforzamento della cooperazione operativa e la creazione di sinergie. Nell’ambito dello sviluppo di capacità, l’ENISA ha ora il compito di assistere gli EUIBA “nel loro impegno a migliorare la prevenzione, la rilevazione e l’analisi delle minacce informatiche e degli incidenti, […] in particolare tramite un sostegno adeguato alla CERT-UE”30. L’ENISA dovrebbe inoltre assistere le istituzioni dell’UE a definire e rivedere le strategie dell’UE in materia di cibersicurezza, promuovendone la diffusione e monitorando i progressi della loro attuazione.
66 Sebbene il regolamento sulla cibersicurezza affermi chiaramente che l’ENISA debba aiutare gli EUIBA a migliorare la loro cibersicurezza, l’ENISA non ha ancora completato alcun piano d’azione in relazione al suo obiettivo di contribuire allo sviluppo delle capacità degli EUIBA (per maggiori dettagli, cfr. riquadro 3).
Insufficiente allineamento tra le finalità dell’ENISA e le sue realizzazioni in relazione agli EUIBA
Alcune delle priorità triennali dell’ENISA elencate nel programma di lavoro pluriennale 2018‑2020 nell’ambito dell’obiettivo 3.2 (“Assistere lo sviluppo di capacità delle istituzioni dell’UE”) sono:
- “Offrire consulenza proattiva alle istituzioni dell’Unione sul rafforzamento della sicurezza delle loro reti e informazioni (Individuare le priorità per le agenzie e gli organismi dell’UE con i maggiori bisogni di sviluppo di capacità in materia di sicurezza delle reti e delle informazioni, stabilendo interazioni regolari con esse (ad esempio, seminari annuali) e concentrarsi su tali priorità)”;
- “Cercare di assistere e facilitare le istituzioni dell’UE in relazione agli approcci in materia di sicurezza delle reti e dell’informazione (Istituire partenariati con la CERT-UE e le istituzioni aventi forti capacità in materia di sicurezza delle reti e dell’informazione, al fine di sostenere le loro azioni nell’ambito di questo obiettivo)”.
Nei programmi di lavoro dell’ENISA per il 2018, il 2019 e il 2020 vi sono solo due obiettivi operativi (realizzazioni) nell’ambito dell’obiettivo 3.2:
- “Partecipazione al comitato direttivo della CERT-UE e rappresentanza delle agenzie dell’UE che utilizzano il servizio CERT-UE”;
- “Cooperazione con i pertinenti organismi dell’UE (tra i quali AESA, CERT-UE, AED, EC3) su iniziative riguardanti la dimensione della sicurezza delle reti e dell’informazione connessa alle rispettive missioni”.
Gli obiettivi operativi non includono alcuna attività connessa alla consulenza proattiva. Inoltre, l’obiettivo di individuare le priorità per le agenzie con i maggiori bisogni non è stato tradotto in realizzazioni operative, in quanto è stato sostituito dall’obiettivo di stabilire contatti con le agenzie per rappresentare le loro esigenze in seno al comitato direttivo della CERT-UE.
67 Il principale organo decisionale dell’ENISA è il consiglio di amministrazione, composto da un membro nominato da ciascuno dei 27 Stati membri dell’UE e da due membri nominati dalla Commissione31 (cfr. figura 6). Ciascun membro dispone di un voto e le decisioni sono prese a maggioranza32. Di conseguenza, le azioni riguardanti gli Stati membri possono avere una maggiore priorità rispetto a quelle per gli EUIBA. Ad esempio, nel programma di lavoro dell’ENISA per il 2018, il consiglio di amministrazione ha deciso, a causa della mancanza di risorse sufficienti, di dare priorità a determinate attività e di rimuoverne tre, una delle quali era il “sostegno alla valutazione delle politiche/procedure/pratiche esistenti in materia di sicurezza delle reti e dell’informazione in seno alle istituzioni dell’UE”. Questa attività mirava a consentire all’ENISA di avere un quadro d’insieme delle pratiche degli EUIBA e della loro maturità indicativa in materia di cibersicurezza, quale base per future azioni mirate.
68 Pertanto, l’ambizione dell’ENISA di fornire assistenza proattiva agli EUIBA, espressa nei suoi obiettivi strategici, non si è concretizzata in obiettivi operativi o azioni concrete. Il sostegno negli ambiti dello sviluppo di capacità e della cooperazione operativa è stato finora limitato, su richiesta, ad alcuni specifici EUIBA.
69 Il regolamento sulla cibersicurezza stabilisce inoltre che, al fine di assistere gli EUIBA nello sviluppo di capacità, l’ENISA dovrebbe fornire un sostegno adeguato alla CERT-UE. Al momento dell’audit, tale sostegno era stato limitato ad alcune azioni specifiche. Ad esempio, nel 2019 l’ENISA ha effettuato una valutazione inter pares della CERT-UE, nel contesto della sua appartenenza alla rete di CSIRT dell’UE (istituita dalla direttiva sulla sicurezza delle reti e dell’informazione).
70 Secondo le risposte al questionario della Corte, l’ENISA pubblica relazioni e linee-guida di alta qualità sulla cibersicurezza, alcune delle quali sono utilizzate dagli EUIBA. Tuttavia, non esistono linee-guida specifiche per gli EUIBA e per il loro ambiente e i loro bisogni. Gli EUIBA, in particolare quelli meno avanzati in materia di cibersicurezza, hanno bisogno di orientamenti pratici non solo su “cosa” fare, ma anche su “come” farlo. Fino ad ora, l’ENISA e la CERT-UE hanno fornito tale sostegno in misura limitata e in modo non sistematico.
71 L’ENISA ha tenuto una serie di corsi di formazione sulla cibersicurezza, che erano destinati principalmente alle autorità degli Stati membri ma che sono stati anche seguiti da un numero ridotto di partecipanti provenienti dagli EUIBA. Ha fornito soltanto due corsi in autoapprendimento destinati specificamente agli EUIBA. L’ENISA offre inoltre materiale formativo online sul suo sito Internet, al quale gli EUIBA possono accedere, ma finora si è trattato per lo più di corsi per esperti tecnici dei CSIRT e, in quanto tali, non utili per la maggior parte degli EUIBA.
72 Oltre alla formazione, l’ENISA può sostenere gli EUIBA attraverso esercitazioni di cibersicurezza. Nell’ottobre 2020 l’ENISA, in collaborazione con la CERT-UE, ha aiutato a condurre una esercitazione di cibersicurezza per l’ICTAC, l’unica organizzata dall’ENISA specificamente per partecipanti provenienti dagli EUIBA. Oltre a ciò, l’ENISA ha contribuito a organizzare una serie di esercitazioni su richiesta di alcuni EUIBA (ad esempio, eu-LISA, EMSA, Parlamento europeo ed Europol), principalmente per le parti interessate presso le autorità degli Stati membri, a cui hanno partecipato anche alcuni membri del personale degli EUIBA.
73 Il regolamento sulla cibersicurezza ha affidato all’ENISA anche nuovo ruolo: assistere gli EUIBA a definire ed attuare le loro politiche per la comunicazione delle vulnerabilità, su base volontaria. Tuttavia, l’ENISA non dispone ancora di una visione d’insieme delle politiche dei singoli EUIBA in materia di divulgazione delle vulnerabilità né li assiste nella definizione e nell’attuazione di tali politiche.
La CERT-UE è molto apprezzata dai suoi utenti, ma i suoi mezzi non sono commisurati alle attuali sfide in materia di cibersicurezza
74 A seguito di una serie di iniziative (cfr. figura 7), nel settembre 2012 una decisione della Commissione33 ha istituito la squadra di pronto intervento informatico (CERT-UE) come task force permanente per gli EUIBA (cfr. paragrafo 08).
75 Pur essendo indipendente nelle sue operazioni, la CERT-UE rimane una task force priva di personalità giuridica. È amministrativamente distaccata presso la Commissione europea (DG DIGIT), dalla quale riceve supporto logistico e amministrativo. La finalità della CERT-UE è rendere più sicure le infrastrutture TIC degli EUIBA potenziandone la capacità di affrontare le minacce e le vulnerabilità informatiche e di prevenire, individuare e rispondere ai ciberattacchi. La CERT-UE conta circa 40 effettivi organizzati in squadre di specialisti che si occupano, ad esempio, di intelligence sulla minaccia informatica, di tecnologie digitali forensi e di risposta agli incidenti.
La CERT-UE è un partner apprezzato, con un carico di lavoro crescente
76 La CERT-UE chiede feedback e suggerimenti ai propri utenti attraverso seminari trimestrali, riunioni bilaterali annuali e indagini sulla soddisfazione. Secondo le indagini sulla soddisfazione e la stessa indagine della Corte, gli utenti sono ampiamente soddisfatti dei servizi forniti dalla CERT-UE. L’evoluzione del catalogo dei servizi da questa offerti attesta il suo impegno ad adattarsi alle esigenze degli EUIBA.
77 Mentre i grandi EUIBA con una notevole capacità interna tendono a utilizzare la CERT-UE principalmente come polo di condivisione delle informazioni e fonte di intelligence sulle minacce, gli EUIBA più piccoli si affidano alla CERT-UE per una più ampia gamma di servizi, come i registri di monitoraggio, i test di penetrazione, le esercitazioni di red teaming e il sostegno alla risposta agli incidenti. I servizi della CERT-UE sono particolarmente preziosi per gli EUIBA più piccoli, a causa delle loro limitate competenze interne e delle ridotte economie di scala (cfr. paragrafi 31 e 33).
78 La CERT-UE ha rafforzato le proprie capacità e procedure negli ultimi anni, sullo sfondo di un drastico aumento delle minacce e degli incidenti. Il numero di prodotti informativi della CERT-UE, in particolare le segnalazioni e le note relative alle minacce, è cresciuto costantemente (figura 8). Nel 2020, la CERT-UE ha emesso 171 note di minaccia e 53 segnalazioni di minacce (molto più delle 80 note e 40 segnalazioni inizialmente previste).
79 La CERT-UE sostiene inoltre gli EUIBA nella gestione degli incidenti informatici. Mentre il 52 % degli EUIBA dispone di una squadra di risposta interna o almeno di un coordinatore degli incidenti, il restante 48 % si affida alla CERT-UE e/o ad altri fornitori esterni in caso di incidente. Tuttavia, anche i grandi EUIBA con capacità di risposta interna possono richiedere il sostegno della CERT-UE per far fronte a incidenti complessi.
80 Il numero totale di incidenti gestiti dalla CERT-UE è passato da 561 nel 2019 a 884 nel 2020. Gli incidenti significativi, in particolare, sono aumentati da appena 1 nel 2018 a 13 nel 2020. Nel 2021, il numero di incidenti significativi ha raggiunto i 17, in crescita rispetto ai 13 del 2020, che era già stato un anno record. Questi incidenti significativi sono generalmente causati da minacce altamente sofisticate. Possono avere ripercussioni su più EUIBA, comportare contatti con le autorità e di solito le parti colpite e la CERT-UE necessitano di settimane o mesi di lavoro per indagare sugli incidenti e risolverli.
81 La CERT-UE è anche il principale fornitore di valutazioni proattive e test delle ciberdifese degli EUIBA. La figura 9 presenta una sintesi delle attività della CERT-UE in questo ambito. Inoltre, a partire dal 2020, la CERT-UE effettua anche scansioni di reti esterne.
Gli utenti non condividono tempestivamente le informazioni pertinenti con la CERT‑UE
82 L’accordo interistituzionale34 stabilisce che gli utenti notifichino alla CERT-UE gli incidenti di cibersicurezza significativi. Tuttavia, nella pratica ciò non sempre avviene. L’accordo non prevede un meccanismo per imporre la segnalazione obbligatoria e tempestiva degli incidenti “significativi” da parte degli utenti della CERT-UE. La definizione generica di “incidenti significativi” dell’accordo lascia alla discrezione degli EUIBA se segnalare o meno un incidente. Secondo la direzione della CERT-UE, alcuni utenti non hanno condiviso tempestivamente informazioni sugli incidenti significativi, ostacolando il ruolo della CERT-UE quale polo per lo scambio di informazioni sulla cibersicurezza e il coordinamento della risposta agli incidenti per tutti gli EUIBA. Ad esempio, un utente che si trovava ad affrontare una minaccia molto sofisticata non ha informato la CERT-UE né ne ha chiesto il sostegno. La CERT-UE non ha quindi potuto raccogliere informazioni di intelligence sulle minacce informatiche, che sarebbero state utili per aiutare altri utenti ad affrontare la stessa minaccia. Tale attacco ha avuto un impatto su almeno sei EUIBA.
83 Gli utenti non hanno inoltre condiviso attivamente con la CERT-UE informazioni tempestive “sulle minacce e le vulnerabilità in materia di cibersicurezza che li riguardano”, nonostante l’accordo interistituzionale35 lo richiedesse. Il team di informatica forense e di risposta agli incidenti della CERT-UE non ha ricevuto notifiche di vulnerabilità o di carenze nei controlli rilevate al di fuori del contesto degli incidenti sui quali sta indagando attivamente. Gli utenti non condividono proattivamente le constatazioni a tale riguardo risultanti dagli audit sulla sicurezza interni o esterni.
84 Inoltre, l’accordo interistituzionale non impone agli EUIBA di segnalare alla CERT-UE cambiamenti significativi nel loro ambiente informatico e, di conseguenza, gli utenti non hanno sistematicamente informato la CERT-UE di tali cambiamenti. Ad esempio, gli EUIBA non sempre informano la CERT-UE di eventuali modifiche del loro IP range (ossia l’elenco degli indirizzi Internet della loro infrastruttura). La CERT-UE necessita di gamme di IP aggiornate al fine, ad esempio, di effettuare scansioni quando vengono individuate gravi vulnerabilità. Il fatto che gli EUIBA non informino la CERT-UE di tali cambiamenti incide negativamente sulla capacità di quest’ultima di sostenerli. La mancata notifica alla CERT-UE non consente inoltre a quest’ultima di monitorare adeguatamente i sistemi e comporta più lavoro per correggere dati inesatti negli strumenti di monitoraggio. Secondo la sua direzione, la CERT-UE talvolta scopre infrastrutture informatiche precedentemente sconosciute quando ha a che fare con un incidente. Inoltre, al di là dei casi specifici, la CERT-UE non dispone attualmente di una panoramica completa dei sistemi informatici e delle reti della comunità degli EUIBA.
85 In assenza di un meccanismo che imponga il rispetto delle disposizioni dell’accordo interistituzionale, le notifiche da parte degli EUIBA alla CERT-UE – un elemento essenziale per la creazione di una comunità EUIBA di preparazione informatica incentrata sul CERT-UE – rimarranno non sistematiche.
Le risorse della CERT-UE non sono stabili e non sono commisurate all’attuale livello di minaccia
86 L’accordo interistituzionale36 dispone che “[i]l CERT-UE dovrebbe essere dotato di risorse finanziarie e umane sostenibili, garantendo nel contempo un buon rapporto costi-benefici e un nucleo adeguato di personale permanente […]”. La risorsa più importante della CERT-UE è il suo personale altamente qualificato e specializzato. La figura 10 mostra l’evoluzione dell’organico della CERT-UE dalla sua creazione nel 2011 ad oggi.
87 Oltre due terzi del personale della CERT-UE ha contratti temporanei. Le retribuzioni non sono molto competitive sul mercato degli esperti di cibersicurezza e, secondo la direzione della CERT-UE, è diventato sempre più difficile assumere e trattenere tali esperti. Quando le retribuzioni non sono sufficientemente attraenti per i candidati con molta esperienza, la CERT-UE deve ricorrere all’assunzione di personale senza o con poca esperienza e investire tempo nella formazione. Inoltre, i contratti hanno una durata massima di sei anni, il che significa che la CERT-UE non ha altra scelta che lasciare andar via agenti contrattuali al culmine della loro esperienza. L’avvicendamento del personale è stato particolarmente elevato nel 2020: il 21 % degli effettivi ha lasciato la CERT-UE e non si è riusciti a rimpiazzarli tutti. Per quanto riguarda gli anni precedenti, nel 2019 è andato via il 9 % del personale e nel 2018 il 13 %.
88 La direzione della CERT-UE ha sottolineato che, attualmente, il gruppo della CERT-UE per le scienze forensi digitali e la risposta agli incidenti informatici è spesso sottodimensionato e che gli altri suoi team non riescono a stare al passo con la domanda. Di conseguenza, la CERT-UE è stata costretta a ridimensionare le proprie attività. Ad esempio, attualmente, a causa della mancanza di risorse, non effettua valutazioni della maturità dei propri utenti. Il servizio di “segnalazioni di attività sospette” della CERT-UE è divenuto operativo più tardi del previsto, anche in questo caso a causa della carenza di risorse. Inoltre, diversi utenti interpellati dagli auditor della Corte hanno riferito delle lunghe attese necessarie per accedere ai servizi della CERT-UE.
89 I vincoli in termini di risorse hanno finora costretto la CERT-UE a concentrarsi in particolare sulla protezione delle infrastrutture informatiche convenzionali in situ dalle principali minacce provenienti da gruppi (generalmente sostenuti da Stati) che pongono minacce persistenti avanzate. Tuttavia, secondo la direzione della CERT-UE, l’ampliamento del perimetro informatico degli EUIBA (che adesso comprende il cloud, i dispositivi mobili e gli strumenti di telelavoro) richiede un monitoraggio e una protezione rafforzati, e anche le minacce di livello inferiore (come la criminalità informatica e i ransomware) richiedono maggiore attenzione.
90 L’accordo interistituzionale non prevede che la CERT-UE disponga di una capacità operativa ventiquattro ore al giorno, sette giorni su sette. La CERT-UE non dispone attualmente delle risorse né di norme adeguate in materia di risorse umane che consentano al personale di operare al di fuori dell’orario di lavoro su base permanente e strutturata, nonostante gli attacchi alla cibersicurezza non avvengano necessariamente durante tale orario. Ciò vale anche per gli EUIBA: solo 35 dei 65 interpellati dispongono di un informatico raggiungibile al di fuori dell’orario di lavoro.
91 Per finanziare le operazioni della CERT-UE, nel 2012 il comitato direttivo ha approvato un modello di accordo sul livello dei servizi (service level agreement – SLA). Tutti gli utenti ricevono gratuitamente servizi di base e possono pagare per acquistare servizi estesi, firmando un accordo di questo tipo. La dotazione finanziaria 2020 della CERT-UE ammontava a 3 745 000 euro, di cui il 6 % è stato finanziato dal bilancio dell’UE e il 94 % da SLA. Tuttavia, gli utenti sono molto diversi tra loro: alcuni hanno requisiti di sicurezza informatica maturi, mentre altri dispongono di bilanci modesti per l’informatica e di un livello di maturità molto basso in materia di cibersicurezza. Per questo motivo, le discussioni sugli SLA si traducono in una combinazione di requisiti di sicurezza elevati per alcuni EUIBA e di una relativa mancanza di volontà o capacità di contribuire da parte di altri.
92 Inoltre, gli SLA devono essere rinnovati uno ad uno ogni anno. Oltre a costituire un onere amministrativo, ciò crea problemi di flusso di cassa, in quanto la CERT-UE non dispone contemporaneamente dei fondi provenienti da tutti gli SLA. Per di più, le agenzie possono porre fine agli SLA in qualsiasi momento. Tale situazione rischia di avviare un circolo vizioso in cui, a causa della perdita di entrate, la CERT-UE deve ridimensionare i propri servizi e non può tenere il passo con la domanda, inducendo a sua volta altri EUIBA a porre fine agli SLA e a ricorrere a fornitori privati. Alla luce di queste considerazioni, l’attuale modello di finanziamento non è ideale per garantire un livello di servizio stabile e ottimale.
93 Di fronte alla rapida evoluzione del panorama delle minacce alla cibersicurezza (cfr. paragrafi 06 e 80), il comitato direttivo della CERT-UE, nella riunione del 19 febbraio 2020, ha approvato una proposta strategica per ampliare i servizi di cibersicurezza offerti dalla CERT-UE e sviluppare “piene capacità operative” [trad. della Corte]. La proposta era accompagnata da un’analisi del fabbisogno di personale e di finanziamenti per la CERT-UE. Tale analisi ha concluso che la CERT-UE necessiterebbe di 14 posti di amministratore permanente supplementari, aggiunti in misura incrementale nel periodo 2021‑2023. La CERT-UE opererebbe quindi a piena capacità a partire dal 2023. Secondo detta proposta, in termini di finanziamenti, la CERT-UE dovrebbe aumentare il proprio bilancio di 7,6 milioni di euro nel periodo 2021‑2023, fino a raggiungere 11,3 milioni di euro al 2024.
94 Tuttavia, nonostante abbiano approvato la proposta strategica su un aumento delle risorse per la CERT-UE, gli EUIBA non hanno ancora raggiunto un accordo sulle modalità pratiche, in primo luogo nel periodo transitorio 2021‑2023 e in secondo luogo nel lungo periodo, dopo l’entrata in vigore del futuro regolamento contenente norme comuni sulla cibersicurezza per tutti gli EUIBA (cfr. paragrafo 12).
Conclusioni e raccomandazioni
95 La Corte conclude che la comunità delle istituzioni, degli organi e delle agenzie dell’UE (EUIBA) non ha raggiunto in materia di sicurezza informatica un livello di preparazione commisurato alle minacce. Dal lavoro svolto dagli auditor della Corte emerge che gli EUIBA hanno diversi livelli di maturità in materia di cibersicurezza e che, essendo spesso interconnessi tra loro e con organizzazioni pubbliche e private negli Stati membri, le debolezze di un EUIBA in questo campo possono esporre molte altre organizzazioni a minacce informatiche.
96 La Corte ha riscontrato che le buone pratiche fondamentali in materia di cibersicurezza, compresi alcuni controlli essenziali, non vengono sempre attuate. Una sana governance della cibersicurezza è essenziale per la sicurezza delle informazioni e dei sistemi informatici, ma non è ancora operante in alcuni EUIBA: le strategie e i piani di sicurezza informatica sono in molti casi carenti o non sono sostenuti dall’alta dirigenza, le politiche di sicurezza non sono sempre formalizzate e le valutazioni dei rischi non coprono l’intero ambiente informatico. La spesa per la cibersicurezza è disomogenea: alcuni EUIBA spendono manifestamente meno rispetto ad altri di dimensioni simili (cfr. paragrafi 21-33 e 37-38).
97 I programmi di sensibilizzazione e formazione in materia di cibersicurezza costituiscono un elemento essenziale di un efficace quadro di cibersicurezza. Tuttavia, solo il 29 % degli EUIBA eroga una formazione obbligatoria in materia di cibersicurezza per i dirigenti responsabili dei sistemi informatici contenenti informazioni sensibili e la formazione offerta è spesso informale. Negli ultimi cinque anni, il 55 % degli EUIBA ha organizzato una o più simulazioni di phishing (o esercitazioni simili). Queste esercitazioni sono un importante strumento di formazione del personale e di sensibilizzazione, ma non tutti gli EUIBA le organizzano sistematicamente (cfr. paragrafi 34-36). Inoltre, non per tutti gli EUIBA la cibersicurezza è periodicamente soggetta a certificazioni indipendenti (cfr. paragrafi 39-44).
98 La CERT-UE è molto apprezzata dagli EUIBA ai quali fornisce i propri servizi, ma la sua capacità è sottodimensionata. Il carico di lavoro, in termini di intelligence sulle minacce e gestione degli incidenti, è in rapida crescita dal 2018. Gli incidenti significativi di cibersicurezza sono più che decuplicati. Allo stesso tempo, gli EUIBA non sempre condividono tempestivamente informazioni su incidenti significativi, vulnerabilità e cambiamenti importanti delle loro infrastrutture informatiche. Ciò compromette l’efficacia della CERT-UE, impedendole di avvertire gli altri EUIBA che potrebbero potenzialmente essere colpiti, e potrebbe far sì che molti incidenti passino inosservati. Inoltre, le risorse della CERT-UE non sono stabili e al momento non sono commisurate all’attuale livello delle minacce né ai bisogni degli EUIBA. Nel 2020, il comitato direttivo della CERT-UE ha approvato una proposta strategica su un aumento delle risorse, ma gli utenti non hanno ancora raggiunto un accordo sulle modalità pratiche per la messa a disposizione di tali risorse. Di conseguenza, il personale della CERT-UE non riesce a stare al passo con la domanda ed è costretto a ridimensionare le proprie attività (cfr. paragrafi 74-93).
Raccomandazione 1 – Migliorare la preparazione di tutti gli EUIBA in materia di cibersicurezza introducendo norme comuni vincolanti e aumentando le risorse della CERT-UE
Nella prossima proposta legislativa su misure per un livello comune elevato di cibersicurezza nell’Unione in tutti gli EUIBA, la Commissione dovrebbe includere i seguenti princìpi:
- l’alta dirigenza dovrebbe assumersi la responsabilità della governance della cibersicurezza approvando strategie in tale ambito e le principali politiche di sicurezza nonché nominando un responsabile-capo della sicurezza delle informazioni (o una persona con mansioni equivalenti) che goda di indipendenza;
- gli EUIBA dovrebbero disporre di un quadro di gestione dei rischi per la sicurezza informatica che copra l’intera infrastruttura informatica e dovrebbero effettuare valutazioni periodiche dei rischi;
- gli EUIBA dovrebbero fornire una formazione sistematica di sensibilizzazione a tutto il personale, compresa la dirigenza;
- gli EUIBA dovrebbero eseguire audit e test periodici delle loro ciberdifese; gli audit dovrebbero riguardare anche l’adeguatezza delle risorse dedicate alla cibersicurezza;
- gli EUIBA dovrebbero segnalare senza indugio alla CERT-UE gli incidenti significativi di cibersicurezza e le pertinenti modifiche e vulnerabilità riguardanti la loro infrastruttura informatica;
- Gli EUIBA dovrebbero aumentare nei propri bilanci le risorse da destinare alla CERT-UE, in linea con i bisogni individuati nella proposta strategica approvata dal suo comitato direttivo;
- La normativa proposta dovrebbe includere disposizioni per nominare una entità, rappresentativa di tutti gli EUIBA, dotata di uno specifico mandato e di specifici mezzi per monitorare la conformità di tutti gli EUIBA alle norme comuni di cibersicurezza nonché per emanare orientamenti, raccomandazioni ed inviti ad intraprendere azioni.
Termine di attuazione: 1° trimestre 2023
99 Gli EUIBA hanno istituito meccanismi di cooperazione nel settore della cibersicurezza, ma la Corte ha rilevato che le potenziali sinergie non sono pienamente sfruttate. Esiste una struttura formalizzata per lo scambio di informazioni, con attori e comitati che svolgono ruoli complementari. Tuttavia, la partecipazione a forum interistituzionali da parte degli EUIBA più piccoli è ostacolata da risorse limitate e la rappresentanza delle agenzie decentrate e delle imprese comuni nel comitato direttivo della CERT-UE non è ottimale. La Corte ha altresì rilevato che gli EUIBA non condividono sistematicamente tra loro informazioni su progetti connessi alla cibersicurezza, su valutazioni della sicurezza e su altri contratti per servizi. Tale situazione può provocare una duplicazione degli sforzi e un aumento dei costi. La Corte ha osservato difficoltà operative nello scambio di informazioni sensibili non classificate, tramite posta elettronica criptata o in videoconferenza, a causa della scarsa interoperabilità tra soluzioni informatiche, di linee-guida incoerenti sull’uso consentito di tali strumenti e della mancanza di norme comuni per contrassegnare e trattare le informazioni (cfr. paragrafi 45-63).
Raccomandazione 2 – Promuovere ulteriori sinergie tra gli EUIBA in determinati settori
La Commissione, nel contesto del Comitato interistituzionale per la trasformazione digitale, dovrebbe promuovere le seguenti azioni tra gli EUIBA:
- adottare soluzioni per l’interoperabilità di canali di comunicazione sicuri, dalla posta elettronica criptata alla videoconferenza, e promuovere contrassegni comuni e norme comuni per il trattamento delle informazioni sensibili non classificate;
- condividere sistematicamente informazioni sui progetti connessi alla cibersicurezza con un potenziale impatto interistituzionale, sulle valutazioni della sicurezza effettuate sul software e sui contratti in vigore conclusi con fornitori esterni;
- definire specifiche per appalti comuni e contratti-quadro per i servizi di cibersicurezza ai quali tutti gli EUIBA possano partecipare per promuovere economie di scala.
Termine di attuazione: 4° trimestre 2023
100 L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) e la CERT-UE sono le due principali entità incaricate di sostenere gli EUIBA in materia di cibersicurezza. Tuttavia, a causa delle risorse limitate e della priorità attribuita ad altri ambiti, non sono state in grado di fornire agli EUIBA tutto il sostegno di cui necessitano, in particolare per quanto riguarda lo sviluppo di capacità per gli EUIBA meno maturi in materia di cibersicurezza (cfr. paragrafi 64-93).
Raccomandazione 3 – Aumentare l’attenzione della CERT-UE e dell’ENISA sugli EUIBA meno maturi
La CERT-UE e l’ENISA dovrebbero:
- individuare i settori prioritari nei quali gli EUIBA necessitano maggiormente di sostegno, ad esempio tramite valutazioni della maturità;
- attuare azioni di sviluppo di capacità, in linea con il rispettivo memorandum d’intesa.
Termine di attuazione: 4° trimestre 2022
La presente relazione è stata adottata dalla Sezione III, presieduta da Bettina Jakobsen, Membro della Corte dei conti europea, a Lussemburgo il 22 febbraio 2022.
Per la Corte dei conti europea
Klaus-Heiner Lehne
Presidente
Allegati
Allegato I – Elenco degli EUIBA interpellati
Denominazione dell’EUIBA | Tipo |
---|---|
Parlamento europeo (PE) | Istituzione (art. 13, paragrafo 1, TUE) |
Consiglio dell’Unione europea e Consiglio europeo (SGC) | Istituzione (art. 13, paragrafo 1, TUE) |
Commissione europea (CE) | Istituzione (art. 13, paragrafo 1, TUE) |
Corte di giustizia dell’Unione europea (CGUE) | Istituzione (art. 13, paragrafo 1, TUE) |
Banca centrale europea (BCE) | Istituzione (art. 13, paragrafo 1, TUE) |
Corte dei conti europea | Istituzione (art. 13, paragrafo 1, TUE) |
Servizio europeo per l’azione esterna (SEAE) | Organo (art. 27, paragrafo 3, TUE) |
Comitato economico e sociale europeo (CESE) / Comitato europeo delle regioni (CdR)37 | Organi (art. 13, paragrafo 4, TUE) |
Banca europea per gli investimenti (BEI) | Organo (art. 308, TFUE) |
Autorità europea del lavoro (ELA) | Agenzia decentrata |
Agenzia dell’Unione europea per la cooperazione fra i regolatori nazionali dell’energia (ACER) | Agenzia decentrata |
Agenzia di sostegno al BEREC (Ufficio BEREC) | Agenzia decentrata |
Ufficio comunitario delle varietà vegetali (UCVV) | Agenzia decentrata |
Agenzia europea per la sicurezza e la salute sul lavoro (EU-OSHA) | Agenzia decentrata |
Agenzia europea della guardia di frontiera e costiera (Frontex) | Agenzia decentrata |
Agenzia dell’Unione europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia (eu-LISA) | Agenzia decentrata |
Agenzia dell’Unione europea per l’asilo (EUAA) | Agenzia decentrata |
Agenzia dell’Unione europea per la sicurezza aerea (AESA) | Agenzia decentrata |
Autorità bancaria europea (ABE) | Agenzia decentrata |
Centro europeo per la prevenzione e il controllo delle malattie (ECDC) | Agenzia decentrata |
Centro europeo per lo sviluppo della formazione professionale (Cedefop) | Agenzia decentrata |
Agenzia europea per le sostanze chimiche (ECHA) | Agenzia decentrata |
Agenzia europea dell’ambiente (AEA) | Agenzia decentrata |
Agenzia europea di controllo della pesca (EFCA) | Agenzia decentrata |
Autorità europea per la sicurezza alimentare (EFSA) | Agenzia decentrata |
Fondazione europea per il miglioramento delle condizioni di vita e di lavoro (Eurofound) | Agenzia decentrata |
Agenzia dell’Unione europea per il programma spaziale [che sostituisce l’Agenzia del GNSS europeo (GSA)] (EUSPA) | Agenzia decentrata |
Istituto europeo per l’uguaglianza di genere (EIGE) | Agenzia decentrata |
Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) | Agenzia decentrata |
Agenzia europea per la sicurezza marittima (EMSA) | Agenzia decentrata |
Agenzia europea per i medicinali (EMA) | Agenzia decentrata |
Osservatorio europeo delle droghe e delle tossicodipendenze (EMCDDA) | Agenzia decentrata |
Agenzia dell’Unione europea per la cibersicurezza (ENISA) | Agenzia decentrata |
Agenzia dell’Unione europea per la formazione delle autorità di contrasto (CEPOL) | Agenzia decentrata |
Ufficio europeo di polizia (Europol) | Agenzia decentrata |
Agenzia dell’Unione europea per le ferrovie (ERA) | Agenzia decentrata |
Autorità europea degli strumenti finanziari e dei mercati (ESMA) | Agenzia decentrata |
Fondazione europea per la formazione (ETF) | Agenzia decentrata |
Agenzia dell’Unione europea per i diritti fondamentali (FRA) | Agenzia decentrata |
Ufficio dell’Unione europea per la proprietà intellettuale [noto come UAMI fino al 23 marzo 2016] (EUIPO) | Agenzia decentrata |
Comitato di risoluzione unico (SRB) | Agenzia decentrata |
Agenzia dell’Unione europea per la cooperazione giudiziaria penale (Eurojust) | Agenzia decentrata |
Centro di traduzione degli organismi dell’Unione europea (CdT) | Agenzia decentrata |
Procura europea (EPPO) | Agenzia decentrata |
Istituto europeo di innovazione e tecnologia (EIT) | Organismo creato nell’ambito della politica di ricerca e innovazione |
Impresa comune per la ricerca sulla gestione del traffico aereo nel cielo unico europeo (SESAR) | Impresa comune ai sensi del TFUE |
Impresa comune Componenti e sistemi elettronici per la leadership europea (ECSEL) | Impresa comune ai sensi del TFUE |
Impresa comune “Celle a combustibile e idrogeno 2” (FCH2) | Impresa comune ai sensi del TFUE |
Impresa comune per l’iniziativa in materia di medicinali innovativi 2 (IMI2) | Impresa comune ai sensi del TFUE |
Impresa comune Clean Sky 2 (Cleansky 2) | Impresa comune ai sensi del TFUE |
Impresa comune Bioindustrie (BBI) | Impresa comune ai sensi del TFUE |
Impresa comune Shift2Rail (S2R) | Impresa comune ai sensi del TFUE |
Impresa comune per il calcolo ad alte prestazioni europeo (EuroHPC) | Impresa comune ai sensi del TFUE |
Impresa comune europea per ITER e lo sviluppo dell’energia da fusione (Fusion for Energy, F4E) | Impresa comune ai sensi del TFUE |
Missione consultiva dell’Unione europea per la riforma del settore della sicurezza civile in Ucraina (EUAM Ucraina) | Missione civile (PESC) |
Missione dell’Unione europea di assistenza alla gestione integrata delle frontiere in Libia (EUBAM Libia) | Missione civile (PESC) |
Missione PSDC dell’Unione europea in Niger (EUCAP Sahel Niger) | Missione civile (PESC) |
Missione di vigilanza dell’Unione europea in Georgia (EUMM Georgia) | Missione civile (PESC) |
Missione di polizia dell’Unione europea per i territori palestinesi (EUPOL COPPS) | Missione civile (PESC) |
Missione consultiva dell’UE nella Repubblica centrafricana (EUAM Repubblica centrafricana) | Missione civile (PESC) |
Missione consultiva dell’Unione europea a sostegno della riforma del settore della sicurezza in Iraq (EUAM Iraq) | Missione civile (PESC) |
Missione dell’Unione europea di assistenza alle frontiere per il valico di Rafah (EU BAM Rafah) | Missione civile (PESC) |
Missione dell’Unione europea in ambito PSDC in Mali (EUCAP Sahel Mali) | Missione civile (PESC) |
Missione dell’Unione europea per lo sviluppo delle capacità in Somalia (EUCAP Somalia) | Missione civile (PESC) |
Missione dell’Unione europea sullo Stato di diritto in Kosovo (EULEX Kosovo) | Missione civile (PESC) |
Allegato II – Informazioni supplementari sui principali comitati interistituzionali
Comitato interistituzionale per la trasformazione digitale (ICDT)
L’ICDT è un forum per lo scambio di informazioni e la promozione della cooperazione in materia di tecnologie dell’informazione. È stato istituito nel maggio 2020 e sostituisce l’ex Comité Interinstitutionnel de l’Informatique (CII). L’ICDT è composto dai responsabili dei dipartimenti informatici degli EUIBA. Comprende un sottogruppo sulla cibersicurezza (CSSG dell’ICDT) il cui ruolo è promuovere la cooperazione tra gli EUIBA in materia di cibersicurezza e fungere da forum per lo scambio di informazioni.
Il potere decisionale dell’ICDT è limitato alle questioni che non incidono sul modo in cui le istituzioni svolgono la loro missione e non interferiscono con la governance all’interno di ciascuna istituzione. Per le decisioni che vanno al di là delle sue competenze, l’ICDT può rivolgere raccomandazioni al collegio dei segretari-generali delle istituzioni e degli organi dell’UE.
In base al mandato dell’ICDT, i suoi membri sono i rappresentanti di ogni istituzione e organo dell’UE più un rappresentante designato dalle agenzie dell’UE (ICTAC). L’ICDT è attualmente presieduto dal segretariato generale del Consiglio (SGC).
Sottogruppo dell’ICDT sulla cibersicurezza (CSSG dell’ICDT)
Il CSSG dell’ICDT, nella sua configurazione attuale, è stato istituito nel settembre 2020 in sostituzione del sottogruppo permanente di sicurezza dell’ex CII. Rispetto al suo predecessore, il CSSG dell’ICDT ha un approccio più strutturato, ambizioso e orientato ai risultati. Le sue attività sono svolte da task force (TF) che si riuniscono regolarmente e si concentrano su questioni comuni fondamentali:
- TF1 “Norme comuni, benchmarking e maturità”
- TF2 “Piattaforma di condivisione, metodi, strumenti e contratti”
- TF3 “Sicurezza del cloud”
- TF4 “Sviluppo di talenti per cibercompetenze”
- TF5 “Cibersensibilizzazione”
- TF6 “Sicurezza delle videoconferenze”
In base al mandato del CSSG, il suo segretariato è responsabile del monitoraggio periodico e della presentazione di relazioni sullo stato di avanzamento delle attività delle task force. Presenta periodiche relazioni al presidente e al vicepresidente del sottogruppo dell’ICDT sulla cibersicurezza, raccogliendo regolarmente contributi dai coordinatori delle task force. Alla fine di ogni anno, il CSSG deve inoltre presentare una relazione sintetica di attività.
Il CSSG dell’ICDT è attualmente presieduto dalla Commissione, con un rappresentante dell’ICTAC in qualità di vicepresidente. Sebbene il CSSG non abbia alcun potere decisionale, può raccomandare all’ICDT decisioni su questioni di pertinenza.
Rete delle agenzie
La rete delle agenzie dell’UE (EUAN) è una rete informale istituita dai direttori delle agenzie dell’UE nel 2012. Comprende attualmente 48 agenzie decentrate e imprese comuni dell’UE. La sua finalità è fornire una piattaforma di scambio e di cooperazione per i membri della Rete in ambiti di interesse comune. Il comitato consultivo sulle tecnologie dell’informazione e della comunicazione (ICTAC) è il sottogruppo dell’EUAN incaricato di promuovere la cooperazione nel settore delle TIC, compresa la cibersicurezza.
Comitato consultivo sulle tecnologie dell’informazione e della comunicazione (ICTAC)
L’ICTAC promuove la cooperazione tra le agenzie e le imprese comuni nel settore delle TIC. Mira a trovare soluzioni praticabili ed economiche a problemi comuni, a scambiare informazioni e, se del caso, ad adottare posizioni comuni. Secondo il mandato dell’ICTAC, le assemblee generali che riuniscono tutti i suoi membri si svolgono due volte all’anno. Si tengono inoltre periodiche riunioni mensili tra i rappresentanti dell’ICTAC presso le task force del CSSG, il rappresentante dell’ICTAC presso il CSSG e la “troika” dell’ICTAC. La troika è composta dai presidenti attuali, precedenti e futuri dell’ICTAC (ciascun presidente resta in carica per un anno). Il ruolo della troika consiste nel sostenere il presidente su tutte le questioni relative al suo ruolo, compresa la sua sostituzione, qualora le circostanze lo richiedano.
Acronimi e abbreviazioni
APT: minaccia persistente avanzata
CERT-UE: squadra di pronto intervento informatico delle EUIBA
CIS: sistema di comunicazione e informazione
CISO: responsabile-capo della sicurezza delle informazioni
CSIRT: gruppo di intervento per la sicurezza informatica in caso di incidente
CSSG dell’ICDT Sottocomitato per la cibersicurezza del Comitato interistituzionale per la trasformazione digitale
DG DIGIT: direzione generale dell’Informatica
DG HR: direzione generale Risorse umane e sicurezza
ENISA: Agenzia dell’Unione europea per la cibersicurezza
ETP: equivalente tempo pieno
EUAN: Rete delle agenzie dell’Unione europea
EUIBA: istituzioni, organi e agenzie dell’Unione europea
eu-LISA: Agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia
ICDT: Comitato interistituzionale per la trasformazione digitale
ICTAC: Comitato consultivo sulle tecnologie dell’informazione e della comunicazione
ISACA: Associazione per il controllo e l’audit dei sistemi informatici
ITCB: Comitato direttivo sulle tecnologie dell’informazione e sulla cibersicurezza
MoU: memorandum d’intesa
SLA: accordo sul livello dei servizi
TIC: tecnologie dell’informazione e della comunicazione
Glossario
Cibersicurezza: misure volte a proteggere le reti e le infrastrutture informatiche, e le informazioni in esse contenute, da minacce esterne.
Ciberspazio: ambiente mondiale online nel quale persone, software e servizi comunicano tramite reti di computer e altri dispositivi connessi.
Ciberspionaggio: l’atto o la pratica di ottenere segreti e informazioni da Internet, da reti o singoli computer senza che il detentore delle informazioni ne sia a conoscenza e abbia acconsentito.
Ingegneria sociale: nella sicurezza delle informazioni, manipolazione psicologica per indurre con l’inganno le vittime a fare qualcosa o a divulgare informazioni riservate.
Minaccia persistente avanzata: attacco con cui un utente non autorizzato accede a un sistema o a una rete per rubare dati sensibili e vi rimane per un lungo periodo di tempo.
Phishing: pratica consistente nell’inviare messaggi di posta elettronica, all’apparenza provenienti da un mittente fidato, allo scopo di indurre con l’inganno i destinatari a cliccare su link che diffondono malware o a condividere informazioni personali.
Red teaming: simulazione realistica degli attacchi informatici utilizzando l’elemento della sorpresa e tecniche recentemente osservate nel mondo reale, concentrandosi su obiettivi specifici attraverso molteplici linee di attacco.
Squadra di pronto intervento informatico degli EUIBA: polo di coordinamento dello scambio di informazioni e della risposta agli incidenti i cui clienti (“utenti”) sono le istituzioni, gli organi e le agenzie dell’UE.
Test di penetrazione: metodo per valutare la sicurezza di un sistema informatico tentando di violare i suoi dispositivi di sicurezza tramite strumenti e tecniche generalmente utilizzati dagli avversari.
Risposte della Commissione
Risposte della CERT-UE e dell’ENISA
Note
1 Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (“regolamento sulla cibersicurezza”).
3 Analisi della Corte dei conti europea n. 02/2019: “Le sfide insite in un’efficace politica dell’UE in materia di cibersicurezza (Documento di riflessione)”.
4 CERT-UE, Threat Landscape Report, giugno 2021.
5 Ibidem.
6 Ibidem.
7 Ibidem.
8 Cyberattack on EMA – update 6, 25.1.2021.
9 Relazione speciale 22/2020 della Corte dei conti europea, “Il futuro delle agenzie dell’UE: sono possibili una maggiore flessibilità e cooperazione”, paragrafo 01.
10 GU C 12 del 13.1.2018, pag. 1.
11 ENISA, Analisi delle minacce settoriali/tematiche – Panorama delle minacce analizzato dall’ENISA.
12 Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.
13 Proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, che abroga la direttiva (UE) 2016/1148.
16 ISACA, Certified Information System Auditor review manual, 2019.
17 Comunicazione alla Commissione, European Commission digital Strategy: A digitally transformed, user-focused and data-driven Commission, C(2018) 7118 final del 21.11.2018.
18 ISO/IEC standard 27000:2018, capitolo 5.
19 COBIT 5 for Information Security, sezione 4.2.
20 Cfr., ad esempio, ISO/IEC 27000:2018, sezione 4.5.
21 ENISA, Analisi delle minacce settoriali/tematiche – Panorama delle minacce analizzato dall’ENISA.
22 Insieme di controlli tratti dalCIS Controls 7.1, un quadro delle migliori pratiche curato dal Centre for Internet Security.
23 Attuazione del gruppo 1 di controlli del CIS (IG1).
24 ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.
25 Decisione (UE, Euratom) 2017/46 della Commissione, del 10 gennaio 2017, sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea.
26 Articolo 7 dell’accordo interistituzionale firmato il 20 dicembre 2017.
27 Commissione europea, The European Commission Cloud Strategy, 2019.
28 I compiti dell’ENISA sono elencati nel capo II (articoli 5-12) del regolamento (UE) 2019/881.
29 Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio; per i compiti dell’ENISA ai sensi di questo regolamento, cfr. articolo 3.
30 Articolo 6 del regolamento (UE) 2019/881.
31 Articolo 14 del regolamento sulla cibersicurezza.
32 Articolo 18 del regolamento sulla cibersicurezza.
33 Comunicato stampa della Commissione europea, “Un progetto pilota consente di rafforzare la sicurezza informatica delle istituzioni europee”.
34 Articolo 3, paragrafo 3, dell’accordo interistituzionale firmato il 20 dicembre 2017.
35 Articolo 3, paragrafo 2, dell’accordo interistituzionale.
36 Considerando 7 dell’accordo interistituzionale.
37 Il CESE e il CdR sono conteggiati come un unico EUIBA.
Per contattare la Corte
CORTE DEI CONTI EUROPEA
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG
Tel. +352 4398-1
Modulo di contatto: eca.europa.eu/it/Pages/ContactForm.aspx
Sito Internet: eca.europa.eu
Twitter: @EUAuditors
Numerose altre informazioni sull’Unione europea sono disponibili su Internet consultando il portale Europa (https://europa.eu).
Lussemburgo: Ufficio delle pubblicazioni dell’Unione europea, 2022
ISBN 978-92-847-7614-6 | ISSN 1977-5709 | doi:10.2865/450210 | QJ-AB-22-003-IT-N | |
HTML | ISBN 978-92-847-7600-9 | ISSN 1977-5709 | doi:10.2865/887554 | QJ-AB-22-003-IT-Q |
DIRITTI D’AUTORE
© Unione europea, 2022
La politica di riutilizzo della Corte dei conti europea è stabilita dalla decisione della Corte n. 6-2019 sulla politica di apertura dei dati e sul riutilizzo dei documenti.
Salvo indicazione contraria (ad esempio, in singoli avvisi sui diritti d’autore), il contenuto dei documenti della Corte di proprietà dell’UE è soggetto a licenza Creative Commons Attribuzione 4.0 Internazionale (CC BY 4.0). Ciò significa che ne è consentito il riutilizzo, a condizione di citare la fonte in maniera appropriata e di indicare le eventuali modifiche. Chiunque riutilizzi materiale della Corte non deve distorcerne il significato o il messaggio originari. La Corte dei conti europea non è responsabile delle eventuali conseguenze derivanti dal riutilizzo del proprio materiale.
Nel caso un contenuto specifico permetta di identificare privati cittadini, ad esempio nelle foto che ritraggono personale della Corte, o includa lavori di terzi, occorre richiedere una autorizzazione aggiuntiva.
Ove concessa, tale autorizzazione annulla quella generale sopra menzionata e indica chiaramente ogni eventuale restrizione dell’uso.
Per utilizzare o riprodurre contenuti non di proprietà dell’UE, può essere necessario richiedere un’autorizzazione direttamente ai titolari dei diritti.
Il software o i documenti coperti da diritti di proprietà industriale, come brevetti, marchi, disegni e modelli, loghi e nomi registrati, sono esclusi dalla politica di riutilizzo della Corte.
I siti Internet istituzionali dell’Unione europea, nell’ambito del dominio europa.eu, contengono link verso siti di terzi. Poiché esulano dal controllo della Corte, si consiglia di prender atto delle relative informative sulla privacy e sui diritti d’autore.
Uso del logo della Corte dei conti europea
Il logo della Corte dei conti europea non deve essere usato senza previo consenso della stessa.
Per contattare l’UE
Di persona
I centri di informazione Europe Direct sono centinaia, disseminati in tutta l’Unione europea. Potete trovare l’indirizzo del centro più vicino sul sito https://europa.eu/european-union/contact_it
Telefonicamente o per email
Europe Direct è un servizio che risponde alle vostre domande sull’Unione europea. Il servizio è contattabile:
- al numero verde: 00 800 6 7 8 9 10 11 (presso alcuni operatori queste chiamate possono essere a pagamento),
- al numero +32 22999696, oppure
- per e-mail dal sito https://europa.eu/european-union/contact_it
Per informarsi sull’UE
Online
Il portale Europa contiene informazioni sull’Unione europea in tutte le lingue ufficiali: https://europa.eu/european-union/index_it
Pubblicazioni dell’UE
È possibile scaricare o ordinare pubblicazioni dell’UE gratuite e a pagamento dal sito http://op.europa.eu/it/publications. Le pubblicazioni gratuite possono essere richieste in più esemplari contattando Europe Direct o un centro di informazione locale (cfr. https://europa.eu/european-union/contact_it).
Legislazione dell’UE e documenti correlati
La banca dati Eur-Lex contiene la totalità della legislazione UE dal 1951 in poi in tutte le versioni linguistiche ufficiali: http://eur-lex.europa.eu
Open Data dell’UE
Il portale Open Data dell’Unione europea (http://data.europa.eu/it) dà accesso a un’ampia serie di dati prodotti dall’Unione europea. I dati possono essere liberamente utilizzati e riutilizzati per fini commerciali e non commerciali.