Cibersicurezza delle reti 5G: a integrazione dell'ultima relazione sui progressi compiuti dagli Stati membri

Gli Stati membri dell'UE, con il sostegno della Commissione europea e dell'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, hanno pubblicato la seconda relazione sui progressi compiuti nell'attuazione del pacchetto di strumenti dell'UE sulla cibersicurezza del 5G. La relazione tiene conto anche di alcune delle raccomandazioni contenute nella relazione speciale della Corte dei conti europea del gennaio 2022. A integrazione della relazione, la Commissione ha adottato una comunicazione su come il pacchetto di strumenti sia stato attuato negli Stati membri, nella comunicazione istituzionale dell'UE e nelle sue attività di finanziamento.

Per quanto riguarda le misure strategiche, in particolare l'introduzione di restrizioni nei confronti dei fornitori ad alto rischio, la relazione segnala che 24 Stati membri hanno adottato o stanno preparando misure legislative che conferiscono alle autorità nazionali il potere di valutare i fornitori e di emanare restrizioni; 10 di questi Stati membri hanno imposto restrizioni e 3 sono impegnati nell'attuazione della legislazione nazionale in questione. Data l'importanza delle infrastrutture di connettività per l'economia digitale e la dipendenza di molti servizi essenziali dalle reti 5G, gli Stati membri dovrebbero attuare senza indugio il pacchetto di strumenti.

Nella comunicazione la Commissione manifesta forte preoccupazione sui rischi per la sicurezza dell'Unione posti da alcuni fornitori di apparecchiature per la comunicazione su rete mobile. La Commissione giudica che le decisioni adottate dagli Stati membri per limitare l'accesso di Huawei e ZTE alle reti 5G o escluderle da queste reti siano giustificate e conformi al pacchetto di strumenti sul 5G. In linea con tali decisioni e sulla base di un'ampia gamma di informazioni disponibili, la Commissione ritiene che Huawei e ZTE pongano in effetti rischi sostanzialmente più elevati di altri fornitori di 5G.

Comunicazione della Commissione sull'attuazione del pacchetto di strumenti
La sicurezza delle reti 5G è una priorità fondamentale per la Commissione ed è anche una componente imprescindibile della strategia per l'Unione della sicurezza, in quanto le reti 5G sono un'infrastruttura centrale, che costituisce la base di un'ampia gamma di servizi essenziali per il funzionamento del mercato interno e per il funzionamento e il mantenimento di funzioni vitali della società e dell'economia. La questione è fondamentale per la sovranità, l'autonomia strategica e la resilienza dell'Unione. Nella comunicazione adottata la Commissione prende atto dell'adozione della seconda relazione sui progressi compiuti nell'attuazione del pacchetto di strumenti dell'UE, elaborata dal gruppo di cooperazione NIS, ed esprime la propria soddisfazione.

Fatte salve le competenze degli Stati membri in materia di sicurezza nazionale, la Commissione ha inoltre applicato i criteri del pacchetto di strumenti per valutare le necessità e le vulnerabilità dei suoi sistemi di comunicazione istituzionale e di quelli delle altre istituzioni e degli altri organi e organismi europei, e per analizzare l'attuazione dei programmi di finanziamento dell'Unione alla luce degli obiettivi strategici generali dell'Unione stessa. Basandosi sulla sua propria valutazione, che è in linea con quella di alcuni Stati membri, la Commissione sollecita gli Stati membri che non hanno ancora attuato il pacchetto di strumenti ad adottare con urgenza le misure del caso, secondo quanto raccomandato nel pacchetto di strumenti dell'UE, perché si possano affrontare in modo rapido ed efficace i rischi posti dai fornitori in questione.
Nell'ambito della strategia istituzionale in materia di cibersicurezza e in applicazione del pacchetto di strumenti per la cibersicurezza del 5G, la Commissione adotterà misure per evitare l'esposizione delle sue comunicazioni istituzionali su reti mobili che utilizzano Huawei e ZTE come fornitori. Prenderà gli opportuni provvedimenti in tema di sicurezza in modo da non acquistare nuovi servizi di connettività basati su apparecchiature di questi fornitori e collaborerà con gli Stati membri e con gli operatori delle telecomunicazioni per fare in modo che tali fornitori siano progressivamente esclusi dagli attuali servizi di connettività dei siti della Commissione.
La Commissione intende inoltre tenere conto di questa decisione in tutti i programmi e gli strumenti di finanziamento interessati dell'UE.

Seconda relazione sui progressi compiuti nell'attuazione del pacchetto di strumenti sul 5G
La relazione adottata dagli Stati membri rileva che, dalla prima relazione del luglio 2020, sono stati compiuti altri progressi nell'attuazione delle principali misure del pacchetto di strumenti dell'UE. La stragrande maggioranza degli Stati membri ha rafforzato o sta rafforzando i requisiti di sicurezza delle reti 5G sulla base del pacchetto di strumenti dell'UE. Eppure, nonostante i progressi compiuti, la relazione rileva che la situazione attuale comporta il rischio evidente di una persistente dipendenza, nel mercato interno, da fornitori ad alto rischio, con ripercussioni negative potenzialmente gravi sulla sicurezza degli utenti e delle imprese in tutta l'UE, ed anche delle infrastrutture critiche dell'UE.

La relazione contiene raccomandazioni indirizzate agli Stati membri affinché:

-    provvedano a che gli operatori mobili forniscano loro informazioni complete e dettagliate sulle apparecchiature 5G attualmente in uso e sui loro piani per il dispiegamento o l'approvvigionamento di nuove apparecchiature;

-    nel valutare il profilo di rischio dei fornitori, prendano in considerazione i criteri oggettivi raccomandati nel pacchetto di strumenti dell'UE. In tale contesto, è evidente che le caratteristiche dei fornitori di 5G presentano evidenti differenze, in particolare per quanto riguarda la loro probabilità di essere influenzati da specifici paesi terzi le cui norme in materia di sicurezza e i cui sistemi di governo societario rappresentano un rischio potenziale per la sicurezza dell'Unione. È opportuno anche tenere conto delle indicazioni di altri Stati membri per quanto riguarda i fornitori ad alto rischio, al fine di promuovere la coerenza e un livello elevato di sicurezza in tutta l'Unione;

-    in base alla valutazione dei fornitori, impongano senza indugio restrizioni ai fornitori ad alto rischio, poiché qualsiasi ritardo può accrescere la vulnerabilità delle reti dell'Unione e la sua dipendenza dai suddetti fornitori, in particolare per gli Stati membri con un'elevata presenza di fornitori potenzialmente ad alto rischio;

-    per attenuare efficacemente i rischi, provvedano a che le restrizioni riguardino gli asset critici e altamente sensibili individuati nella valutazione coordinata dei rischi a livello dell'UE, compresa la rete di accesso radio;

-    per i tipi di apparecchiature soggette a restrizioni, gli operatori non possano essere autorizzati a installare nuove apparecchiature. Ove previsti, i periodi di transizione per la rimozione delle apparecchiature esistenti devono essere definiti in modo da garantire che avvenga nel più breve tempo possibile, tenendo conto del rischio per la sicurezza legato al mantenimento delle apparecchiature di fornitori ad alto rischio, e l'applicazione dei periodi di transizione non deve permettere che prosegua il dispiegamento di nuove apparecchiature di fornitori ad alto rischio;

-    attuino restrizioni sui fornitori di servizi gestiti (Managed Service Providers - MSP) e, nel caso dell'esternalizzazione di funzioni a tali fornitori, impongano disposizioni di sicurezza rafforzate in relazione all'accesso accordato a tali soggetti;

-    vaglino ulteriormente l'applicabilità delle misure relative alla diversificazione dei fornitori e il modo migliore per garantire che qualsiasi potenziale diversificazione non comporti nuovi o maggiori rischi per la sicurezza, ma contribuisca invece alla sicurezza e alla resilienza;

-    impongano misure tecniche e garantiscano un livello elevato di vigilanza. È opportuno prestare particolare attenzione a determinate misure, in particolare garantire l'applicazione dei requisiti di base in materia di sicurezza, innalzare gli standard di sicurezza dei processi dei fornitori attraverso rigide condizioni di appalto e garantire la sicurezza della gestione, del funzionamento e del monitoraggio della rete 5G.

Maggiori informazioni:
Comunicazione della Commissione "Attuazione del pacchetto di strumenti per la cibersicurezza del 5G"
Seconda relazione sui progressi compiuti nell'attuazione del pacchetto di strumenti sul 5G
Politiche di cibersicurezza dell'UE
Pacchetto di strumenti dell'UE per il 5G
 

Condividi
Aggiornato al:
26.06.2023
Article ID:
159350873