La Commissione Europea oggi ha raccomandato (come previsto) una serie di misure operative per assicurare che le future reti mobili 5G comunitarie dispongano di un alto livello di cybersicurezza. Il tema centrale è che questa rivoluzione tecnologica verrà impiegata in settori critici, come quello energetico, dei trasporti, finanziario, sanitario e industriale. Considerando anche il traffico dati sensibile, è prioritario non solo che vengano adottate protezioni adeguate ma anche si faccia opera di prevenzione.
"La tecnologia 5G trasformerà la nostra economia e la società e aprirà enormi opportunità per le persone e le imprese. Ma non possiamo accettare che ciò avvenga senza una piena sicurezza integrata. È quindi essenziale che le infrastrutture 5G nell'UE siano resilienti e completamente sicure da backdoor tecniche o legali", ha dichiarato il vice-presidente per il Digital Single Market Andrus Ansip.
Il compito di ogni Stato
La Commissione ha deciso di raccomandare a livello dei singoli stati membri di effettuare una valutazione dei rischi in relazione alle infrastrutture di rete 5G entro giugno 2019.
"Su tale base, gli Stati membri dovrebbero aggiornare i requisiti di sicurezza esistenti per i fornitori di rete e includere le condizioni per garantire la sicurezza delle reti pubbliche, in particolare quando si concedono diritti di utilizzare per le frequenze radio in bande 5G", si legge nel documento ufficiale. "Queste misure dovrebbero includere obblighi rafforzati nei confronti dei fornitori e degli operatori per garantire la sicurezza delle reti". Le valutazioni dei rischi dovrebbero considerare l'aspetto tecnico e quelli legati al comportamento di fornitori o operatori. Ogni valutazione nazionale consentirà poi di creare una valutazione coordinata a livello europeo.
"Gli Stati membri dell'UE hanno il diritto di escludere le imprese dai loro mercati per motivi di sicurezza nazionale, se non rispettano le norme e il quadro giuridico del paese", sottolinea la Commissione.
Il compito di coordinamento della UE
Le valutazioni dei rischi di ogni paese, frutto anche dello scambio di informazioni, con il sostegno della Commissione e dell'Agenzia europea per la cybersicurezza (ENISA) confluiranno in un documento UE entro il primo ottobre 2019.
Dopodiché saranno concordate una serie di misure di attenuazione che potranno essere utilizzate a livello nazionale. Si parla ad esempio di "requisiti di certificazione, test, controlli, nonché l'identificazione di prodotti o fornitori considerati potenzialmente non sicuri".
"Questo lavoro coordinato dovrebbe sostenere le azioni degli Stati membri a livello nazionale e fornire orientamenti alla Commissione per possibili ulteriori passi a livello dell'UE. Inoltre, gli Stati membri dovrebbero sviluppare requisiti di sicurezza specifici che potrebbero essere applicati nel contesto degli appalti pubblici relativi alle reti 5G, compresi i requisiti obbligatori per attuare i regimi di certificazione della cybersicurezza", prosegue la nota.
Le certificazioni copriranno prodotti, processi e servizi digitali. Gli Stati membri dovrebbero anche "collaborare immediatamente e attivamente con tutte le altre parti interessate nello sviluppo di schemi di certificazione dedicati a livello UE relativi al 5G. Una volta che saranno disponibili, gli Stati membri dovrebbero rendere obbligatoria la certificazione in questo settore attraverso i regolamenti tecnici nazionali".
Per quanto riguarda invece le telecomunicazioni, gli Stati membri dovranno assicurare il mantenimento dell'integrità e della sicurezza delle reti di comunicazione pubbliche, con l'obbligo di garantire che gli operatori adottino misure tecniche e organizzative per gestire adeguatamente i rischi posti alla sicurezza delle reti e dei servizi.
La roadmap prevede:
- Gli Stati membri dovrebbero completare le loro valutazioni nazionali dei rischi entro il 30 giugno 2019 e aggiornare le necessarie misure di sicurezza. La valutazione del rischio nazionale dovrebbe essere trasmessa alla Commissione e all'Agenzia europea per la sicurezza informatica entro il 15 luglio 2019.
- Parallelamente, gli Stati membri e la Commissione avvieranno i lavori di coordinamento all'interno del gruppo di cooperazione degli NSI. L'ENISA completerà un'analisi sulle minacce 5G che supporterà gli Stati membri nella fornitura entro il 1 ° ottobre 2019 della valutazione dei rischi a livello UE.
- Entro il 31 dicembre 2019, il gruppo di cooperazione degli NSI dovrebbe concordare misure di attenuazione per affrontare i rischi di cibersicurezza individuati a livello nazionale e dell'UE.
- Quando il Cybersecurity Act, recentemente approvato dal Parlamento europeo, entrerà in vigore nelle prossime settimane, la Commissione e l'ENISA istituiranno il quadro di certificazione a livello UE. Gli Stati membri sono incoraggiati a cooperare con la Commissione e l'ENISA per dare la priorità a un sistema di certificazione che copre le reti e le apparecchiature 5G.
- Entro il primo ottobre 2020, gli Stati membri, in cooperazione con la Commissione, dovrebbero valutare gli effetti della raccomandazione al fine di determinare se sia necessario intraprendere ulteriori azioni. Questa valutazione dovrebbe tener conto dei risultati della valutazione europea coordinata del rischio e dell'efficacia degli strumenti a disposizione.