Parere del Comitato delle regioni sulla "Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni — Sicurezza delle reti e sicurezza dell’informazione: Proposta di un approccio strategico europeo"

(2002/C 107/27)

IL COMITATO DELLE REGIONI,

vista la Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle regioni — "Sicurezza delle reti e sicurezza dell’informazione: Proposta di un approccio strategico europeo" (COM(2001 298 def.);

vista la decisione della Commissione europea, del 7 giugno 2001, di consultarlo in merito a tale documento, conformemente al primo paragrafo dell’art. 265 del Trattato che istituisce la Comunità europea;

vista la decisione del proprio Presidente, del 2 luglio 2001, di incaricare la Commissione 3 ´Reti transeuropee, trasporti, società dell’informazioneª dell’elaborazione del parere in materia;

vista la decisione del proprio Presidente, del 26 ottobre 2001, di nominare Barrero Florez Relatrice generale, incaricata di elaborare un parere in materia, conformemente all’articolo 40, paragrafo 2, del Regolamento interno;

visto il proprio parere in merito alla "Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni — Creare una società dell’informazione sicura migliorando la sicurezza delle infrastrutture dell’informazione e mediante la lotta alla criminalità informatica" (COM(2000) 890 def. — CdR 88/2001 fin);

vista la "Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni — Garantire la sicurezza e l’affidabilità nelle comunicazioni elettroniche — Verso la definizione di un quadro europeo in materia di firme digitali e di cifratura" (COM(97) 503 def.);

vista la "Comunicazione della Commissione al Consiglio e al Parlamento europeo — eEurope 2002: impatto e priorità" (COM(2001) 140 def.);

visto il Piano di azione eEurope 2002 (COM(2000) 330 def.);

visto il progetto di convenzione del Consiglio d’Europa in merito alla criminalità informatica (CM(2001) 103);

vista la "Raccomandazione del Consiglio sui criteri comuni per la valutazione della sicurezza delle tecnologie dell’informazione"⁽¹⁾;

vista la "Raccomandazione del Consiglio sui punti di contatto accessibili 24 ore al giorno ai fini della lotta contro la criminalità ad alta tecnologia" ⁽²⁾;

visto il "Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati" ⁽³⁾;

vista la Risoluzione n. 9194/01 del Consiglio del 20 giugno 2001 sulle esigenze operative in materia di applicazione delle leggi attinenti alle reti e ai servizi pubblici di telecomunicazioni; viste le conclusioni della presidenza del Consiglio europeo di Stoccolma del marzo 2001;

vista la Direttiva 90/338/CEE, relativa alla concorrenza nei mercati dei servizi di telecomunicazioni;

vista la Direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

vista la Direttiva 97/33/CE, sull’interconnessione nel settore delle telecomunicazioni e finalizzata a garantire servizio universale e l’interoperabilità attraverso l’applicazione dei principi di fornitura di una rete aperta (ONP);

vista la Direttiva 97/66/CE, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni;

vista la Direttiva 98/10/CE, sull’applicazione del regime di fornitura di una rete aperta (ONP) alla telefonia vocale e sul servizio universale delle telecomunicazioni in un ambiente concorrenziale;

vista la Direttiva 1999/93/CE, relativa ad un quadro comunitario per le firme elettroniche;

vista la Direttiva 2000/31/CE, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico nel mercato interno (´Direttiva sul commercio elettronicoª);

vista la Proposta di direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche ⁽⁴⁾;

visto il progetto di parere (CdR 257/2001 riv.) elaborato dalla Relatrice generale Barrero Florez, (E/PSE), Direttrice generale agli affari europei presso il Principato delle Asturie; considerando che le reti e i sistemi di informazione si sono convertiti in un fattore essenziale dello sviluppo sociale ed economico della società contemporanea e che il loro funzionamento adeguato è fondamentale per infrastrutture vitali come quella energetica e quella viaria, nonché per la grande maggioranza dei servizi pubblici e privati e per l’economia nel complesso; considerando che la sicurezza delle reti e dei sistemi di informazione si sta convertendo in un requisito preliminare per futuri progressi in nuovi servizi, in nuove fonti di ricchezza economica, in relazioni commerciali innovatrici ecc.;

considerando il grave danno che il numero crescente di violazioni della sicurezza delle reti d’informazione sta arrecando alla fiducia degli utenti di tali reti;

considerando che la mancanza di fiducia nelle reti e nei sistemi d’informazione provoca un rallentamento nella diffusione generalizzata dei nuovi servizi connessi alla società dell’informazione e della conoscenza;

considerando che la sicurezza di tali reti e sistemi è divenuta una sfida di primaria importanza per i responsabili politici, i quali devono comprendere l’importanza di tale sfida, i suoi aspetti, i problemi di sicurezza che sono in gioco e la funzione che possono svolgere per porvi rimedio; considerando che, sebbene nel quadro delle telecomunicazioni e della tutela dei dati personali siano state adottate a livello nazionale e comunitario importanti misure legislative, mancano tuttora misure specifiche sulla sicurezza;

considerando che numerosi problemi relativi alla sicurezza delle reti e dei sistemi di informazione continuano a non essere risolti e che alcune soluzioni giungono in ritardo sul mercato a causa delle imperfezioni del mercato stesso;

considerando che le amministrazioni pubbliche hanno una funzione da svolgere nella risoluzione delle carenze e delle lacune dei mercati;

considerando che delle misure politiche specifiche, intese a porre rimedio alle lacune del mercato in materia di sicurezza delle reti e dei sistemi di informazione, potrebbero rafforzare la dinamica del mercato stesso e migliorare il funzionamento del quadro giuridico;

considerando che tali misure dovrebbero far parte di un approccio europeo rivolto a garantire lo sviluppo della società dell’informazione e della conoscenza nell’Unione europea, a trarre vantaggio dalle soluzioni comuni e a poter agire in modo efficace a livello mondiale;

considerando che, data la complessità del problema, è necessario tener conto dei suoi aspetti politici, economici, organizzativi e tecnici, nonché del suo carattere decentrato e globale;

considerando che gli effetti della mancanza di sicurezza delle reti e dei sistemi di informazione delle regioni europee meno sviluppate puo` aumentare il divario digitale attualmente esistente tra tali regioni e quelle più sviluppate e sicure;

considerando che le autorità regionali e locali possono e devono svolgere un ruolo di primo piano nell’attuazione di una politica europea di sicurezza delle reti e dei sistemi di informazione, dato che la loro prossimità ai cittadini, alle organizzazioni e alle imprese permette loro di applicare con la necessaria efficacia e idoneità le misure concrete che vengono stabilite, ha adottato all’unanimità, il 15 novembre 2001, nel corso della 41a sessione plenaria, il presente parere.

Il Comitato delle regioni

1. Condivide la crescente preoccupazione della Commissione per la sicurezza delle reti e dei sistemi di informazione e riconosce la grande importanza di tale sicurezza non solo ai fini dello sviluppo della società dell’informazione e della conoscenza, ma anche per l’attuale sistema economico mondiale;

2. Condivide il giudizio espresso nella comunicazione in merito alla priorità politica che l’Unione europea deve dare alla sicurezza delle reti e dei sistemi di informazione. Il mercato non è stato capace di fornire una risposta unica perché esistono numerose tecnologie e standard di sicurezza ma manca una norma aperta e comunemente accettata;

3. Accoglie con favore l’obiettivo formulato nella comunicazione, di stabilire in quali ambiti sia necessario avviare o rafforzare l’azione pubblica a livello europeo o nazionale al fine di decidere una politica comunitaria per la sicurezza delle reti e dei sistemi di informazione;

4. Esprime preoccupazione in merito al rispetto delle libertà e dei diritti civili riconosciuti nella Dichiarazione universale dei diritti umani, nella Convenzione internazionale sui diritti civili e politici e nella Convenzione europea dei diritti umani nell’ambito delle misure da adottare per accrescere la sicurezza delle reti e dei sistemi di informazione. In tale contesto chiede che vengano stabiliti limiti chiari per quei poteri e per quelle capacità che comportano situazioni nelle quali le libertà civili siano compromesse. Il Comitato ritiene che sia possibile un equilibrio tra il rispetto delle libertà e dei diritti civili e la sicurezza delle reti e dei sistemi di informazione;

5. Dato il carattere transfrontaliero del problema, dubita che, senza un accordo con le organizzazioni internazionali e con le altre potenze mondiali, tale politica concertata a livello comunitario possa raggiungere gli obiettivi di sicurezza perseguiti;

6. Dal momento che è importante e urgente garantire la sicurezza delle reti e dei sistemi di informazione, sollecita la Commissione a facilitare l’applicazione delle misure concrete che saranno adottate e a predisporre sufficienti risorse economiche a tal fine.

Il Comitato della Regioni

7. Considera che la definizione della sicurezza delle reti e dell’informazione figurante nella comunicazione, ossia ´la capacità di una rete o di un sistema di informazione di resistere, ad un determinato livello di riservatezza, ad eventuali imprevisti o atti dolosi che compromettono la disponibilità, comunil’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e dei servizi forniti o accessibili tramite la suddetta rete o sistemaª sia poco chiara quando fa riferimento a ´un determinato livello di riservatezzaª. Ritiene che tutti gli atti dolosi o le intrusioni in una rete o in un sistema di informazione debbano essere respinti in assoluto, indipendentemente da qualsivoglia ´livello di riservatezzaª;

8. Reputa molto preoccupante il fatto che gli operatori dei servizi di telecomunicazioni e i fornitori di servizi di accesso attivi in Europa non investano nella sicurezza in misura prioritaria o commisurata all’importanza della questione. Vi è un’ulteriore difficoltà da tenere in considerazione, dovuta alla presenza di piccoli operatori regionali il cui primo obiettivo consiste nel raggiungere una posizione di mercato che permetta loro di ottenere risultati economici positivi e che pertanto trascurano la sicurezza;

9. Ritiene che la fiducia nei prodotti di cifratura dipenderà in grande misura dall’esistenza di standard e norme internazionali aperte; considera poco fruttuose le iniziative non coordinate di alcuni Stati membri per promuovere software di tipo open source per la cifratura di fronte alla forte e inarrestabile iniziativa commerciale del settore privato;

10. Condivide il giudizio espresso nella comunicazione, secondo cui la concorrenza tra fornitori di hardware e di software non si sta traducendo in maggiori investimenti per la sicurezza; propone pertanto che vengano studiate delle misure atte a favorire tali investimenti;

11. Ritiene necessario obbligare gli operatori dei servizi di telecomunicazione e i fornitori dei servizi di accesso a conformarsi a dei livelli minimi di sicurezza stabiliti a livello comunitario.

Il Comitato della Regioni

12. Considera che lo sviluppo equilibrato della società dell’informazione e della conoscenza nell’Unione europea faciliterà la coesione e l’articolazione dell’Europa delle regioni, ragion per cui è indispensabile garantire la sicurezza delle reti e dei sistemi d’informazione;

13. Concorda con la Commissione in merito ai benefici sociali che vengono generati dagli investimenti destinati ad aumentare la sicurezza delle reti e dei sistemi di informazione e sottolinea l’elevato costo sociale che la mancanza di tali investimenti da parte dei fabbricanti, degli operatori e dei fornitori di servizi comporta per la società e il suo benessere;

14. Invita la Commissione a valutare l’esigenza di predisporre dei criteri e delle norme di sicurezza obbligatori per tutti i sistemi di informazione considerati essenziali (servizi di pubblico interesse) che siano connessi alle reti di telecomunicazioni, nonché per le reti stesse;

15. Ritiene opportuno massimizzare la sicurezza senza compromettere la facilità e la qualità dell’accesso, che costituisicurezza scono le basi della società dell’informazione e della conoscenza; ritiene tuttavia indispensabile mantenere dei livelli minimi di sicurezza anche a costo di penalizzare la qualità dell’accesso;

16. Concorda con la Commissione per quanto riguarda:

— l’esigenza comune di comprendere i problemi di sicurezza latenti e le misure specifiche da adottare,

— il fatto che le misure politiche possono rafforzare il mercato, migliorando al tempo stesso il funzionamento del quadro giuridico,

— la necessità di un approccio europeo per garantire un mercato unico per i servizi di comunicazione e di informazione, nonché per beneficiare di soluzioni comuni e per avere la capacità di agire in maniera efficace a livello mondiale.

17. Chiede che le azioni di sensibilizzazione proposte nella comunicazione siano integrate con azioni di sostegno o aiuto all’investimento in misure di sicurezza, in modo tale che il costo economico non abbia un effetto dissuasivo sull’adozione delle misure che sono state riconosciute necessarie;

18. Sottolinea l’importanza che, per ragioni operative e pratiche, le amministrazioni regionali e locali svolgano un ruolo di primo piano in tutte le campagne di sensibilizzazione in questo settore;

19. Condivide il giudizio espresso nella comunicazione in merito all’esigenza di rafforzare urgentemente il sistema CERT dell’Unione europea e di dotare i centri esistenti di risorse umane, tecniche ed economiche adeguate;

20. Raccomanda di creare un collegamento più forte, diretto e snello tra i CERT europei ed i potenziali beneficiari finali;

21. Valuta con favore le azioni proposte nella comunicazione in merito ad un sistema europeo di allarme e di informazio- ne; propone al tempo stesso di adottare una misura proattiva, ossia la creazione di un’agenzia europea per la sicurezza delle reti e dei sistemi di informazione, incaricata tra l’altro di analizzare e testare tutto il software (sistemi operativi, browser, programmi per la gestione della posta elettronica ecc.) utilizzato in reti di informazione pubbliche, al fine di scoprire eventuali lacune della sicurezza nel software non ancora in commercio nell’Unione europea. Ritiene che il futuro istituto per la protezione e la sicurezza dei cittadini (IPSC), che dipenderà dal Centro comune di ricerca (CCR), non equivalga, per natura e funzioni, all’agenzia proposta;

22. Teme che la ricerca sulla sicurezza delle reti e dell’informazione finanziata dai programmi quadro di ricerca e sviluppo dell’Unione europea non ottenga il risultato pratico desiderato qualora non sia sostenuta dai principali produttori di software del mercato. Indipendentemente da cio` chiede che si faccia uno sforzo per ottenere dai principali produttori mondiali di software un impegno maggiore nella ricerca relativa alla costituisicurezza delle reti e dell’informazione e nella relativa applicazione pratica immediata;

23. Manifesta preoccupazione per l’attuale mancanza di interoperabilità tra le differenti soluzioni tecnologiche dei produttori e per il poco interesse di questi ultimi ad elaborare norma comuni aperte;

24. Raccomanda di non promuovere l’utilizzazione di determinate soluzioni o prodotti di cifratura in quanto cio` che occorre perseguire è la convergenza di tutte le soluzioni verso una norme comune aperta e accettata da tutti i produttori;

25. Considera fondamentale che vengano stipulati degli accordi tra i vari fornitori di servizi di certificazione europei in merito al reciproco riconoscimento dei rispettivi certificati. In mancanza di tale accordo, l’utilità dei certificati elettronici sarà molto limitata e dunque il loro livello di utilizzazione minore di quello desiderato. Desta preoccupazione il fatto che delle autorità regionali che utilizzano soluzioni tecnologiche non interoperabili divengano fornitrici di servizi di certificazione; cio` rende senz’altro più difficile raggiungere l’obiettivo di un’Europa delle regioni coesa e articolata;

26. Accoglie con grande favore le iniziative europee per la normalizzazione delle firme elettroniche (EESSI), nonché quelle del programma eEurope relative alle smartcards e quelle relative all’infrastruttura di chiave pubblica (PKI);

27. Condivide il giudizio secondo cui l’armonizzazione delle specifiche favorirà una maggiore interoperabilità e consentirà agli agenti del mercato una rapida attuazione;

28. Valuta positivamente tutte le azioni proposte in materia di sostegno alla normalizzazione e alla certificazione orientate al mercato; reputa necessario adottare un’iniziativa giuridica in merito al reciproco riconoscimento dei certificati;

29. Ritiene opportuno che venga periodicamente verificato il grado di adeguamento degli operatori dei servizi di telecomunicazione per quanto riguarda le misure tecniche e organizzative da adottare al fine di salvaguardare la sicurezza dei rispettivi servizi, secondo quanto disposto dall’articolo 4 della direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle telecomunicazioni;

30. Richiama l’attenzione della Commissione sulla gravità delle conseguenze che possono derivare da atti di criminalità informatica commessi da gruppi terroristi, senza alcun altro obiettivo se non quello di causare il massimo danno a interessi collettivi a fini di ricatto politico;

31. Accoglie positivamente tutte le azioni proposte nel quadro normativo e ritiene necessario ravvicinare e armonizzare le disposizioni nazionali in materia di criminalità informatica, onde evitare che vi siano Stati europei dai quali si possa agire impunemente o facendo fronte a sanzioni minori;

32. Propone che venga promossa l’istituzione a livello nazionale di unità di polizia specializzate nella criminalità informatica, ove queste non esistano già, e il coordinamento di tutte quelle esistenti. Ritiene inoltre necessario dotare tali unità di risorse umane e tecniche sufficienti;

33. Raccomanda che in tutti gli Stati membri vengano nominati pubblici ministeri incaricati specificamente della lotta contro la criminalità informatica, provvisti di una formazione specifica che permetta loro di far fronte con la dovuta efficacia ai compiti della pubblica accusa. Occorre dare la massima importanza alla comunicazione e al coordinamento tra questi pubblici ministeri speciali, nonché alla formazione di giudici e magistrati competenti in tali settori, al fine di perseguire efficacemente le azioni che possono mettere in pericolo la sicurezza delle reti e di quanti vi accedono;

34. Condivide pienamente il giudizio della Commissione secondo cui lo sviluppo della gestione elettronica, sulla quale numerose regioni e enti locali hanno puntato al fine di migliorare le loro relazioni con i cittadini, la qualità dei servizi che forniscono e complessivamente il benessere e la partecipazione democratica, rende le amministrazioni pubbliche dei potenziali esempi di soluzioni in materia di sicurezza, nonché soggetti del mercato capaci d’influire sull’offerta attraverso le loro decisioni relative ai pubblici appalti. In tal senso, le amministrazioni pubbliche hanno il dovere di fungere da propulsore dello sviluppo della società dell’informazione e della conoscenza, in base alle rispettive competenze. In mancanza di sicurezza delle reti e dei sistemi di informazione utilizzati dalle amministrazioni mancherà la fiducia dei cittadi- ni e cio` danneggerà seriamente lo sviluppo della nuova società;

35. Propone che le misure relative alle amministrazioni pubbliche siano dirette ai tre livelli di governo (locale, regionale statale) e che l’interoperabilità delle soluzioni applicate sia considerata un obiettivo irrinunciabile;

36. Valuta positivamente il proposito di intensificare il dialogo con gli organismi e i partner internazionali sulla sicurezza delle reti e in particolare sull’aumento della sicurezza di funzionamento delle reti elettroniche; invita la Commissione studiare la possibilità di organizzare un vertice mondiale sulla sicurezza delle reti e dei sistemi di informazione, con la partecipazione di produttori e operatori, nonché a valutare la possibilità di istituire un foro europeo per la lotta alla criminalità informatica. Chiede inoltre agli Stati membri di ratificare la recente convenzione internazionale sulla criminalità informatica, del Consiglio d’Europa, in modo che possa entrare in vigore il più rapidamente possibile e siano attivati gli strumenti normativi che tale convenzione prevede.

Il Presidente
del Comitato delle regioni
Jos CHABERT

Bruxelles, 15 novembre 2001.