Lo scorso 6 giugno gli Stati membri dell’UE hanno adottato la proposta della Commissione relativa al programma per la cyber security denominato Cyber Blueprint che fornisce linee guida chiare per coordinare gli sforzi di individuazione, risposta e ripristino tra gli Stati membri in caso di un grave attacco informatico o di un’interruzione digitale che potrebbe colpire infrastrutture o servizi critici in tutta l’UE.

Il progetto mira a semplificare la cooperazione tra autorità nazionali, istituzioni dell’UE e partner del settore privato, garantendo una risposta agli incidenti più rapida ed efficace. Sottolinea, inoltre, l’importanza di imparare da ogni crisi per migliorare la resilienza nel tempo.

L’iniziativa riflette la crescente urgenza tra i leader dell’UE di affrontare le minacce informatiche transfrontaliere attraverso un’azione unificata, soprattutto in un contesto di continuo aumento degli attacchi informatici ai settori dell’energia, dei trasporti, della sanità e dei servizi digitali.

Si tratta di un’iniziativa che fa seguito alla proposta dello scorso febbraio 2025 volta a garantire una risposta solida ed efficiente agli incidenti informatici su larga scala, per rafforzare il coordinamento delle crisi informatiche a livello UE.

Il progetto di sicurezza informatica aggiornato perfeziona il quadro completo dell’UE per la gestione delle crisi informatiche, integrando importanti normative di recente adozione come la direttiva NIS2 e il Cyber Solidarity Act.

Inoltre, si basa su quadri normativi come l’Integrated Political Crisis Response e l’EU Cyber Diplomacy Toolbox, allineandosi al contempo a recenti iniziative come il Critical Infrastructure Blueprint e il codice di rete sulla sicurezza informatica per il settore elettrico dell’UE. Ancora, il Cyber Blueprint definisce in dettaglio i ruoli degli attori UE rilevanti durante l’intero ciclo di vita della crisi.

Vediamo in dettaglio di che si tratta.

EU Cyber Blueprint

L’obiettivo del programma EU Cyber Blueprint è fornire una guida chiara e accessibile per: spiegare cosa costituisce una crisi cyber a livello UE; come viene attivato il framework di gestione delle crisi; quali sono i ruoli degli attori e meccanismi rilevanti.

È necessario sottolineare che il Cyber Blueprint mira a promuovere una cooperazione più strutturata tra attori civili e militari, inclusa la cooperazione con la NATO, dato che un incidente informatico su larga scala – che colpisce le infrastrutture civili dell’Unione da cui dipendono le forze armate – può anche attivare i meccanismi di risposta della NATO.

Il Cyber Blueprint è da considerarsi uno strumento non vincolante che aggiorna il modello definito nella raccomandazione (UE) 2017/1584 della Commissione sulla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala e si basa sui risultati e sugli insegnamenti tratti dalle esercitazioni a livello dell’Unione condotte dopo l’adozione di tale raccomandazione.

Definizioni e attori chiave del Cyber Blueprint

Di seguito le principali definizioni contenute nel programma.

• Incidente di cybersicurezza su larga scala – Si tratta di un incidente che causa un livello di interruzione che supera la capacità di risposta di uno Stato membro o ha un impatto significativo su almeno due Stati membri.
• Crisi cyber – È una situazione derivante da un incidente di cybersicurezza su larga scala che influisce sul corretto funzionamento del mercato interno o pone seri rischi per la sicurezza pubblica.

Attori principali coinvolti nel programma

• ENISA (Agenzia dell’Unione Europea per la Cybersicurezza)
• CERT-EU (Servizio di Cybersicurezza per le istituzioni dell’Unione)
• EU-CyCLONe (Rete Europea degli Ufficiali di Collegamento Cyber)
• CSIRTs Network (Rete dei Team di Risposta agli Incidenti di Sicurezza Informatica)
• IPCR (Meccanismi Integrati di Risposta alle Crisi Politiche dell’UE)
• EEAS (Servizio Europeo per l’Azione Esterna)

Framework di gestione delle crisi

Il programma Cyber Blueprint prevede un sistema di gestione delle crisi così articolato:

Preparazione – Si tratta di attuare le azioni necessarie per garantire:

• Sviluppo di consapevolezza situazionale condivisa
• Condivisione di informazioni verificate e affidabili
• Esercitazioni cicliche per testare procedure e meccanismi di cooperazione
• Potenziamento capacità DNS (Domain Name System) europee

Rilevamento – È necessario garantire:

• Implementazione di strategie di rilevamento informate sulle minacce
• Coordinamento tra CSIRTs Network e EU-CyCLONe
• Contributo dei Cyber Hub transfrontalieri

Risposta – Si tratta di definire le strategie di risposta atte a garantire:

• Attivazione del meccanismo IPCR (Integrated Political Crisis Response) in caso di crisi
• Deployment della “Riserva di Cybersicurezza UE” entro 24 ore dalla richiesta
• Coordinamento tra autorità civili e militari
• Uso degli strumenti della “Cyber Diplomacy Toolbox”

Recupero – Il programma prevede anche una strategia di recovery attraverso:

• Collaborazione basata su lezioni apprese da esercitazioni e rapporti sugli incidenti
• Utilizzo del EU Meccanismo Europeo di Revisione degli Incidenti di Cybersicurezza (European Cybersecurity Incident Review Mechanism)

Comunicazioni sicure – Il documento prevede l’accordo entro la fine del 2026 su un set interoperabile di soluzioni di comunicazione sicura per gli attori UE rilevanti, basate sul protocollo Matrix per comunicazioni in tempo reale. Inoltre, il programma Cyber Blueprint sottolinea l’importanza del coordinamento della comunicazione pubblica prima, durante e dopo gli incidenti di crisi.

Cooperazione civile-militare – Si enfatizza la necessità di maggiore cooperazione tra reti civili e militari, inclusa la collaborazione con la NATO, data l’interconnessione delle infrastrutture critiche civili su cui si basa anche il settore militare.

Ciclo di esercitazioni cyber –Gli Stati membri e le entità UE competenti devono sviluppare un ciclo continuo ed efficiente di esercitazioni cyber per prepararsi alle crisi e migliorare l’efficienza organizzativa.

Queste esercitazioni devono basarsi su scenari sviluppati attraverso valutazioni coordinate dei rischi UE, incluse quelle relative a crisi multi-settoriali. Il ciclo deve considerare l’UCPM (Union Civil Protection Mechanism) e altri meccanismi di risposta alle crisi a livello UE, garantendo l’implementazione efficace delle lezioni apprese.

Gli attori UE rilevanti possono condurre esercitazioni più contenute per testare le loro interazioni e interfacce in caso di incidenti cyber in escalation.

I servizi della Commissione, l’EEAS ed ENISA sono invitati a organizzare un’esercitazione per testare il Cyber Blueprint entro 18 mesi dall’adozione, coinvolgendo tutti gli attori rilevanti, incluso il settore privato.

Rafforzamento delle infrastrutture internet critiche

Gli stati membri, per potenziare la sicurezza e la disponibilità delle infrastrutture internet critiche, anche durante le crisi, devono promuovere attivamente la partecipazione di tutti i soggetti interessati – compresi quelli non direttamente coperti dall’atto di attuazione NIS2 – nel forum multistakeholder incaricato di identificare i migliori standard disponibili e le tecniche di implementazione per le misure cruciali di sicurezza di rete. Inoltre, gli Stati membri dovrebbero considerare di partecipare attivamente al forum e adottare autonomamente le linee guida raccomandate.

Diagramma del Cyber Blueprint

Il diagramma sottostante illustra e riassume il programma del Cyber Blueprint in conformità ai meccanismi di crisi UE rilevanti elencati nell’Allegato II (vedere Programma e Allegato scaricabili al seguente link EU CYBER BLUEPRINT PROGRAMME & ANNEX II).

Inoltre, è doveroso ricordare che una crisi cyber comporta inevitabilmente un impatto nel mondo reale in uno o più settori critici, richiedendo uno stretto coordinamento tra:

• La comunità cyber
• I meccanismi di risposta settoriali
• I meccanismi di protezione civile

Ancora, un incidente cyber può far parte di campagne ibride più ampie e, in tal caso, la risposta cyber deve essere coordinata con altre azioni in linea con la strategia di preparedness dell’Unione.

Tale approccio integrato garantisce che la gestione delle crisi cyber non avvenga in isolamento, ma sia parte di una risposta coordinata e multidimensionale che tiene conto della natura interconnessa delle minacce moderne e dell’impatto trasversale che possono avere sui diversi settori dell’economia e della società europea.

Fonte: EU Cyber Blueprint Programme.

Va evidenziato che il programma del Cyber Blueprint si basa sui seguenti principi:

• Proporzionalità – La maggior parte degli incidenti di cybersicurezza che colpiscono gli Stati membri non raggiunge il livello di crisi nazionale o dell’Unione. In caso di cyber incidenti, gli Stati membri cooperano all’interno della Rete CSIRTs e di EU-CyCLONe secondo le rispettive procedure.
• Sussidiarietà – Gli Stati membri hanno la responsabilità primaria nella risposta agli incidenti o crisi di cybersicurezza su larga scala che li riguardano. La Commissione, il Servizio europeo per l’azione esterna, ENISA, CERT-EU, Europol e tutte le altre entità dell’Unione hanno ruoli importanti durante l’intero ciclo di vita della crisi, come definito negli accordi IPCR e previsto dal diritto dell’Unione.
• Complementarità – Questa raccomandazione tiene pienamente conto dei meccanismi esistenti di gestione delle crisi a livello dell’Unione (IPCR, ARGUS, Meccanismo di risposta alle crisi del SEAE) e dei ruoli modificati della Rete CSIRTs e di EU-CyCLONe dalle regole adottate dal 2017, per massimizzare le sinergie e minimizzare le duplicazioni.
• Riservatezza delle informazioni – Tutti gli scambi di informazioni devono rispettare le norme applicabili in materia di sicurezza, protezione dei dati personali e il sistema Traffic Light Protocol. Per le informazioni classificate vanno utilizzati strumenti accreditati disponibili, rispettando il Regolamento UE 2016/679, la Direttiva 2002/58/CE e il Regolamento UE 2018/1725.

Conclusione

Il Piano dell’UE per la gestione delle crisi informatiche chiarisce come gli Stati membri possano individuare, rispondere, recuperare e imparare da incidenti di sicurezza informatica su larga scala e crisi informatiche che potrebbero colpire l’intera UE. Il Piano dell’UE dimostra il nostro chiaro impegno per un’Europa più sicura, resiliente e meglio preparata.

Nelle situazioni di crisi, non c’è spazio per l’improvvisazione, soprattutto nell’attuale contesto geopolitico in rapida evoluzione e incerto. La preparazione alle crisi deve essere una componente chiave della strategia di preparazione dell’Unione.

Di fatto essa costituisce uno strumento pratico che consente agli Stati membri e agli organi dell’UE di collaborare per prepararsi e rispondere a una crisi informatica che potrebbe avere ripercussioni sulle nostre infrastrutture critiche e sulla sicurezza pubblica.

Il Cyber Blueprint dell’UE sottolinea l’importanza della tecnologia digitale e della connettività globale come spina dorsale della crescita economica e della competitività dell’UE.

Tuttavia, una società sempre più interconnessa e digitale aumenta anche i rischi di incidenti di sicurezza informatica e attacchi informatici. Pertanto, si tratta di anticipare l’imprevedibile certezza del rischio cyber ed essere pronti ad intervenire in modo orchestrato.