L’Unione europea risponde picche agli Stati Uniti e non mette al bando le società di telecomunicazioni cinesi dalla realizzazione delle reti 5G. “Non sta a noi bandire le imprese, sono gli Stati membri che, se è il caso, dovranno prendere una tale decisione”, ha detto il vicepresidente della Commissione, Andris Ansip a Strasburgo, in occasione della pubblicazione delle raccomandazioni dell’Ue sui passi operativi e sulle misure da intraprendere per assicurare un alto livello di cybersicurezza dei network 5G.
Ansip ha precisato che il problema è “avere un approccio che si fondi sulla conoscenza della situazione e sul coordinamento fra Stati nel delineare misure di riduzione dei rischi che rendano non necessario passare al bando di imprese’.
Huawei: approccio dell’Ue obiettivo e proporzionato
Huawei ha giudicato “obiettivo e proporzionato” l’approccio della Commissione Europea sulle raccomandazioni per la sicurezza delle reti 5G e si dichiara “fermamente impegnato a continuare a lavorare con tutti gli enti regolatori e i partner per fare del dispiegamento del 5G in Europa un successo”.
5G, quali sono le raccomandazioni e le azioni da fare indicate dalla Commissione Ue
In risposta al sostegno espresso dai capi di Stato e di governo in occasione del Consiglio europeo del 22 marzo a favore di un approccio concertato alla sicurezza delle reti 5G, la Commissione europea ha raccomandato una serie di azioni concrete per valutare i rischi per la cibersicurezza delle reti 5G e per rafforzare le misure preventive. La raccomandazione prevedono una serie di misure operative:
1. A livello nazionale
Entro fine giugno 2019 ogni Stato membro dovrebbe completare la valutazione nazionale dei rischi delle infrastrutture di rete 5G. Su tale base gli Stati membri dovrebbero aggiornare i requisiti di sicurezza vigenti a carico dei fornitori di rete e includere condizioni per garantire la sicurezza delle reti pubbliche, in particolare per quanto riguarda la concessione dei diritti di uso delle frequenze radio nelle bande 5G. Tali misure dovrebbero comprendere il rafforzamento degli obblighi a carico dei fornitori e degli operatori di garantire la sicurezza delle reti. Le valutazioni nazionali dei rischi e le misure dovrebbero tener conto di diversi fattori di rischio, quali i rischi tecnici e i rischi connessi al comportamento dei fornitori o degli operatori, compresi quelli dei paesi terzi. Le valutazioni nazionali dei rischi costituiranno un elemento centrale per la realizzazione di una valutazione coordinata dei rischi a livello UE.
Gli Stati membri dell’UE hanno il diritto di escludere dai loro mercati, per motivi di sicurezza nazionale, le imprese che non rispettano le norme e il quadro giuridico del paese.
2. A livello UE
Gli Stati membri dovrebbero scambiare informazioni tra di loro e, con il sostegno della Commissione e dell’Agenzia europea per la cibersicurezza (ENISA), completeranno la valutazione dei rischi coordinata entro il 1° ottobre 2019. Su tale base gli Stati membri concorderanno un insieme di misure di attenuazione utilizzabili a livello nazionale, che possono comprendere obblighi di certificazione, test, controlli, nonché l’identificazione dei prodotti o dei fornitori ritenuti potenzialmente non sicuri. Questo lavoro sarà svolto dal gruppo di cooperazione delle autorità competenti, istituito nel quadro della direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), con l’ausilio della Commissione e dell’ENISA. Il lavoro coordinato dovrebbe essere di sostegno alle azioni degli Stati membri a livello nazionale e fornire orientamenti alla Commissione per eventuali ulteriori iniziative a livello UE. Inoltre, gli Stati membri dovrebbero elaborare requisiti di sicurezza specifici che potrebbero essere applicati nel contesto degli appalti pubblici relativi alle reti 5G, tra cui requisiti obbligatori per l’attuazione di sistemi di certificazione della cibersicurezza.
La raccomandazione si avvarrà dell’ampia gamma di strumenti già esistenti o già concordati per rafforzare la cooperazione contro gli attacchi informatici e consentire all’UE di agire collettivamente per proteggere la sua economia e la sua società, tra cui la prima normativa a livello UE sulla cibersicurezza (direttiva sulla sicurezza delle reti e dei sistemi informativi), il regolamento sulla cibersicurezza, approvato di recente dal Parlamento europeo, e le nuove norme in materia di telecomunicazioni. La raccomandazione sarà d’ausilio agli Stati membri nell’attuazione uniforme di questi nuovi strumenti per quanto riguarda la sicurezza del 5G.
Nel settore della cibersicurezza il futuro quadro europeo di certificazione della cibersicurezza per i prodotti, i processi e i servizi digitali, previsto dal regolamento sulla cibersicurezza, dovrebbe fornire uno strumento di sostegno essenziale per promuovere livelli uniformi di sicurezza. In fase di attuazione gli Stati membri dovrebbero inoltre impegnarsi immediatamente e attivamente con tutti gli altri portatori di interessi nello sviluppo di sistemi di certificazione dedicati a livello UE per il 5G. Una volta resi disponibili tali sistemi, gli Stati membri dovrebbero rendere obbligatoria la certificazione in questo settore attraverso regolamentazioni tecniche nazionali.
Nel settore delle telecomunicazioni gli Stati membri devono garantire l’integrità e la sicurezza delle reti pubbliche di comunicazione, imponendo obblighi volti ad assicurare che gli operatori adottino misure tecniche e organizzative per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi.
Prossime fasi
- Gli Stati membri dovrebbero completare la valutazione nazionale dei rischi entro il 30 giugno 2019 e aggiornare le necessarie misure di sicurezza. La valutazione nazionale dei rischi dovrebbe essere trasmessa alla Commissione e all’Agenzia europea per la cibersicurezza (ENISA) entro il 15 luglio 2019.
- Parallelamente gli Stati membri e la Commissione avvieranno le attività di coordinamento nell’ambito del gruppo di cooperazione istituito a norma della direttiva NIS. L’ENISA completerà il panorama delle minacce per il 5G, che sarà d’ausilio agli Stati membri per la predisposizione entro il 1° ottobre 2019 della valutazione dei rischi a livello UE.
- Entro il 31 dicembre 2019 il gruppo di cooperazione istituito a norma della direttiva NIS dovrebbe concordare le misure di attenuazione per far fronte ai rischi per la cibersicurezza individuati a livello nazionale e dell’UE.
- Una volta che il regolamento sulla cibersicurezza, recentemente approvato dal Parlamento europeo, entrerà in vigore nelle prossime settimane, la Commissione e l’ENISA istituiranno il quadro di certificazione a livello UE. Gli Stati membri sono incoraggiati a cooperare con la Commissione e con l’ENISA per stabilire l’ordine di priorità del sistema di certificazione per le reti e le apparecchiature 5G.
- Entro il 1° ottobre 2020 gli Stati membri, in cooperazione con la Commissione, dovrebbero valutare gli effetti della raccomandazione per determinare se vi sia bisogno di ulteriori interventi. La valutazione dovrebbe tenere conto dell’esito della valutazione europea coordinata dei rischi e dell’efficacia dell’insieme di misure.
Le vulnerabilità delle reti 5G o gli attacchi informatici alle future reti di uno Stato membro colpirebbero l’Unione nel suo complesso. Per questo motivo le misure concordate adottate a livello sia nazionale sia europeo devono garantire un elevato livello di cibersicurezza.
