Cibersicurezza delle reti 5G: a integrazione dell’ultima relazione sui progressi compiuti dagli Stati membri, la Commissione annuncia le prossime tappe

Scritto da

Cibersicurezza delle reti 5G: a integrazione dell’ultima relazione sui progressi compiuti dagli Stati membri, la Commissione annuncia le prossime tappe

Cibersicurezza delle reti 5G: a integrazione dell’ultima relazione sui progressi compiuti dagli Stati membri, la Commissione annuncia le prossime tappe, giovedì 15 giugno 2023

Commissione europea. Gli Stati membri dell’UE, con il sostegno della Commissione europea e dell’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, hanno pubblicato oggi la seconda relazione sui progressi compiuti nell’attuazione del pacchetto di strumenti dell’UE sulla cibersicurezza del 5G. La relazione tiene conto anche di alcune delle raccomandazioni contenute nella relazione speciale della Corte dei conti europea del gennaio 2022. A integrazione della relazione, la Commissione ha adottato oggi una comunicazione su come il pacchetto di strumenti sia stato attuato negli Stati membri, nella comunicazione istituzionale dell’UE e nelle sue attività di finanziamento.

Per quanto riguarda le misure strategiche, in particolare l’introduzione di restrizioni nei confronti dei fornitori ad alto rischio, la relazione segnala che 24 Stati membri hanno adottato o stanno preparando misure legislative che conferiscono alle autorità nazionali il potere di valutare i fornitori e di emanare restrizioni; 10 di questi Stati membri hanno imposto restrizioni e 3 sono impegnati nell’attuazione della legislazione nazionale in questione. Data l’importanza delle infrastrutture di connettività per l’economia digitale e la dipendenza di molti servizi essenziali dalle reti 5G, gli Stati membri dovrebbero attuare senza indugio il pacchetto di strumenti.

Nella comunicazione la Commissione manifesta forte preoccupazione sui rischi per la sicurezza dell’Unione posti da alcuni fornitori di apparecchiature per la comunicazione su rete mobile. La Commissione giudica che le decisioni adottate dagli Stati membri per limitare l’accesso di Huawei e ZTE alle reti 5G o escluderle da queste reti siano giustificate e conformi al pacchetto di strumenti sul 5G . In linea con tali decisioni e sulla base di un’ampia gamma di informazioni disponibili, la Commissione ritiene che Huawei e ZTE pongano in effetti rischi più elevati di altri fornitori di 5G.

Comunicazione della Commissione sull’attuazione del pacchetto di strumenti

La sicurezza delle reti 5G è una priorità fondamentale per la Commissione ed è anche una componente imprescindibile della strategia per l’Unione della sicurezza, in quanto le reti 5G sono un’infrastruttura centrale, che costituisce la base di un’ampia gamma di servizi essenziali per il funzionamento del mercato interno e per il funzionamento e il mantenimento di funzioni vitali della società e dell’economia. La questione è fondamentale per la sovranità, l’autonomia strategica e la resilienza dell’Unione. Nella comunicazione adottata oggi la Commissione prende atto dell’adozione della seconda relazione sui progressi compiuti nell’attuazione del pacchetto di strumenti dell’UE, elaborata dal gruppo di cooperazione NIS, ed esprime la propria soddisfazione.

Fatte salve le competenze degli Stati membri in materia di sicurezza nazionale, la Commissione ha inoltre applicato i criteri del pacchetto di strumenti per valutare le necessità e le vulnerabilità dei suoi sistemi di comunicazione istituzionale e di quelli delle altre istituzioni e degli altri organi e organismi europei , e per analizzare l’attuazione dei programmi di finanziamento dell’Unione alla luce degli obiettivi strategici generali dell’Unione stessa. Basandosi sulla sua propria valutazione, che è in linea con quella di alcuni Stati membri, la Commissione sollecita gli Stati membri che non hanno ancora attuato il pacchetto di strumenti ad adottare con urgenza le misure del caso, secondo quanto raccomandato nel pacchetto di strumenti dell ‘ UE, perché si possono affrontare in modo rapido ed efficace i rischi posti dai fornitori in questione.

Nell’ambito della strategia istituzionale in materia di cibersicurezza e in applicazione del pacchetto di strumenti per la cibersicurezza del 5G, la Commissione adotterà misure per evitare l’esposizione delle sue comunicazioni istituzionali su reti mobili che utilizzano Huawei e ZTE come fornitori . Prenderà gli opportuni provvedimenti in tema di sicurezza in modo da non acquistare nuovi servizi di connettività basati su apparecchiature di questi fornitori e collaborerà con gli Stati membri e con gli operatori delle telecomunicazioni per fare in modo che tali fornitori siano progressivamente esclusi dagli attuali servizi di connettività dei siti della Commissione.

La Commissione intende inoltre tenere conto di questa decisione in tutti i programmi e gli strumenti di finanziamento interessati dell’UE .

Seconda relazione sui progressi compiuti nell’attuazione del pacchetto di strumenti sul 5G

La relazione adottata dagli Stati membri rileva che, dalla prima relazione del luglio 2020, sono stati compiuti altri progressi nell’attuazione delle principali misure del pacchetto di strumenti dell’UE. La stragrande maggioranza degli Stati membri ha rafforzato o sta rafforzando i requisiti di sicurezza delle reti 5G sulla base del pacchetto di strumenti dell’UE. Eppure, nonostante i progressi compiuti, la relazione rileva che la situazione attuale comporta il rischio evidente di una persistente dipendenza, nel mercato interno, da fornitori ad alto rischio, con ripercussioni negative potenzialmente gravi sulla sicurezza degli utenti e delle imprese in tutta l’UE , ed anche delle infrastrutture critiche dell’UE.

La relazione contiene indicazioni indirizzate agli Stati membri affinché:

  • provvedano a che gli operatori mobili forniscano loro informazioni complete e dettagliate sulle apparecchiature 5G attualmente in uso e sui loro piani per il dispiegamento o l’approvazione di nuove apparecchiature;
  • nel valutare il profilo di rischio dei fornitori , prendano in considerazione i criteri oggettivi raccomandati nel pacchetto di strumenti dell’UE. In tale contesto, è evidente che le caratteristiche dei fornitori di 5G presentano evidenti differenze , in particolare per quanto riguarda la loro probabilità di essere influenzati da specifici paesi terzi le cui norme in materia di sicurezza ei cui sistemi di governo societario rappresentano un rischio potenziale per la sicurezza dell’Unione. È opportuno anche tenere conto delle indicazioni di altri Stati membri per quanto riguarda i fornitori ad alto rischio, al fine di promuovere la coerenza e un livello elevato di sicurezza in tutta l’Unione;
  • in base alla valutazione dei fornitori, impongano senza indugio restrizioni ai fornitori ad alto rischio , poiché qualsiasi ritardo può accrescere l’individualità delle reti dell’Unione e la sua dipendenza dai suddetti fornitori, in particolare per gli Stati membri con un’elevata presenza di fornitori potenzialmente ad alto rischio;
  • per attenuare efficacemente i rischi, provvedano a che le restrizioni riguardino gli asset critici e altamente sensibili individuati nella valutazione coordinata dei rischi a livello dell’UE, compresa la rete di accesso radio ;
  • per i tipi di apparecchiature soggette a restrizioni, gli operatori non possono essere autorizzati a installare nuove apparecchiature . Ove previsti, i periodi di transizione per la rimozione delle apparecchiature esistenti devono essere definiti in modo da garantire che avvenga nel più breve tempo possibile , tenendo conto del rischio per la sicurezza legato al mantenimento delle apparecchiature di fornitori ad alto rischio, e l’applicazione dei periodi di transizione non deve permettere che prosegua il dispiegamento di nuove apparecchiature di fornitori ad alto rischio;
  • attuino restrizioni sui fornitori di servizi gestiti (Managed Service Providers – MSP) e, nel caso dell’esternalizzazione di funzioni a tali fornitori, impongano disposizioni di sicurezza rafforzate in relazione all’accesso accordato a tali soggetti;
  • vaglino ulteriormente l’ applicabilità delle misure relative alla diversificazione dei fornitori e il modo migliore per garantire che qualsiasi potenziale diversificazione non comporti nuovi o maggiori rischi per la sicurezza, ma contribuisca invece alla sicurezza e alla resilienza;
  • impongano misure tecniche e garantiscano un livello elevato di vigilanza . È opportuno porre particolare attenzione a determinate misure, in particolare garantire l’applicazione dei requisiti di base in materia di sicurezza, innalzare gli standard di sicurezza dei processi dei fornitori attraverso rigide condizioni di appalto e garantire la sicurezza della gestione, del funzionamento e del monitoraggio della rete 5G.

Contesto

Il pacchetto di strumenti dell’UE sulla cibersicurezza del 5G (pacchetto di strumenti dell’UE), pubblicato nel gennaio 2020 dalle autorità degli Stati membri (gruppo di cooperazione NIS) con il sostegno della Commissione e dell’ENISA, mira ad affrontare i rischi connessi alla cibersicurezza delle reti 5G. Il pacchetto di strumenti dell’UE individua e descrive una serie di misure strategiche e tecniche e le corrispondenti azioni di sostegno per rafforzarne l’efficacia): la loro attuazione può attenuare i rischi individuati nella relazione sulla valutazione coordinata dei rischi a livello dell’UE in materia di cibersicurezza delle reti 5G, che si basa a sua volta su valutazioni nazionali.

Il pacchetto di strumenti e le indicazioni principali in esso contenute sono stati approvati dalla Commissione e dagli Stati membri al più alto livello. Nell’ottobre 2020 il Consiglio europeo ha chiesto all’UE e agli Stati membri di “avvalersi appieno del pacchetto di strumenti per la cibersicurezza del 5G, aggiungendo il 29 gennaio 2020, e in particolar modo di applicare le pertinenti restrizioni ai fornitori ad alto rischio per gli asset chiave definiti critici e sensibili nelle valutazioni dei rischi coordinate a livello dell’UE, […] sulla base di criteri oggettivi comuni”. Nella raccomandazione del dicembre 2022, il Consiglio dell’UE ha ribadito che “è importante che gli Stati membri attuino le misure raccomandate nel pacchetto di strumenti dell’UE sulla cibersicurezza delle reti 5G e, in particolare, che introducano restrizioni nei confronti dei fornitori ad alto rischio, considerando che i ritardi possono aumentare la difficoltà delle reti nell’Unione”.

Una prima relazione sui progressi compiuti dagli Stati membri nell’attuazione del pacchetto di strumenti dell’UE, pubblicata nel luglio 2020, aveva concluso che erano state adottate misure concrete per attuare il pacchetto. Molti Stati membri avevano già chiesto o erano a buon punto nella preparazione di misure di sicurezza più avanzate inerenti alla cibersicurezza del 5G. Nella relazione speciale del gennaio 2022, la Corte dei conti ha concluso che dall’adozione del pacchetto di strumenti dell’UE erano stati compiuti progressi per rafforzare la sicurezza delle reti 5G. Tuttavia la Corte ha anche sottolineato che gli Stati membri hanno presentato approcci divergenti per quanto riguarda l’uso di apparecchiature di fornitori ad alto rischio o la portata delle restrizioni.

Per ulteriori informazioni

Comunicazione della Commissione “Attuazione del pacchetto di strumenti per la cibersicurezza del 5G”

Seconda relazione sui progressi compiuti nell’attuazione del pacchetto di strumenti sul 5G

Politiche di cibersicurezza dell’UE

Pacchetto di strumenti dell’UE per il 5G

Citazioni

Nel quadro del pacchetto di strumenti dell’UE occorrono altri interventi urgenti. In particolare, nei confronti dei fornitori ad alto rischio dobbiamo adottare le restrizioni necessarie a garantire la sicurezza delle infrastrutture critiche dell’UE. Nonostante i passi avanti compiuti da alcuni Stati membri, la relazione odierna evidenzia che non abbiamo ancora conseguito il risultato necessario. La Commissione sta facendo quanto occorre per garantire la sicurezza delle proprie reti e dei suoi strumenti di finanziamento.Margrethe Vestager, vicepresidente esecutivo per Un’Europa pronta per l’era digitale – 15/06/2023

Come precisato nella relazione, il completamento degli sforzi per dare piena attuazione alle misure del pacchetto di strumenti per il 5G costituisce una priorità urgente per le autorità nazionali, e ciò al fine di tutelare la sicurezza collettiva dell’UE. Per rendere impenetrabile l’infrastruttura dell’Unione di sicurezza è essenziale portare a termine questi sforzi, individuando in particolare i fornitori di 5G ad alto rischio e limitando l’accesso loro accordato.Margaritis Schinas, vicepresidente per la Promozione dello stile di vita europeo – 15/06/2023

Siamo riusciti, in tempi record, a ridurre o eliminare la dipendenza europea in altri settori, come quello energetico: un risultato che molti ritenevano impossibile. Per il 5G la situazione non dovrebbe essere diversa. Non possiamo permetterci dipendenze critiche, che potrebbero trasformarsi in un'”arma” contro i nostri interessi. Si tratterebbe di una vulnerabilità e di un rischio troppo gravi per la nostra sicurezza comune. Sollecito quindi tutti gli Stati membri e gli operatori delle telecomunicazioni ad adottare senza ulteriori indugi le misure necessarie.Thierry Breton, commissario per il Mercato interno – 15/06/2023

PDF stampabile

Cibersicurezza delle reti 5G: la Commissione annuncia le annunciate tappe

italiano (54.728 kB – PDF)