Non c’è l’Italia fra i quattro “modelli nazionali europei” di cyber-sicurezza scelti dall’Enisa come esempi cui ispirarsi. L’Enisa è l’Agenzia europea che si preoccupa della sicurezza delle reti e delle informazioni on line: in un recente rapporto, essa constata che la cyber-sicurezza in Europa non è uguale per tutti, perchè i livelli di preparazione dei Paesi dell’Ue per sventare cyber-attacchi sono molto diversi l’uno dall’altro. E anche i meccanismi di condivisione delle informazioni e la cooperazione fra le istituzioni coinvolte variano di molto da Paese a Paese. L’Enisa ne trae la conclusione che l’Europa non ha (ancora?) un modello nazionale di sicurezza dell’informazione on line, anche se molti Paesi non lesinano sforzi in tale direzione. E il direttore esecutivo dell’Agenzia Udo Helmbrecht pensa che mappare la sicurezza Stato per Stato “offra una fonte d’informazione fondamentale per potere poi condividere le best practices“.
L’Enisa mette in risalto quattro esempi di strategia nazionale: la Francia, che s’è dotata di una strategia nazionale nel febbraio 2011, con l’ambizione di diventare leader mondiale della cyber-sicurezza; la Germania, che vuole approfondire i rapporti con i Paesi europei e a livello mondiale, perchè la cyber-sicrezza è questione globale, e che prepara la creazione di un Centro di Cyber-difesa nazionale; l’Olanda, che ha elaborato una strategia completa e complessa, accompagnata da un piano d’azione presentato in febbraio al Parlamento; e l’Estonia, che, essendo stata oggetto nel 2007 di massicci attacchi, s’è dotata di una strategia adeguata.
I singoli rapporti nazionali dell’Enisa riguardano i 27 Paesi Ue e i tre Paesi dello See, lo Spazio economico europeo, Norveglia, Islanda e Liechtenstein. Per ogni Stato, l’Agenzia indica qual è la strategia nazionale di cyber-sicurezza, che spesso non esiste; elenca l’insieme delle misure adottate; cita i protagonisti della cyber-sicurezza, il loro ruolo, il loro mandato, le loro responsabilità; nota i meccanismi di condivisione dell’informazione. Fra i fattori di valutazione dei modelli, ci sono la gestione degli incidenti e la percezione dei rischi e le pratiche di comunicazione in caso di incidente e sui rischi, l’affidabilità delle reti, i livelli di riservatezza, fiducia e consapevolezza.
