Le origini
Il gruppo di coordinamento sulla cybersecurity (CEN-CENELEC-ETSI CSCG, cybersecurity coordination group) nasce nella seconda metà del 2011 da una iniziativa nata all’interno e tra i membri del DIN, l’ente di normazione tedesco. Si sentiva l’esigenza di un coordinamento migliore nel campo della normazione della sicurezza delle informazioni e in particolare della cybersecurity; l’innesco iniziale è stata la diffusione prevista delle cosiddette smart grid, con i relativi problemi di sicurezza e di coordinazione tra stati. Quasi immediatamente sono stati coinvolti gli enti di normazione europei, CEN e CENELEC e i loro membri. Tra i contributi dei national body nel 2011 poi realizzati c’è stato il coinvolgimento di ETSI tra gli stakeholder principali del gruppo, oltre che di ENISA e delle istituzioni UE (La Commissione è rappresentata attraverso il JRC (Joint Research Group) e soprattutto il chairman del CSCG, Christian Ehler, è un membro dell’Europarlamento.
Il mandato
Dall’inizio si chiarisce che il mandato del CSCG non è quello di creare direttamente norme o linee guida, quindi di evitare duplicazioni con le attività sia di ETSI sia del CEN e dei suoi membri, ma quello di coordinare e censire la attività esistenti, di consigliare le istituzioni UE sul livello strategico della normazione e in generale da fungere da punto di contatto tra il mondo “tecnico” della normazione e il livello “politico”. Un ruolo del genere in un sistema frammentato come quello europeo è tanto più necessario nel momento in cui si cerca di stabilire dei rapporti di cooperazione con entità extra-EU, in primis con gli Stati Uniti – NIST e ANSI in particolare.
L’attività operativa è iniziata nel dicembre 2011 con la prima riunione tenutasi a Berlino e a partire dal 2012 sono programmate tre riunioni annuali, l’ultima tenutasi ad Atene e ospitata da ENISA all’inizio di dicembre.
Nel dettaglio il mandato (terms of reference) del CSCG approvato dai membri include:
- Agire da “consigliere strategico” in materia di cybersecurity per il comitati tecnici di CEN, CENELEC ed ETSI;
- analizzare gli standard esistenti, Europei e internazionali;
- definire le necessità Europee in tema di normazione;
- suggerire una roadmap Europea sulla normazione della cybersecurity;
- agire da punto di contatto per le Istituzioni Europeaa in tema di normazione della cybersecurity;
- cooperare con gli enti produttori di normazione USA;
- suggerire una strategia comune EU-USA per la creazione di una cornice per la standardizzazione della cybersecurity;
L’ attività del 2012
Nel corso delle tre riunioni del 2012, ospitate dal DIN, da AFNOR e da ENISA, è stato approvato definitivamente il mandato del CSCG; altrettanto non si può dire delle materie su cui il gruppo dovrà concentrarsi (cybersecurity è un termine abbastanza vago dopotutto…). In corso d’anno si è sviluppato un documento a matrice sugli argomenti e le minacce principali su cui concentrarsi e solo adesso questo tra prendendo una forma definitiva, anche se ovviamente negli anni a venire questo dovrà essere un documento “vivo”, continuamente aggiornato. Di nuovo viene ribadita l’importanza della sicurezza delle reti di distribuzione intelligenti (smart grid) e della protezione delle infrastrutture critiche (CIP), da me proposta. (A mio parere le smart grid sono un’infrastruttura critica, quindi non servono due argomenti, ma a quanto pare la buzzword “smart grid” è troppo bella per abbandonarla ed è una parola chiave nei documenti UE…). Altri argomenti ritenuti importanti sono la diffusione dei servizi cloud e mobili, la protezione dei sistemi di automazione industriale, la gestione dell’identità digitale ed altri ancora.
Il futuro
C’è ancora a mio parere molto lavoro da fare per fissare meglio questi argomenti e alcuni aspetti importanti non sono molto in evidenza, in particolare la protezione della privacy e dei diritti individuali dei cittadini e l’interscambio di dati sugli incidenti informatici tra i CERT, un settore in cui la normazione potrebbe portare dei vantaggi notevoli. Quindi nel prossimo futuro una priorità sarà sicuramente la definizione delle aree su cui concentrarsi, oltre che iniziare veramente ad implementare il mandato, in particolare per quanto riguarda il censimento dei mandati e delle attività esistenti in tema di standardizzazione e l’inizio di una collaborazione con NIST e ANSI. A questo fine un gruppo ad-hoc sta lavorando per sottoporre alla Commissione la possibilità di conferire al CSCG un mandato formale per le sue attività e l’intero gruppo sta cominciando a ragionare di un memorandum di intesa con gli enti americani: un rappresentante del NIST era stato invitato già ad Atene ma non è potuto essere presente.
Considerazioni
Gruppi di questo genere (ce ne sono alcuni altri a livello europeo) sono oggetto di molte critiche, in generale centrate sul timore di sovrapposizioni con le attività dei singoli national body e degli enti di normazione europei e mondiali. Ritengo che siano per la maggior parte infondate – è chiarissimo per esempio che il CSCG, come gli altri – non produce norme e che un coordinamento sia tra i “produttori” di norme, sia tra il mondo della normazione e il livello “politico” sia necessaria e utile, proprio ad evitare duplicazioni di lavoro. Sono personalmente convinto inoltre che sia necessario uscire dal “recinto” strettamente tecnico in cui spesso il mondo degli standard si rinchiude, per dialogare meglio sia con le istituzioni che con il mondo delle aziende. C’è sicuramente da migliorare l’efficienza nei lavori del gruppo, che data la numerosità e l’eterogeneità dei suoi componenti qualche volta fatica a trovare una sua strada, ma è senza dubbio possibile. Nel corso del 2013 sono stati già programmate le tre riunioni e nel frattempo procedono i lavori sui documenti in lavorazione.
Aggiornamento – Luglio 2013
CEN, CENELEC ed ENISA hanno firmato ufficialmente il 10 Luglio 2013 un memorandum di intesa, formalizzando la loro collaborazione nella cornice del CSC.
