IIC INTERNATIONAL FORUM

Miami (USA), 16 Maggio 2019

PROMOTING DIGITAL INCLUSION AND DEPLOYMENT OF INFRASTRUCTURE

CYBERSECURITY AND DATA GOVERNANCE FRAMEWORK – BUILDING COLLABORATIVE APPROACH

Network and information systems and services play a vital role in society and they are essential to economic and societal activities, and in particular to the functioning of the internal market. That is way these systems are a target for deliberate harmful actions intended to damage or interrupt their operations. The magnitude, frequency and impact of security incidents are increasing. Such incidents can impede the pursuit of economic activities, generate substantial financial losses, undermine user confidence and cause major damage to the economy of the Union. The damages are particularly significant if they affect “essential services” or “critical infrastructures”, in sectors which are vital for our economy and society and moreover rely heavily on ICTs, such as energy, transport, water, banking, financial market infrastructures, healthcare and digital infrastructure.

The problem in Europe is a scale problem: Huawei has a 35% market share in EU and banning the Chinese seller would have disastrous industrial and financial consequences for telecommunications companies that rely on its network. In Italy, Huawei has entered into commercial agreements with numerous telecommunications operators. It is also strongly active in experimental campaigns underway on 5G: as a supplier it participates campaign carried out by Vodafone in Milan, together with Nokia; in Matera Huawei participates as lead partner in a project with Tim and Fastweb. It holds 3 Innovation Center with Tim and 2 with Vodafone as well as 1 Joint Innovation Center with the Sardinia Region. In partnership with Fastweb, it has started the deployment of the first flexible optical network FON (Flexible Optical Network), a 2,300 km infrastructure between Milan and the south of Sicily, having 200 Gbps capacity.

First of all, a culture of security should be encouraged throughout Europe by governments and competent Authorities, by implementing at national level all measures envisaged by the EU Cybersecurity Act. Initially proposed by the European Commission in September 2017 as part of a new EU cybersecurity strategy, the EU Cybersecurity Act was formally adopted on 9 April 2019. The regulation includes a permanent mandate, expanded responsibilities and more resources for the EU cybersecurity agency (ENISA); and a framework for the voluntary cybersecurity certification of ICT products, processes and services at EU level.

Actually, on this issues, EU are going to cooperate more closely with US, as announced in the Commission’s interim report on trade negotiations on 30 January 2019. The security of connected devices, including standards and how to certify such devices, will be a particular emphasis.

To start creating a common EU approach to 5G network security, the European Commission published on 26 March 2019 recommendation on 5G cybersecurity. The non-binding recommendation begins with actions on a national level, which would then be expanded to the EU more broadly based on member state best practices and cooperation.

In the meanwhile, EU Member States should activate in order to promptly implement measures already envisaged in 2016 by Directive on security of network and information systems[1]. The NIS Directive provides legal measures to boost the overall level of cybersecurity in the EU by ensuring Member States’ preparedness by requiring them to be appropriately equipped, e.g. via a Computer Security Incident Response Team (CSIRT) and a competent national NIS authority.

Finally, Cooperation among all the Member States should also be promoted, in order to support and facilitate strategic cooperation and the exchange of information among Member States.

Multilateral cooperation and international institutions must become reengaged with, and provide a meaningful device for addressing these emerging issues and problems. A multiplicity of actors both public and private, national institutions and organizations, regulatory authorities, standardization bodies, businesses and multi-stakeholder bodies should cooperate, playing an active role in shaping a new multipolar European approach to cybersecurity.


[1] The NIS Directive, adopted by the European Parliament on 6 July 2016 was to be transposed into national laws by 9 May 2018 and identify operators of essential services by 9 November 2018

________________________________________________________

I sistemi e i servizi di rete e dell’informazione svolgono un ruolo fondamentale nella società e sono essenziali per le attività economiche e sociali, in particolare per il funzionamento del mercato interno. Per tale ragione, questi sistemi sono l’obiettivo di azioni deliberate e dannose, volte a danneggiarli o interromperne le operazioni. L’entità, la frequenza e l’impatto degli incidenti legati alla sicurezza sono in continuo aumento. Tali incidenti possono compromettere attività economiche, generare sostanziali perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia dell’Unione. I danni sono particolarmente significativi se colpiscono “servizi essenziali” o “infrastrutture critiche”, in settori vitali per la nostra economia e la società, fondandati sulle tecnologie dell’informazione e della comunicazione (ICT), quali: energia, trasporti, acqua, banche, infrastrutture del mercato finanziario, assistenza sanitaria e infrastrutture digitali.

Il problema in Europa è un problema di scala: Huawei detiene nell’Unione europea una quota di mercato del 35% e l’estromissione dell’azienda cinese avrebbe serie conseguenze sul piano industriale e finanziario per le società di telecomunicazioni che impiegano apparati Huawei.  In Italia, Huawei ha stipulato accordi commerciali con numerosi operatori di telecomunicazioni. È inoltre fortemente attivo nelle campagne sperimentali in corso sul 5G: partecipa, come fornitore, insieme a Nokia, alla campagna condotta da Vodafone a Milano; a Matera Huawei partecipa come capofila ad un progetto con Tim e Fastweb. Detiene 3 Innovation Center con Tim, 2 con Vodafone e 1 Joint Innovation Center con la Regione Sardegna. In collaborazione con Fastweb, ha avviato l’implementazione della prima rete ottica flessibile FON (Flexible Optical Network), un’infrastruttura di 2.300 km tra Milano e il Sud della Sicilia, con capacità di 200 gigabit per secondo.

Innanzitutto, i Governi e le Autorità competenti in Europa dovrebbero favorire il diffondersi di una cultura della sicurezza, attuando a livello nazionale tutte le misure previste dal Regolamento del Parlamento europeo e del Consiglio sulla cybersecurity (EU Cybersecurity Act). Inizialmente proposto dalla Commissione europea nel settembre 2017 come parte di una nuova strategia dell’Unione sulla cybersecurity, il 9 aprile 2019 il Regolamento è stato adottato formalmente. Esso prevede un mandato permanente, maggiori responsabilità e maggiori risorse per l’agenzia europea per la cybersecurity (ENISA). Il Regolamento introduce, inoltre, un quadro per la certificazione volontaria della cybersecurity di prodotti, processi e servizi ICT a livello di Unione.

Su tali questioni, l’UE sembra essere intenzionata, infatti, a cooperare più strettamente con gli Stati Uniti, come annunciato, il 30 gennaio 2019, nell’Interim report della Commissione sui negoziati commerciali. Con particolare enfasi sarà trattato il tema della sicurezza dei dispositivi connessi, compresi gli standard, le regole e le procedure di certificazione di tali dispositivi.

Per promuovere un approccio comune dell’Unione alla sicurezza delle reti 5G, la Commissione europea ha pubblicato il 26 marzo 2019 una raccomandazione sulla sicurezza informatica nelle reti 5G.   La raccomandazione, non vincolante, prevede azioni a livello nazionale, che verranno poi estese a livello di Unione, sulla base di un principio di condivisione delle migliori pratiche e della cooperazione degli Stati membri

In parallelo, gli Stati membri dell’Unione dovrebbero completare l’attuazione delle misure già previste nel 2016 dalla Direttiva sulla sicurezza della rete e dei sistemi di informazione[1]. La direttiva NIS fornisce, infatti, strumenti giuridici per incrementare il livello generale di cybersecurity nell’UE, prevedendo che gli Stati membri si dotino di un Computer Security Incident Response Team (CSIRT), nonché di un’Autorità nazionale competente per l’attuazione delle misure introdotte dalla Direttiva NIS

Infine, dovrebbe essere promossa la collaborazione tra tutti gli Stati membri, al fine di sostenere e facilitare la cooperazione strategica e lo scambio di informazioni.

Occorre ripensare la cooperazione multilaterale delle istituzioni internazionali, alla luce delle nuove urgenze dettate dalle minacce alla cybersecurity.

Occorre, in particolare, promuovere la cooperazione di una molteplicità di attori, pubblici e privati, istituzioni e organizzazioni nazionali, autorità di regolamentazione, organismi di standardizzazione, imprese e associazioni di stakeholder, incentivandoli ad assumere un ruolo attivo nel plasmare un nuovo approccio europeo coordinato e multipolare alla sicurezza informatica.


[1] The NIS Directive, adopted by the European Parliament on 6 July 2016 was to be transposed into national laws by 9 May 2018 and identify operators of essential services by 9 November 2018

Condividi questo articolo: