Cybersecurity - misure per reti 5G in Europa
Entro fine giugno 2019 ogni Stato membro dovrebbe completare la valutazione nazionale dei rischi delle infrastrutture di rete 5G. E' una delle raccomandazioni presentate dalla Commissione europea per assicurare un livello elevato di cybersicurezza delle reti 5G in tutta l'UE.
> Cybersecurity - verso competence center UE per ricerca e sviluppo
Le reti di quinta generazione (5G) costituiranno la futura colonna portante delle nostre società e delle nostre economie, collegando miliardi di oggetti e sistemi, anche in ambiti critici come l'energia, i trasporti, le banche e la salute, nonché i sistemi di controllo industriali che trasportano informazioni sensibili e fanno da supporto ai sistemi di sicurezza.
> Cybersecurity - progetti Horizon 2020 per una nuova rete di competenze
I processi democratici, come le elezioni, fanno sempre più affidamento sulle infrastrutture digitali e sulle reti 5G, il che evidenzia la necessità di affrontare le vulnerabilità e rende le raccomandazioni della Commissione quanto più pertinenti in previsione delle elezioni del Parlamento europeo di maggio.
Le vulnerabilità delle reti 5G o gli attacchi informatici alle future reti di uno Stato membro colpirebbero l'Unione nel suo complesso. Per questo motivo le misure concordate adottate a livello sia nazionale sia europeo devono garantire un elevato livello di cybersicurezza.
Commissione UE, misure per la sicurezza delle reti 5G
Per rafforzare la sicurezza delle reti 5G il Collegio dei commissari ha proposto una serie di misure operative da adottare a livello UE e nazionale.
Misure a livello nazionale
Entro fine giugno 2019 ogni Stato membro dovrebbe completare la valutazione nazionale dei rischi delle infrastrutture di rete 5G. Su tale base gli Stati membri dovrebbero aggiornare i requisiti di sicurezza vigenti a carico dei fornitori di rete e includere condizioni per garantire la sicurezza delle reti pubbliche, in particolare per quanto riguarda la concessione dei diritti di uso delle frequenze radio nelle bande 5G. Tali misure dovrebbero comprendere il rafforzamento degli obblighi a carico dei fornitori e degli operatori circa la garanzia di sicurezza delle reti.
Le valutazioni nazionali dei rischi e le misure adottate dovrebbero tener conto di diversi fattori, quali i rischi tecnici e quelli connessi al comportamento dei fornitori o degli operatori, compresi quelli dei paesi terzi. Le valutazioni nazionali dei rischi, inoltre, dovrebbero rappresentare un elemento centrale per la realizzazione di una valutazione coordinata dei rischi a livello dell'intera Unione.
Gli Stati membri dell'UE avrebbero anche il diritto di escludere dai loro mercati, per motivi di sicurezza nazionale, le imprese che non rispettano le norme e il quadro giuridico del paese.
Misure a livello UE
Gli Stati membri dovrebbero scambiare informazioni tra di loro e, con il sostegno della Commissione e dell'Agenzia europea per la cybersicurezza (ENISA), completare la valutazione dei rischi coordinata entro il 1° ottobre 2019.
Su tale base gli Stati membri concorderanno un insieme di misure di attenuazione utilizzabili a livello nazionale, che possono comprendere obblighi di certificazione, test, controlli, nonché l'identificazione dei prodotti o dei fornitori ritenuti potenzialmente non sicuri.
Questo lavoro sarà svolto dal gruppo di cooperazione delle autorità competenti, istituito nel quadro della direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), con l'ausilio della Commissione e dell'ENISA. Il lavoro coordinato dovrebbe essere di sostegno alle azioni degli Stati membri a livello nazionale e fornire orientamenti alla Commissione per eventuali ulteriori iniziative a livello UE.
Inoltre, gli Stati membri dovrebbero elaborare requisiti di sicurezza specifici che potrebbero essere applicati nel contesto degli appalti pubblici relativi alle reti 5G, tra cui requisiti obbligatori per l'attuazione di sistemi di certificazione della cybersecurity.
Ad agevolare l'implementazione delle misure sono diversi strumenti - già esistenti o già concordati - per rafforzare la cooperazione contro gli attacchi informatici e consentire all'UE di agire collettivamente per proteggere la sua economia e la sua società, tra cui la prima normativa a livello UE sulla cybersicurezza (direttiva sulla sicurezza delle reti e dei sistemi informativi), il regolamento sulla cybersecurity, approvato di recente dal Parlamento europeo, e le nuove norme in materia di telecomunicazioni.
Nel settore della cybersicurezza il futuro quadro europeo di certificazione della cybersecurity per i prodotti, i processi e i servizi digitali, previsto dal regolamento sulla cybersicurezza, dovrebbe fornire uno strumento di sostegno essenziale per promuovere livelli uniformi di sicurezza. In fase di attuazione gli Stati membri dovrebbero inoltre impegnarsi immediatamente e attivamente con tutti gli altri portatori di interessi nello sviluppo di sistemi di certificazione dedicati a livello UE per il 5G. Una volta resi disponibili tali sistemi, gli Stati membri dovrebbero rendere obbligatoria la certificazione in questo settore attraverso regolamentazioni tecniche nazionali.
Nel settore delle telecomunicazioni gli Stati membri devono garantire l'integrità e la sicurezza delle reti pubbliche di comunicazione, imponendo obblighi volti ad assicurare che gli operatori adottino misure tecniche e organizzative per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi.
Prossime fasi
Gli Stati membri dovrebbero completare la valutazione nazionale dei rischi entro il 30 giugno 2019 e aggiornare le necessarie misure di sicurezza. La valutazione nazionale dei rischi dovrebbe essere trasmessa alla Commissione e all'Agenzia europea per la cybersicurezza (ENISA) entro il 15 luglio 2019.
Parallelamente gli Stati membri e la Commissione avvieranno le attività di coordinamento nell'ambito del gruppo di cooperazione istituito a norma della direttiva NIS. L'ENISA completerà il panorama delle minacce per il 5G, che sarà d'ausilio agli Stati membri per la predisposizione entro il 1° ottobre 2019 della valutazione dei rischi a livello UE.
Entro il 31 dicembre 2019 il gruppo di cooperazione istituito a norma della direttiva NIS dovrebbe concordare le misure di attenuazione per far fronte ai rischi per la cybersicurezza individuati a livello nazionale e dell'UE.
Una volta che il regolamento sulla cybersicurezza, recentemente approvato dal Parlamento europeo, entrerà in vigore nelle prossime settimane, la Commissione e l'ENISA istituiranno il quadro di certificazione a livello UE. Gli Stati membri sono incoraggiati a cooperare con la Commissione e con l'ENISA per stabilire l'ordine di priorità del sistema di certificazione per le reti e le apparecchiature 5G.
Entro il 1° ottobre 2020 gli Stati membri, in cooperazione con la Commissione, dovrebbero valutare gli effetti della raccomandazione per determinare se vi sia bisogno di ulteriori interventi. La valutazione dovrebbe tenere conto dell'esito della valutazione europea coordinata dei rischi e dell'efficacia dell'insieme di misure.