Procedura : 2011/2284(INI)
Ciclo di vita in Aula
Ciclo del documento : A7-0167/2012

Testi presentati :

A7-0167/2012

Discussioni :

PV 11/06/2012 - 24
CRE 11/06/2012 - 24

Votazioni :

PV 12/06/2012 - 6.7
Dichiarazioni di voto
Dichiarazioni di voto

Testi approvati :

P7_TA(2012)0237

RELAZIONE     
PDF 201kDOC 126k
16 maggio 2012
PE 474.017v02-00 A7-0167/2012

sulla protezione delle infrastrutture critiche informatizzate – realizzazioni e prossime tappe: verso una sicurezza informatica mondiale

(2011/2284(INI))

Commissione per l'industria, la ricerca e l'energia

Relatore: Ivailo Kalfin

PROPOSTA DI RISOLUZIONE DEL PARLAMENTO EUROPEO
 MOTIVAZIONE
 PARERE della commissione per le libertà civili, la giustizia e gli affari interni
 ESITO DELLA VOTAZIONE FINALE IN COMMISSIONE

PROPOSTA DI RISOLUZIONE DEL PARLAMENTO EUROPEO

sulla protezione delle infrastrutture critiche informatizzate – realizzazioni e prossime tappe: verso una sicurezza informatica mondiale

(2011/2284(INI))

Il Parlamento europeo,

–   vista la sua risoluzione del 5 maggio 2010 dal titolo "Una nuova Agenda digitale per l'Europa: 2015.eu"(1),

–   vista la sua risoluzione del 15 giugno 2010 dal titolo "Governance di Internet: le prossime tappe(2),

–   vista la sua risoluzione del 6 luglio 2011 dal titolo "La banda larga in Europa: investire nella crescita indotta dalla tecnologia digitale"(3),

–   visto l'articolo 48 del suo regolamento,

–   visti la relazione della commissione per l'industria, la ricerca e l'energia e il parere della commissione per le libertà civili, la giustizia e gli affari interni (A7-0167/2012),

A. considerando che le tecnologie dell'informazione e della comunicazione (TIC) sono in grado di fornire appieno il loro potenziale per favorire lo sviluppo dell'economia e della società solo se gli utenti hanno fiducia nella sicurezza e nella resilienza delle stesse e se la legislazione vigente in merito a questioni quali la riservatezza dei dati e i diritti di proprietà intellettuale è applicata efficacemente nell'ambiente Internet;

B.  considerando che l'impatto di Internet e delle TIC sui diversi aspetti della vita dei cittadini sta aumentando rapidamente, e che essi rappresentano un motore fondamentale per l'interazione sociale, l'arricchimento culturale e la crescita economica;

C. considerando che la sicurezza delle TIC e di Internet costituisce un concetto ampio, che incide globalmente sugli aspetti economici, sociali, tecnologici e militari e richiede una chiara definizione e differenziazione delle responsabilità nonché un solido meccanismo di cooperazione internazionale;

D. considerando che l'obiettivo dell'iniziativa faro "Agenda digitale" dell'UE è rafforzare la competitività dell'Europa, sulla base del consolidamento delle TIC, e creare le condizioni per una crescita elevata e solida e per posti di lavoro basati sulla tecnologia;

E.  considerando che il settore privato resta il principale investitore in prodotti, servizi, applicazioni e infrastrutture nel campo della sicurezza dell'informazione come pure il loro principale proprietario e gestore, con miliardi di euro di investimenti nell'ultimo decennio; che tale coinvolgimento dovrebbe essere rinsaldato mediante adeguate strategie politiche volte a promuovere la resilienza delle infrastrutture pubbliche, private, oppure di proprietà o in gestione pubblico-privata;

F.  considerando che lo sviluppo di un alto livello di sicurezza e resilienza nelle reti, nei servizi e nelle tecnologie TIC dovrebbe accrescere la competitività dell'economia dell'Unione, sia migliorando l'analisi e la gestione del rischio cibernetico sia fornendo all'economia dell'UE in generale infrastrutture informatizzate più solide per promuovere l'innovazione e la crescita, creando nuove opportunità per permettere alle imprese di diventare più produttive;

G. considerando che i dati di carattere giudiziario disponibili relativi alla criminalità informatica (riguardanti gli attacchi cibernetici ma anche altri tipi di reati online) indicano un forte aumento di tali reati in diversi paesi europei; che tuttavia i dati statisticamente rappresentativi riguardanti gli attacchi cibernetici, forniti dalle forze dell'ordine e dalla comunità dei CERT (computer emergency response team), sono ancora limitati e in futuro sarà necessaria una loro migliore aggregazione, che consenta una reazione più efficace da parte delle forze dell'ordine dell'UE e risposte legislative maggiormente informate alle minacce informatiche in continua evoluzione;

H. considerando che un livello adeguato di sicurezza dell'informazione è di fondamentale importanza ai fini della solida espansione dei servizi basati su Internet;

I.   considerando che i recenti incidenti informatici, le perturbazioni e gli attacchi ai danni delle infrastrutture informatizzate delle istituzioni, dell'industria e degli Stati membri dell'UE hanno evidenziato l'esigenza di creare un sistema solido, innovativo ed efficace per la protezione delle infrastrutture critiche informatizzate (CIIP) basato sulla piena cooperazione internazionale e su norme minime in materia di resilienza negli Stati membri;

J.   considerando che, alla luce del rapido sviluppo delle nuove potenzialità delle TIC, come il cloud computing, è necessario prestare particolare attenzione alla sicurezza per poter trarre il massimo vantaggio dai benefici dell'avanzamento tecnologico;

K. considerando che il Parlamento europeo ha ripetutamente insistito sull'applicazione di norme elevate in materia di riservatezza e protezione dei dati, neutralità della rete e protezione dei diritti di proprietà intellettuale;

I. Misure atte a rafforzare la CIIP a livello nazionale e di Unione

1.  valuta positivamente l'attuazione da parte degli Stati membri del programma europeo per la CIIP, compresa la creazione della rete informativa di allarme sulle infrastrutture critiche (CIWIN);

2.  ritiene che gli sforzi volti a proteggere le infrastrutture critiche informatizzate non solo accresceranno la sicurezza complessiva dei cittadini, ma miglioreranno anche la percezione che essi hanno della sicurezza e la loro fiducia nelle misure adottate dal governo per proteggerli;

3.  constata che la Commissione sta valutando di rivedere la direttiva 2008/114/CE(4) del Consiglio e chiede che vengano forniti dati circa l'efficacia e l'impatto di tale direttiva prima di intraprendere altre iniziative; chiede che venga considerata la possibilità di ampliare il suo ambito di applicazione, in particolare includendo il settore delle TIC e i servizi finanziari; chiede inoltre che si tenga conto di settori quali la sanità, i sistemi per l'approvvigionamento alimentare e idrico, la ricerca e l'industria nucleari (laddove questi non siano oggetto di disposizioni specifiche); ritiene che questi settori debbano altresì beneficiare dell'approccio intersettoriale adottato nell'ambito della CIWIN (basato sulla cooperazione, su un sistema di allarme e sullo scambio delle migliori prassi);

4.  sottolinea l'importanza di creare e garantire un'integrazione durevole della ricerca europea per mantenere e potenziare l'eccellenza europea nel settore della CIIP;

5.  chiede, in considerazione della natura interconnessa ed estremamente interdipendente, sensibile, strategica e vulnerabile delle infrastrutture critiche informatizzate nazionali ed europee, che venga effettuato un aggiornamento regolare delle norme minime in materia di resilienza per assicurare la preparazione e la capacità di reazione in caso di perturbazioni, incidenti, tentativi di distruzione o attacchi quali quelli risultanti da infrastrutture non sufficientemente solide o terminali non sufficientemente sicuri;

6.  sottolinea l'importanza delle norme e dei protocolli di sicurezza dell'informazione e plaude al mandato conferito nel 2011 al CEN, al CENELEC e all'ETSI per l'istituzione di norme di sicurezza;

7.  si attende che i proprietari e gli operatori delle infrastrutture critiche informatizzate consentano agli utenti di impiegare i mezzi appropriati per proteggersi da attacchi e/o interruzioni dolosi e li assistano mediante vigilanza umana e automatizzata, ove necessario;

8.  sostiene la cooperazione a livello dell'Unione tra le parti interessate del settore pubblico e privato e ne incoraggia gli sforzi volti a definire e attuare norme in materia di sicurezza e resilienza per le infrastrutture critiche informatizzate civili nazionali ed europee (che siano pubbliche, private o miste);

9.  sottolinea l'importanza di esercitazioni paneuropee per prepararsi ad incidenti di ampia portata che incidono sulla sicurezza delle reti, e della definizione di un'unica serie di criteri per valutare la minaccia;

10. chiede alla Commissione, in cooperazione con gli Stati membri, di valutare l'attuazione del piano d'azione CIIP; esorta gli Stati membri a istituire CERT nazionali o governativi efficienti, a sviluppare strategie nazionali in materia di sicurezza informatica, a organizzare esercitazioni periodiche di incidenti informatici a livello nazionale e paneuropeo, a elaborare piani di emergenza nazionali in caso di incidenti informatici e a contribuire all'elaborazione di un piano di emergenza europeo in caso di incidenti informatici entro la fine del 2012;

11. raccomanda che vengano disposti piani di sicurezza per gli operatori o misure equivalenti per tutte le infrastrutture critiche informatizzate europee e che vengano nominati funzionari di collegamento in materia di sicurezza;

12. accoglie con favore l'attuale revisione della decisione quadro 2005/222/GAI(5) del Consiglio relativa agli attacchi contro i sistemi di informazione; rileva la necessità di coordinare gli sforzi dell'UE nella lotta agli attacchi cibernetici su larga scala, attraverso l'inclusione delle competenze dell'ENISA, dei CERT degli Stati membri e del futuro CERT europeo;

13. ritiene che l'ENISA possa svolgere un ruolo cruciale a livello europeo per la protezione delle infrastrutture critiche informatizzate, mettendo a disposizione competenza tecnica agli Stati membri nonché alle istituzioni e agli organismi dell'Unione europea, oltre a relazioni e analisi concernenti la sicurezza dei sistemi d'informazione a livello europeo e globale;

II. Altre attività dell'UE per una solida sicurezza di Internet

14. esorta l'ENISA a coordinare e a mettere in atto, con cadenza annuale, mesi dedicati alla sensibilizzazione sulla sicurezza di Internet nell'UE, in modo che le questioni relative alla sicurezza informatica diventino oggetto di un'attenzione particolare da parte degli Stati membri e dei cittadini dell'Unione;

15. sostiene l'ENISA, in conformità con gli obiettivi dell'agenda digitale, nell'esercizio delle sue funzioni relative alla sicurezza delle reti d'informazione, in particolare attraverso la fornitura di orientamenti e consulenza agli Stati membri circa la modalità di sviluppo delle capacità di base dei propri CERT e il sostegno allo scambio delle migliori prassi mediante la promozione di un clima di fiducia; invita l'agenzia a consultare le parti interessate competenti al fine di individuare misure di sicurezza informatica simili per i proprietari e gli operatori delle reti e delle infrastrutture private, come pure ad assistere la Commissione e gli Stati membri nel contribuire allo sviluppo e alla diffusione di sistemi di certificazione della sicurezza dell'informazione, di norme comportamentali e di pratiche di cooperazione tra i CERT nazionali e quello europeo e i proprietari/operatori delle infrastrutture, ove necessario, attraverso la definizione di requisiti comuni minimi tecnologicamente neutrali;

16. accoglie con favore l'attuale proposta di rivedere il mandato dell'ENISA, in particolare la sua estensione, e di ampliare i compiti dell'agenzia; ritiene che l'ENISA, oltre a fornire assistenza agli Stati membri attraverso la fornitura di competenza e analisi, dovrebbe poter gestire diversi compiti esecutivi, sia a livello di UE sia in cooperazione con le rispettive controparti negli Stati Uniti, relativi alla prevenzione e al rilevamento di incidenti legati alla sicurezza delle reti e dell'informazione e volti a migliorare la cooperazione tra gli Stati membri; fa notare che, nel quadro del regolamento ENISA, all'agenzia potrebbero inoltre essere affidati compiti aggiuntivi inerenti alla risposta agli attacchi a Internet, in modo da apportare un chiaro valore aggiunto agli esistenti meccanismi di risposta nazionali;

17. accoglie con favore i risultati delle esercitazioni paneuropee per la sicurezza informatica del 2010 e 2011, condotte in tutta l'Unione e monitorate dall'ENISA, il cui obiettivo era assistere gli Stati membri nella progettazione, nel mantenimento e nella verifica di un piano di emergenza paneuropeo; invita l'ENISA a mantenere tali esercitazioni nel suo programma e, se del caso, a coinvolgere progressivamente i relativi operatori privati, al fine di accrescere le capacità complessive europee in termini di sicurezza di Internet; auspica un ulteriore ampliamento internazionale con partner che condividono lo stesso approccio;

18. invita gli Stati membri a elaborare piani di emergenza nazionali in caso di incidenti informatici e a prevedere elementi chiave, quali punti di contatto pertinenti, la fornitura di assistenza, il contenimento e la riparazione in caso di perturbazioni o attacchi informatici di portata regionale, nazionale o transfrontaliera; osserva che gli Stati membri dovrebbero inoltre sviluppare adeguati meccanismi e strutture di coordinamento a livello nazionale volti a garantire un migliore coordinamento tra le autorità nazionali competenti e a rendere le loro azioni più coerenti;

19. suggerisce che la Commissione proponga, attraverso il piano di emergenza UE in caso di incidenti informatici, misure vincolanti finalizzate a un migliore coordinamento a livello di UE delle funzioni tecniche e di comando dei CERT nazionali e governativi;

20. invita la Commissione e gli Stati membri ad adottare le misure necessarie al fine di proteggere le infrastrutture critiche da attacchi cibernetici e a fornire le modalità per bloccare ermeticamente l'accesso a un'infrastruttura critica nel caso in cui un attacco cibernetico diretto ne minacci gravemente il corretto funzionamento;

21. auspica una piena attuazione del CERT dell'UE, che rappresenterà un fattore fondamentale per la prevenzione e il rilevamento di attacchi cibernetici intenzionali e dolosi nei confronti delle istituzioni dell'UE, la risposta ad essi e la successiva ripresa;

22. raccomanda alla Commissione di proporre misure vincolanti volte a imporre norme minime in materia di sicurezza e resilienza e a migliorare il coordinamento tra i CERT nazionali;

23. invita gli Stati membri e le istituzioni dell'UE a garantire l'esistenza di CERT efficienti, caratterizzati da capacità di sicurezza e di resilienza minime basate sulle migliori prassi concordate; sottolinea che i CERT nazionali dovrebbero far parte di una rete efficace, all'interno della quale lo scambio di informazioni avviene in conformità delle necessarie norme di riservatezza; chiede l'istituzione di un servizio CIIP sempre attivo per tutti gli Stati membri, nonché la definizione di un protocollo di emergenza comune europeo applicabile tra i punti di contatto nazionali;

24. sottolinea che la creazione di un clima di fiducia e la promozione della cooperazione tra gli Stati membri è fondamentale per proteggere i dati, le reti e le infrastrutture nazionali; invita la Commissione a suggerire una procedura comune per l'individuazione e l'elaborazione di un approccio congiunto volto ad affrontare le minacce alle TIC di portata transfrontaliera, tenendo conto del fatto che gli Stati membri dovrebbero fornire alla Commissione informazioni generali concernenti i rischi e le minacce per le loro infrastrutture critiche informatizzate nonché le vulnerabilità delle stesse;

25. plaude all'iniziativa della Commissione tesa a sviluppare entro il 2013 un sistema europeo di condivisione delle informazioni e di allarme;

26. valuta positivamente le varie consultazioni con le parti interessate avviate dalla Commissione in merito alla sicurezza di Internet e alla CIIP, quale il partenariato pubblico-privato europeo per la resilienza; riconosce il già significativo coinvolgimento e l'impegno dei fornitori delle TIC in tali attività ed esorta la Commissione a compiere ulteriori sforzi per incoraggiare il mondo accademico e le associazioni degli utenti delle TIC a svolgere un ruolo più attivo, nonché a promuovere un dialogo costruttivo tra le parti interessate sulle questioni riguardanti la sicurezza informatica; sostiene un ulteriore sviluppo dell'assemblea sul digitale quale quadro per la gestione della CIIP;

27. si compiace del lavoro compiuto finora dal Forum europeo degli Stati membri per quanto concerne la definizione di criteri specifici del settore volti a individuare le infrastrutture critiche europee, con particolare riguardo alle comunicazioni fisse e mobili, nonché l'esame dei principi e delle linee guida dell'UE per la resilienza e la stabilità di Internet; auspica che si prosegua con la formazione del consenso negli Stati membri e, a tale proposito, incoraggia il Forum a integrare nell'approccio attuale, basato su infrastrutture materiali, sforzi volti a includere anche elementi infrastrutturali logici, i quali, con lo sviluppo della virtualizzazione e delle tecnologie cloud, acquisiranno un'importanza crescente per l'efficacia della CIIP;

28. suggerisce che la Commissione lanci un'iniziativa educativa pubblica paneuropea, volta a educare e sensibilizzare gli utenti finali privati e le imprese sulle possibili minacce a Internet e alle apparecchiature fisse e mobili delle TIC a ogni livello della filiera e a promuovere comportamenti più sicuri da parte dei singoli durante le attività online; rammenta a tale proposito i rischi legati ad attrezzature informatiche e software obsoleti;

29. invita gli Stati membri, con il sostegno della Commissione, a consolidare i programmi di istruzione e formazione sulla sicurezza dell'informazione, destinati alle autorità di polizia e giudiziarie nazionali e alle pertinenti agenzie dell'UE;

30. sostiene la creazione di un curriculum UE per gli esperti accademici nel settore della sicurezza dell'informazione, in quanto ciò avrebbe un impatto positivo sulla competenza e sulla preparazione dell'Unione alla luce della continua evoluzione del ciberspazio e delle minacce nei suoi confronti;

31. auspica la promozione dell'istruzione sulla sicurezza informatica (tirocini per dottorandi, corsi universitari, laboratori, formazione per studenti, ecc...) e delle attività di formazione specializzata in materia di CIIP;

32. invita la Commissione a proporre, entro la fine del 2012, una strategia globale dell'UE per la sicurezza di Internet basata su una terminologia chiara; è del parere che l'obiettivo della strategia per la sicurezza di Internet debba essere quello di creare un ciberspazio (sostenuto da un'infrastruttura sicura e resiliente e da norme aperte) che favorisca l'innovazione e la prosperità attraverso il libero flusso di informazioni e garantisca contestualmente una solida protezione della vita privata e delle altre libertà civili; ritiene che la strategia debba riportare in dettaglio i principi, gli obiettivi, i metodi, gli strumenti e le politiche (sia interni sia esterni) necessari a ottimizzare gli sforzi a livello nazionale e di UE, e stabilire norme minime di resilienza tra gli Stati membri, al fine di garantire un servizio sicuro, continuo, solido e resiliente, con riferimento sia alle infrastrutture critiche sia a un uso generico di Internet;

33. sottolinea che la prossima strategia per la sicurezza di Internet della Commissione dovrebbe prendere il lavoro sulla CIIP quale punto centrale di riferimento e mirare a un approccio olistico e sistematico finalizzato alla sicurezza informatica, includendo sia misure proattive, quali l'introduzione di norme minime per le misure di sicurezza o la formazione di singoli utenti, imprese e istituzioni pubbliche, sia misure reattive, quali sanzioni penali, civili e amministrative;

34. invita la Commissione a proporre un solido meccanismo atto a coordinare l'attuazione e il regolare aggiornamento della strategia per la sicurezza di Internet; ritiene che tale meccanismo debba essere sostenuto da sufficienti risorse amministrative, tematiche e finanziarie e che il suo compito debba essere quello di agevolare la definizione della posizione dell'UE nei confronti delle parti interessate interne e internazionali sulle questioni relative alla sicurezza di Internet;

35. invita la Commissione a proporre un quadro UE per la comunicazione delle violazioni della sicurezza nei settori critici quali quello dell'energia, dei trasporti, dell'approvvigionamento alimentare e idrico nonché delle TIC e dei servizi finanziari, al fine di garantire che le autorità pertinenti degli Stati membri e gli utenti siano informati su incidenti, attacchi e perturbazioni di natura cibernetica;

36. invita la Commissione a migliorare la disponibilità di dati statisticamente rappresentativi riguardanti i costi degli attacchi cibernetici nell'UE, negli Stati membri e nell'industria (in particolare nei settori dei servizi finanziari e delle TIC) accrescendo le capacità di raccolta dati del futuro centro europeo per la criminalità informatica (la cui istituzione è prevista entro il 2013), dei CERT e di altre iniziative della Commissione, quale il sistema europeo di condivisione delle informazioni e di allarme, in modo da garantire la comunicazione e condivisione sistematica dei dati relativi agli attacchi cibernetici e ad altre forme di criminalità informatica di cui sono vittime l'industria europea e gli Stati membri e assicurare una più efficace applicazione della legge;

37. auspica un rapporto e un'interazione stretti tra i settori privati ​​nazionali e l'ENISA per interfacciare i CERT nazionali/governativi con lo sviluppo del sistema europeo di condivisione delle informazioni e di allarme (EISAS);

38. precisa che il principale fattore trainante dello sviluppo e dell'uso delle tecnologie progettate per incrementare la sicurezza di Internet è rappresentato dal settore delle TIC; ricorda che le politiche dell'Unione devono evitare di ostacolare la crescita dell'economia europea basata su Internet e includere gli incentivi necessari al fine di sfruttare al massimo le potenzialità delle imprese e dei partenariati pubblico-privato; raccomanda di individuare ulteriori incentivi destinati all'industria per l'elaborazione di piani più solidi per la sicurezza degli operatori, conformemente a quanto previsto dalla direttiva 2008/114/CE;

39. invita la Commissione a presentare una proposta legislativa per criminalizzare ulteriormente gli attacchi cibernetici (spear phishing, frodi online, ecc.);

III. Cooperazione internazionale

40. ricorda che la cooperazione internazionale costituisce lo strumento principale per introdurre misure efficaci per la sicurezza informatica; riconosce che attualmente l'UE non è coinvolta attivamente, su base continuativa, in dialoghi e processi di cooperazione internazionale relativi alla sicurezza informatica; invita la Commissione e il Servizio europeo per l'azione esterna (SEAE) ad avviare un dialogo costruttivo con tutti i paesi che condividono la stessa visione, al fine di sviluppare un approccio e politiche comuni volti a migliorare la resilienza di Internet e delle infrastrutture critiche; sostiene che, allo stesso tempo, l'UE dovrebbe includere, su base permanente, le questioni legate alla sicurezza di Internet nel quadro delle sue relazioni esterne, anche nel corso dell'elaborazione dei vari strumenti finanziari o nel momento in cui si impegna in accordi internazionali che prevedono lo scambio e la conservazione di dati sensibili;

41. prende atto degli esiti positivi della convenzione del Consiglio d'Europa sulla criminalità informatica firmata a Budapest nel 2001; sottolinea, tuttavia, che il SEAE dovrebbe incoraggiare un maggior numero di paesi a sottoscrivere e ratificare la convenzione e, contestualmente, redigere accordi bilaterali e multilaterali in materia di sicurezza di Internet e resilienza con partner internazionali che condividono la stessa visione;

42. rileva che il vasto numero di attività in corso svolte da diverse istituzioni, organismi e agenzie internazionali e dell'UE, così come dagli Stati membri, richiede un coordinamento allo scopo di evitare duplicazioni, motivo per cui è opportuno considerare la designazione di un funzionario responsabile per il coordinamento, possibilmente attraverso la nomina di un coordinatore della sicurezza informatica dell'UE;

43. sottolinea che il dialogo strutturato tra i principali operatori e legislatori dell'UE e degli Stati Uniti coinvolti nella protezione delle infrastrutture critiche informatizzate riveste una particolare importanza ai fini della comprensione comune e interpretazioni e posizioni comuni in materia di quadri giuridici e di governance;

44. valuta positivamente la creazione, in occasione del vertice Unione europea-Stati Uniti del novembre 2010, del gruppo di lavoro UE-USA sulla sicurezza informatica e sui reati informatici e sostiene i suoi sforzi volti a includere le questioni concernenti la sicurezza di Internet nel dialogo politico transatlantico; accoglie con favore la creazione congiunta da parte della Commissione e del governo USA, sotto l'egida del gruppo di lavoro UE-USA, di un programma e una tabella di marcia comuni relativi all'organizzazione nel 2012/2013 di esercitazioni transcontinentali comuni/sincronizzate nel settore della sicurezza informatica;

45. suggerisce di stabilire un dialogo strutturato tra i legislatori dell'UE e degli Stati Uniti, al fine di esaminare le questioni legate a Internet nell'ambito della ricerca di un approccio, di un'interpretazione e di posizioni comuni;

46. sollecita il SEAE e la Commissione, sulla base del lavoro svolto dal Forum europeo degli Stati membri, a svolgere un ruolo attivo nell'ambito dei consessi internazionali pertinenti, in particolare coordinando le posizioni degli Stati membri, con l'intento di promuovere i valori fondamentali, gli obiettivi e le politiche dell'UE nel settore della sicurezza di Internet e della resilienza; osserva che tra tali consessi si annoverano la NATO, l'ONU (in particolare attraverso l'Unione internazionale delle telecomunicazioni e il Forum sulla governance di Internet), la Corporazione Internet per i nomi e i numeri assegnati, l'Autorità per l'assegnazione dei numeri per Internet, l'OSCE, l'OCSE e la Banca mondiale;

47. incoraggia la Commissione e l'ENISA a partecipare ai principali dialoghi con le parti interessate, al fine di individuare disposizioni tecniche e giuridiche sul ciberspazio a livello internazionale;

48. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione.

(1)

GU C 81 E del 15.3.2011, pag. 45.

(2)

GU C 236 E del 12.8.2011, pag. 33.

(3)

Testi approvati, P7_TA(2011)0322.

(4)

GU L 345 del 23.12.2008, pag. 75.

(5)

GU L 69 del 16.3.2005, pag. 67.


MOTIVAZIONE

La tecnologia ricopre un ruolo sempre più rilevante in tutte le nostre attività quotidiane, dalla comunicazione alle attività finanziare e bancarie, dai trasporti all'energia, dalla cultura all'intrattenimento e alla salute.

Attualmente, l'utilizzo sempre più massiccio di Internet e delle tecnologie informatiche rende la sicurezza di Internet una delle priorità politiche più importanti per l'Unione europea e per il resto del mondo. La strategia Europa 2020, lanciata nel 2010, ha incluso l'Agenda digitale dell'UE tra le politiche di punta, fissando obiettivi ambiziosi per lo sviluppo tecnologico dell'Unione europea. L'impiego e la diffusione crescenti delle tecnologie TIC innovative, quali le reti Internet e di telefonia fisse e mobili veloci e ultraveloci, le reti intelligenti, ma anche i servizi Internet come il cloud computing e l'Internet degli oggetti, dipendono tutti da aspetti semplici ma di importanza cruciale: la sicurezza, la resilienza e l'affidabilità.

Nel dicembre 2006 la Commissione ha adottato la comunicazione relativa a un programma europeo per la protezione delle infrastrutture critiche (EPCIP). Il programma delinea un quadro generale per le attività di protezione delle infrastrutture critiche a livello di UE. Due anni dopo il Consiglio ha adottato la direttiva 2008/114/CE relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione. Nella sua prima parte, la direttiva si concentra in modo specifico sui settori dell'energia e dei trasporti. Essa si occupa principalmente di infrastrutture la cui interruzione comporterebbe ripercussioni su due o più Stati membri dell'UE.

La direttiva 2008/114/CE ha individuato nel settore delle TIC un settore prioritario del futuro, pur non essendo classificato come un'infrastruttura critica. Tuttavia, a partire dal 2005, la Commissione ha evidenziato la necessità di coordinare gli sforzi per costruire la fiducia nelle comunicazioni elettroniche(1). A tale scopo nel 2006 è stata adottata una strategia per una società dell'informazione sicura,(2) i cui elementi principali sono stati approvati con la risoluzione del Consiglio 2007/068/01.

Nel 2009 la Commissione ha adottato la comunicazione "Rafforzare la preparazione, la sicurezza e la resilienza per proteggere l'Europa dai ciberattacchi e dalle ciberperturbazioni"(3). Con questa comunicazione la Commissione definisce il "piano di azione CIIP", con l'intento di stimolare e sostenere la sicurezza delle infrastrutture critiche informatizzate sia a livello nazionale sia a livello dell'Unione. Il piano definisce i ruoli specifici della Commissione, dell'ENISA, degli Stati membri e del settore. La questione relativa al miglioramento della sicurezza e della resilienza delle infrastrutture delle TIC è stato affrontato con maggiore intensità nell'Agenda digitale europea(4) e nelle relative conclusioni del Consiglio(5), nella proposta di direttiva relativa agli attacchi contro i sistemi di informazione(6), e nella proposta della Commissione di un nuovo mandato per una ENISA rafforzata e modernizzata(7).

Nel marzo 2011, la Commissione ha pubblicato una comunicazione sulla CIIP: "Realizzazioni e prossime tappe: verso una sicurezza informatica mondiale"(8). In questo documento la Commissione riepiloga i risultati ottenuti con l'attuazione del piano di azione CIIP a partire dal 2009, e illustra quali sono i prossimi passi da compiere puntando l'attenzione sulla cooperazione internazionale oltre i confini dell'UE.

Tutti questi sviluppi distribuiti nell'arco di pochi anni, che non esauriscono gli sforzi volti a migliorare la sicurezza del ciberspazio nell'Unione, dimostrano che la questione legata alla sicurezza di Internet è pertinente. Diviene ovvio concepire Internet come un'infrastruttura critica e ritenere che il suo danneggiamento potrebbe tradursi in perdite sostanziali e in rischi legati alla sicurezza che potrebbero avere ripercussioni su un vasto numero di cittadini e di imprese europei. Inoltre, il rapido sviluppo della tecnologia richiede che la prevenzione di attacchi a Internet, le azioni correttive e la resilienza della rete globale trovino il loro fondamento in un quadro ampio, reattivo, flessibile, innovativo e di lunga durata. Questo quadro deve garantire un'interazione efficiente tra i governi, le imprese, gli individui e tutte le altre parti interessate. Da ultimo, ma non per importanza, occorre considerare che il miglioramento della resilienza di Internet è ottenibile solo quando è presente un sistema efficiente di cooperazione internazionale e di norme internazionali.

(1)

COM(2005)0229.

(2)

COM(2006)0251.

(3)

COM(2009)0149.

(4)

COM(2010)0245.

(5)

Conclusioni del Consiglio del 31 maggio 2010.

(6)

COM(2010)0517.

(7)

COM(2010)0521.

(8)

COM(2011)0163 definitivo.


PARERE della commissione per le libertà civili, la giustizia e gli affari interni (22.3.2012)

destinato alla commissione per l'industria, la ricerca e l'energia

sulla protezione delle infrastrutture critiche informatizzate; realizzazioni e prossime tappe: verso una sicurezza informatica globale

(2011/2284(INI))

Relatore: Ágnes Hankiss

SUGGERIMENTI

La commissione per le libertà civili, la giustizia e gli affari interni invita la commissione per l'industria, la ricerca e l'energia, competente per il merito, a includere nella proposta di risoluzione che approverà i seguenti suggerimenti:

1.  ritiene che la protezione delle infrastrutture critiche informatizzate richieda un approccio interdisciplinare che necessita di includere importanti aspetti delle libertà civili, della giustizia e degli affari interni quali la sicurezza interna, la protezione dei dati personali e il diritto alla riservatezza e ad una vita privata, promuovendo così la sicurezza nel rispetto dei diritti fondamentali;

2.  ricorda che la protezione delle infrastrutture critiche informatizzate è inclusa nella strategia di sicurezza interna dell'UE nel contesto dell'innalzamento dei livelli di sicurezza per i cittadini e le imprese nel ciberspazio;

3.  sollecita che l'identificazione delle infrastrutture critiche europee sia completata e costantemente aggiornata, sotto la supervisione della Commissione, in conformità della direttiva 2008/114/CE(1) (relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione ); sottolinea inoltre la necessità di creare quanto prima una rete informativa di allarme sulle infrastrutture critiche a livello europeo; insiste sul fatto che, in considerazione della forte dipendenza delle istituzioni pubbliche, delle aziende e dalle famiglie dalle tecnologie dell'informazione e della comunicazione (TIC), la direttiva del Consiglio 2008/114/CE andrebbe rivista al fine di riconoscere anche le TIC come settore critico;

4.  invita gli Stati membri a elaborare una strategia nazionale e a garantire un solido contesto decisionale e normativo, una serie di procedure complete di gestione del rischio e una serie di misure e meccanismi preparatori adeguati; esorta gli Stati membri che non hanno istituito il loro CERT (Computer Emergency Response Team) nazionale a procedervi tempestivamente, con l'assistenza, se necessario, della Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA);

5.  ritiene che tutte le basi dati su vasta scala che gestiscono dati personali sensibili, come quelle dell’UE, dei governi degli Stati membri e delle istituzioni finanziarie e sanitarie, dovrebbero essere considerate parte delle infrastrutture critiche informatizzate e che la protezione di tali dati dovrebbe essere assicurata conformemente agli standard più elevati;

6.  invita la Commissione e gli Stati membri ad adottare le misure necessarie al fine di proteggere le infrastrutture critiche da attacchi informatici e a fornire i mezzi che consentano di bloccare l'accesso a un'infrastruttura critica qualora un attacco informatico diretto ne minacci il corretto funzionamento;

7.  sottolinea l'importanza di esercitazioni paneuropee per prepararsi ad incidenti di ampia portata che incidono sulla sicurezza delle reti, e della definizione di un'unica serie di criteri per valutare la minaccia;

8.  ritiene che l'ENISA possa svolgere un ruolo cruciale a livello europeo nella protezione delle infrastrutture critiche informatizzate fornendo competenza tecnica agli Stati membri nonché alle istituzioni e agli organismi dell'Unione europea, oltre a relazioni e analisi concernenti la sicurezza dei sistemi d'informazione a livello europeo e globale;

9.  ritiene che la cooperazione internazionale al di fuori dell'UE sia indispensabile e che le minacce informatiche, vista la loro natura globale, richiedano delle risposte globali conformi alle disposizioni del diritto internazionale; sottolinea inoltre che qualsiasi accordo internazionale che prevede lo scambio di dati sensibili dovrebbe tenere in considerazione la sicurezza del trasferimento e dell'archiviazione dei dati;

10. sottolinea che la prossima "strategia per la sicurezza di Internet" della Commissione dovrebbe considerare il lavoro sulla protezione delle infrastrutture critiche informatizzate come un punto centrale di riferimento e mirare a un approccio olistico e sistematico alla sicurezza informatica, includendo sia misure proattive, quali l'introduzione di standard minimi per le misure di sicurezza o la formazione di singoli utenti, imprese e istituzioni pubbliche, sia misure reattive, quali sanzioni penali, civili e amministrative;

11. ritiene che il coordinamento nell’ambito dell’UE dovrebbe essere rafforzato e potenziato innanzitutto tra gli attori civili e militari nonché le autorità giudiziarie e le altre autorità competenti per la prevenzione, la lotta e la penalizzazione degli attacchi contro i sistemi d'informazione, compresi i servizi di polizia e le altre autorità degli Stati membri incaricate dell'applicazione della legge, oltre alle agenzie specializzate a livello europeo quali Eurojust, Europol ed ENISA;

12. sottolinea l'importanza di una forte cooperazione tra il settore pubblico e privato, in quanto i diversi punti di forza di tali settori dovrebbero contribuire, attraverso la complementazione reciproca, agli sforzi compiuti per proteggere le infrastrutture e quindi la vita e la privacy dei cittadini europei; invita la Commissione a istituire il partenariato europeo pubblico-privato per la resilienza, che potrebbe essere integrato con l'attività dell’ENISA e del gruppo europeo governativo CERT;

13. rileva che il vasto numero di attività in corso svolte da istituzioni, organismi e agenzie internazionali e dell'UE, così come dagli Stati membri, richiede un coordinamento allo scopo di evitare duplicazioni, motivo per cui è il caso di considerare la designazione di un funzionario responsabile per il coordinamento, possibilmente attraverso la nomina di un coordinatore della sicurezza informatica dell'UE;

14. ritiene che gli sforzi volti a proteggere le infrastrutture critiche informatizzate non solo valorizzeranno la sicurezza complessiva dei cittadini ma miglioreranno anche la percezione che i cittadini hanno della sicurezza e la loro fiducia nelle misure adottate dal governo per proteggerli;

15. sottolinea l'importanza di creare e garantire un'integrazione durevole della ricerca europea per mantenere e potenziare l'eccellenza europea nel settore della protezione delle infrastrutture critiche informatizzate;

16. sottolinea l'importanza di una tabella di marcia della ricerca attiva nel settore della sicurezza informatica;

17. auspica la promozione dell’istruzione sulla sicurezza informatica (tirocini per dottorandi, corsi universitari, laboratori, formazione per studenti, ecc...) e delle attività di formazione specializzata nella protezione delle infrastrutture critiche informatizzate;

18. auspica un rapporto e un'interazione stretti tra i settori privati ​​nazionali e l’ENISA per interfacciare i CERT nazionali/governativi con lo sviluppo del sistema europeo di condivisione delle informazioni e di allarme (EISAS);

19. sottolinea l'importanza di una strategia comune europea sulla sicurezza informatica e della predisposizione di un calendario per la sua definizione in termini di azioni e di risorse necessarie;

20. sottolinea l'importanza di un dialogo strutturato tra i principali operatori e legislatori dell'UE e degli Stati Uniti coinvolti nella protezione delle infrastrutture critiche informatizzate per una comprensione comune e interpretazioni e posizioni comuni in materia di quadri giuridici e di governance.

ESITO DELLA VOTAZIONE FINALE IN COMMISSIONE

Approvazione

21.3.2012

 

 

 

Esito della votazione finale

+:

–:

0:

45

0

2

Membri titolari presenti al momento della votazione finale

Roberta Angelilli, Edit Bauer, Arkadiusz Tomasz Bratkowski, Philip Claeys, Carlos Coelho, Rosario Crocetta, Frank Engel, Cornelia Ernst, Tanja Fajon, Kinga Göncz, Nathalie Griesbeck, Sylvie Guillaume, Anna Hedh, Salvatore Iacolino, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu, Anthea McIntyre, Jan Mulder, Antigoni Papadopoulou, Judith Sargentini, Csaba Sógor, Renate Sommer, Rui Tavares, Kyriacos Triantaphyllides, Wim van de Camp, Renate Weber, Josef Weidenholzer, Cecilia Wikström

Supplenti presenti al momento della votazione finale

Vilija Blinkevičiūtė, Andrew Henry William Brons, Michael Cashman, Anna Maria Corazza Bildt, Ana Gomes, Nadja Hirsch, Stanimir Ilchev, Iliana Malinova Iotova, Franziska Keller, Wolfgang Kreissl-Dörfler, Mariya Nedelcheva, Hubert Pirker, Zuzana Roithová, Kārlis Šadurskis

Supplenti (art. 187, par. 2) presenti al momento della votazione finale

Luis de Grandes Pascual

(1)

GU L 345 del 23.12.2008, pag. 75.


ESITO DELLA VOTAZIONE FINALE IN COMMISSIONE

Approvazione

8.5.2012

 

 

 

Esito della votazione finale

+:

–:

0:

51

7

0

Membri titolari presenti al momento della votazione finale

Amelia Andersdotter, Josefa Andrés Barea, Jean-Pierre Audy, Zigmantas Balčytis, Ivo Belet, Bendt Bendtsen, Jan Březina, Maria Da Graça Carvalho, Giles Chichester, Jürgen Creutzmann, Pilar del Castillo Vera, Dimitrios Droutsas, Adam Gierek, Norbert Glante, Robert Goebbels, András Gyürk, Fiona Hall, Edit Herczog, Kent Johansson, Romana Jordan, Krišjānis Kariņš, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Aldo Patriciello, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Michèle Rivasi, Paul Rübig, Salvador Sedó i Alabart, Francisco Sosa Wagner, Konrad Szymański, Britta Thomsen, Evžen Tošenovský, Ioannis A. Tsoukalas, Claude Turmes, Marita Ulvskog, Vladimir Urutchev, Kathleen Van Brempt, Alejo Vidal-Quadras, Henri Weber

Supplenti presenti al momento della votazione finale

Ioan Enciu, Françoise Grossetête, Takis Hadjigeorgiou, Roger Helmer, Jolanta Emilia Hibner, Bernd Lange, Werner Langen, Zofija Mazej Kukovič, Silvia-Adriana Ţicău, Inês Cristina Zuber

Supplenti (art. 187, par. 2) presenti al momento della votazione finale

Anne E. Jensen, Nicole Kiil-Nielsen, Norica Nicolai

Ultimo aggiornamento: 31 maggio 2012Avviso legale