K metro 0 – Strasburgo – la Commissione europea ha raccomandato una serie di iniziative e misure operative per assicurare un livello elevato di cibersicurezza delle reti 5G in tutta l’UE.

Le reti di quinta generazione (5G) costituiranno la futura colonna portante delle nostre società e delle nostre economie, collegando miliardi di oggetti e sistemi, anche in ambiti critici come l’energia, i trasporti, le banche e la salute, nonché i sistemi di controllo industriali che trasportano informazioni sensibili e fanno da supporto ai sistemi di sicurezza. I processi democratici, come le elezioni, fanno sempre più affidamento sulle infrastrutture digitali e sulle reti 5G, il che evidenzia la necessità di affrontare le vulnerabilità e rende le raccomandazioni della Commissione quanto più pertinenti in previsione delle elezioni del Parlamento europeo di maggio.

In risposta al sostegno espresso dai capi di Stato e di governo in occasione del Consiglio europeo del 22 marzo a favore di un approccio concertato alla sicurezza delle reti 5G, la Commissione europea raccomanda ieri una serie di azioni concrete per valutare i rischi per la cibersicurezza delle reti 5G e per rafforzare le misure preventive. Le raccomandazioni consistono in una combinazione di strumenti legislativi e di azioni pensati per proteggere le nostre economie, le nostre società e i nostri sistemi democratici. Con profitti a livello mondiale stimati a 225 miliardi di euro nel 2025, il 5G è una risorsa fondamentale per l’Europa per competere nel mercato globale e la sua cibersicurezza è essenziale per garantire l’autonomia strategica dell’Unione.

Andrus Ansip, Vicepresidente e Commissario per il Mercato unico digitale, ha dichiarato: “La tecnologia 5G trasformerà la nostra economia e la nostra società e offrirà enormi opportunità ai singoli e alle imprese.Ma non possiamo permettere che questo accada senza garantire la massima sicurezza. È pertanto essenziale che nell’UE le infrastrutture 5G siano resilienti e totalmente al sicuro da botole giuridiche o tecniche.”

Julian King, Commissario responsabile dell’Unione della sicurezza, ha dichiarato: “La resilienza delle nostre infrastrutture digitali è fondamentale per i governi, le imprese, la sicurezza dei nostri dati personali e il funzionamento delle nostre istituzioni democratiche. Dobbiamo sviluppare un approccio europeo per proteggere l’integrità del 5G, che è destinato a diventare l’ossatura digitale delle nostre vite interconnesse.”

Mariya Gabriel, Commissaria responsabile per l’Economia e la società digitali, ha aggiunto: “Con la protezione delle reti 5G si mira a proteggere le infrastrutture che sosterranno funzioni vitali della società e dell’economia, come l’energia, i trasporti, le banche e la sanità, nonché le fabbriche del futuro che saranno molto più automatizzate. Proteggere le reti 5G significa anche proteggere i nostri processi democratici, come le elezioni, contro le interferenze e la disinformazione.”

Le vulnerabilità delle reti 5G o gli attacchi informatici alle future reti di uno Stato membro colpirebbero l’Unione nel suo complesso. Per questo motivo le misure concordate adottate a livello sia nazionale sia europeo devono garantire un elevato livello di cibersicurezza.

La raccomandazione di oggi prevede una serie di misure operative:

A livello nazionale

Entro fine giugno 2019 ogni Stato membro dovrebbe completare la valutazione nazionale dei rischi delle infrastrutture di rete 5G. Su tale base gli Stati membri dovrebbero aggiornare i requisiti di sicurezza vigenti a carico dei fornitori di rete e includere condizioni per garantire la sicurezza delle reti pubbliche, in particolare per quanto riguarda la concessione dei diritti di uso delle frequenze radio nelle bande 5G. Tali misure dovrebbero comprendere il rafforzamento degli obblighi a carico dei fornitori e degli operatori di garantire la sicurezza delle reti. Le valutazioni nazionali dei rischi e le misure dovrebbero tener conto di diversi fattori di rischio, quali i rischi tecnici e i rischi connessi al comportamento dei fornitori o degli operatori, compresi quelli dei paesi terzi. Le valutazioni nazionali dei rischi costituiranno un elemento centrale per la realizzazione di una valutazione coordinata dei rischi a livello UE.

Gli Stati membri dell’UE hanno il diritto di escludere dai loro mercati, per motivi di sicurezza nazionale, le imprese che non rispettano le norme e il quadro giuridico del paese.

A livello UE

Gli Stati membri dovrebbero scambiare informazioni tra di loro e, con il sostegno della Commissione e dell’Agenzia europea per la cibersicurezza (ENISA), completeranno la valutazione dei rischi coordinata entro il 1° ottobre 2019. Su tale base gli Stati membri concorderanno un insieme di misure di attenuazione utilizzabili a livello nazionale, che possono comprendere obblighi di certificazione, test, controlli, nonché l’identificazione dei prodotti o dei fornitori ritenuti potenzialmente non sicuri. Questo lavoro sarà svolto dal gruppo di cooperazione delle autorità competenti, istituito nel quadro della direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), con l’ausilio della Commissione e dell’ENISA. Il lavoro coordinato dovrebbe essere di sostegno alle azioni degli Stati membri a livello nazionale e fornire orientamenti alla Commissione per eventuali ulteriori iniziative a livello UE. Inoltre, gli Stati membri dovrebbero elaborare requisiti di sicurezza specifici che potrebbero essere applicati nel contesto degli appalti pubblici relativi alle reti 5G, tra cui requisiti obbligatori per l’attuazione di sistemi di certificazione della cibersicurezza.

La raccomandazione odierna si avvarrà dell’ampia gamma di strumenti già esistenti o già concordati per rafforzare la cooperazione contro gli attacchi informatici e consentire all’UE di agire collettivamente per proteggere la sua economia e la sua società, tra cui la prima normativa a livello UE sulla cibersicurezza (direttiva sulla sicurezza delle reti e dei sistemi informativi), il regolamento sulla cibersicurezza, approvato di recente dal Parlamento europeo, e le nuove norme in materia di telecomunicazioni. La raccomandazione sarà d’ausilio agli Stati membri nell’attuazione uniforme di questi nuovi strumenti per quanto riguarda la sicurezza del 5G.

Nel settore della cibersicurezza il futuro quadro europeo di certificazione della cibersicurezza per i prodotti, i processi e i servizi digitali, previsto dal regolamento sulla cibersicurezza, dovrebbe fornire uno strumento di sostegno essenziale per promuovere livelli uniformi di sicurezza. In fase di attuazione gli Stati membri dovrebbero inoltre impegnarsi immediatamente e attivamente con tutti gli altri portatori di interessi nello sviluppo di sistemi di certificazione dedicati a livello UE per il 5G. Una volta resi disponibili tali sistemi, gli Stati membri dovrebbero rendere obbligatoria la certificazione in questo settore attraverso regolamentazioni tecniche nazionali.

Nel settore delle telecomunicazioni gli Stati membri devono garantire l’integrità e la sicurezza delle reti pubbliche di comunicazione, imponendo obblighi volti ad assicurare che gli operatori adottino misure tecniche e organizzative per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi.