“Insieme agli Stati membri, individueremo quali componenti specifiche della catena di fornitura ICT dei nostri settori critici richiederebbero misure di mitigazione mirate. Proponiamo una serie di possibili misure di riduzione del rischio, tra cui restrizioni per i fornitori ad alto rischio”.
Così ha scritto Henna Virkkunen, Vicepresidente esecutiva e Commissaria europea per le tecnologie digitali e di frontiera della Commissione europea, nelle sue osservazioni riguardo al “Cybersecurity Package” e in particolare alle reti 5G.
Pacchetto Ue sulla cybersecurity e phase-out dei fornitori ad alto rischio
La Commissione europea accelera sulla sicurezza digitale e sulla riduzione delle dipendenze strategiche dell’Unione. Con un nuovo pacchetto di misure sulla cybersecurity, Bruxelles si prepara a proporre l’eliminazione graduale delle apparecchiature prodotte da fornitori considerati ad alto rischio – inutile sottolinearlo, in particolare cinesi – dalle infrastrutture critiche europee.
Una scelta che, secondo quanto anticipato dal Financial Times, colpirà aziende come Huawei e ZTE e che mira a rafforzare la sovranità tecnologica dell’Ue, riducendo al contempo il rischio di interferenze, spionaggio e raccolta di informazioni sensibili.
Massima attenzione aalle infrastrutture critiche
Il cuore dell’iniziativa è contenuto nella revisione del Cybersecurity Act e in un più ampio Cybersecurity Package presentato dalla Commissione. Le nuove regole consentiranno di limitare o escludere progressivamente i fornitori ritenuti ad alto rischio da 18 settori critici, tra cui le reti di telecomunicazioni, incluse le infrastrutture 5G (e possiamo mettere in prospettiva quelle 6G), i sistemi di energia e stoccaggio elettrico (compresi quelli legati al solare), i trasporti intelligenti e connessi, gli scanner e i sistemi di sicurezza, le forniture idriche, i droni e i sistemi anti‑drone, oltre a cloud, dispositivi medici, semiconduttori, sistemi di sorveglianza e servizi della Space economy.
Per gli operatori mobili “è previsto un periodo di 36 mesi dalla pubblicazione dell’elenco dei fornitori ad alto rischio per eliminare gradualmente i componenti critici dalle reti”. Tempi e modalità per le reti fisse, la fibra ottica, i cavi sottomarini e i satelliti, è riportato dalla Reuters, saranno definiti successivamente.
Le restrizioni, si legge, scatteranno solo dopo una valutazione formale del rischio, avviata dalla Commissione o da almeno tre Stati membri, e saranno basate su analisi di mercato e studi di impatto.
I quattro pilastri del Cybersecurity Package
Secondo la Commissione, l’iniziativa risponde a un contesto di minaccia sempre più complesso. L’Europa è al centro di una vera e propria hybrid warfare: “ogni giorno le infrastrutture critiche sono bersaglio di cyber‑attacchi che spaziano dall’accesso clandestino alle reti (pre‑positioning) allo spionaggio, fino a ransomware e operazioni di disturbo. Spesso, queste attività digitali si intrecciano con campagne di disinformazione o con azioni fisiche, come sabotaggi e violazioni dello spazio aereo”, è spiegato nel testo.
Il pacchetto presentato dalla Commissione si articola in quattro direttrici principali.
1. Rafforzamento di ENISA. L’Agenzia dell’Unione europea per la cybersicurezza diventa un perno centrale del nuovo sistema. ENISA sarà dotata di maggiori competenze e risorse per riflettere un ambiente di sicurezza in rapido mutamento. Tra i nuovi compiti: fungere da punto di ingresso unico per la segnalazione degli incidenti, produrre allerta precoci sulle minacce informatiche e offrire un servizio di help‑desk, in collaborazione con Europol e i CSIRT nazionali, per assistere le aziende colpite da attacchi ransomware. L’Agenzia svilupperà inoltre una capacità comune europea di gestione delle vulnerabilità.
2. De‑risking della supply chain ICT. La Commissione intende trasformare la 5G Cybersecurity Toolbox, adottata nel 2020, in un approccio obbligatorio per evitare frammentazioni del mercato interno. Insieme agli Stati membri, Bruxelles identificherà i componenti più sensibili delle catene di fornitura ICT nei settori critici e definirà misure di mitigazione mirate, comprese restrizioni o divieti per i fornitori ad alto rischio.
3. Semplificazione e revisione della NIS2. Il pacchetto include una proposta di modifica della direttiva NIS2 per ridurre gli oneri amministrativi per le imprese. Vengono chiariti ambito e definizioni, con l’obiettivo di alleggerire gli obblighi di conformità per circa 30 mila aziende, incluse oltre 6 mila micro e piccole imprese. È introdotta una nuova categoria di small mid‑cap enterprises, che ridurrà i costi di compliance per oltre 22 mila società, e sono previste misure per razionalizzare la raccolta dei dati sugli attacchi ransomware.
4. Nuovo quadro di certificazione europea. Il sistema di certificazione della cybersicurezza viene ripensato per essere più dinamico ed efficace. ENISA gestirà direttamente gli schemi di certificazione, puntando a standard il più possibile globali. Il rinnovato European Cybersecurity Certification Framework dovrà favorire prodotti e servizi secure‑by‑design e diventare uno strumento di semplificazione per le imprese, consentendo di dimostrare più facilmente la conformità ai requisiti della NIS2 in tutto il mercato unico.
Dal principio di non discriminazione ai maggiori costi, le critiche
Le misure, ovviamente, hanno già suscitato reazioni critiche da parte della Cina e delle aziende coinvolte. Huawei ha denunciato il rischio di discriminazioni basate sull’origine geografica dei fornitori e ha richiamato i principi di proporzionalità e non discriminazione dell’Ue, oltre agli obblighi WTO. Dall’altra parte, le associazioni di settore europee avvertono che il phase‑out potrebbe comportare costi aggiuntivi per miliardi di euro.
Il percorso legislativo è però appena iniziato. Le proposte dovranno essere negoziate con gli Stati membri e con il Parlamento europeo nei prossimi mesi prima di diventare legge. Per Bruxelles, la posta in gioco è alta: in un’Europa sempre più digitale, la sicurezza informatica è ormai parte integrante della sicurezza complessiva dell’Unione. Un attacco a uno Stato membro, ribadisce la Commissione, è una minaccia per tutti.
