Mettere le reti 5G e tutto l’Information and Communication Technology (Ict) in massima sicurezza. È questa la “missione” del nuovo Cybersecurity Act messa nero su bianco nella proposta di revisione (l'entrata in vigore risale al 2019) annunciata dalla Commissione europea. Ecco cosa prevede la nuova strategia per la sicurezza informatica in Europa.“Le minacce non sono solo sfide tecniche, sono rischi strategici per la nostra democrazia, la nostra economia e il nostro stile di vita. Con il nuovo Pacchetto sulla sicurezza informatica, disporremo degli strumenti per proteggere meglio le nostre catene di approvvigionamento Ict critiche, ma anche per contrastare con decisione gli attacchi informatici. Si tratta di un passo importante per garantire la nostra sovranità tecnologica europea e una maggiore sicurezza per tutti”, ha detto la commissaria europea alla Sovranità tecnologica e alla Sicurezza Henna Virkkunen nel presentare il nuovo pacchetto di misure ricordando che il cybercrime in Europa, nel 2025, ha superato i 9mila miliardi di euro di costi.In Italia, oltre il 30% delle infrastrutture in capo a Huawei e ZteNel pacchetto di misure c’è infatti l’obbligo di ridurre l’uso di tecnologie “di fornitori di paesi terzi ad alto rischio” e per quel che riguarda nello specifico le reti mobili di applicare alla lettera il 5G Toolbox già operativo dal 2020, ma mai pienamente adottato a livello europeo.I due convitati di pietra sono evidentemente Huawei e Zte, seppure non se ne faccia esplicito riferimento nel documento, ma nei giorni scorsi in occasione di un briefing con la stampa a Bruxelles, il portavoce della Commissione europea Thomas Regnier aveva detto a chiare lettere che l’Europa intende andare dritta al punto: “Sono fornitori ad alto rischio, solo un piccolo numero di paesi dell'Ue ha adottato misure appropriate e abbiamo incoraggiato gli Stati membri a prendere misure per escludere queste due aziende dall'infrastruttura per la connettività”.E non a caso non si è fatta attendere la risposta della Cina: “Esortiamo l'Ue a evitare di proseguire sulla strada sbagliata del protezionismo, altrimenti la Cina sarà inevitabilmente costretta ad adottare le misure necessarie per salvaguardare con determinazione i diritti e gli interessi legittimi delle imprese cinesi”, ha dichiarato il portavoce del ministero degli Esteri cinese Guo Jiakun.Vero è che però passare dal dire al fare non sarà semplice: la sicurezza è competenza degli Stati membri dunque la negoziazione in fase di Consiglio europeo sarà complessa e bisognerà anche valutare gli impatti economici della migrazione da tecnologie a rischio a tecnologie considerate sicure. E non è un caso infatti se da quando il 5G Toolbox è stato lanciato, oltre 5 anni fa, di divieti se ne sono visti ben pochi: la Svezia ha bandito Huawei e Zte dalle sue reti 5G nel 2020, il Regno Unito ha imposto un blocco immediato alle nuove installazioni 5G di Huawei nell'ottobre 2022 e ha ordinato la rimozione dei kit esistenti entro il 2027 e la Germania prevede di rimuovere Huawei dai sistemi 5G principali entro quest’anno. L’Italia non ha mai ufficialmente presentato un piano in tal senso anche se le aziende di telecomunicazioni (telco) si sono attivate per un progressivo passaggio alle tecnologie europee di Ericsson e Nokia. Stando ai dati di un recente report di Strand Consult che ha analizzato la presenza di tecnologie cinesi in Europa a livello di reti 5G, nel nostro Paese si è passati dal 51% nel 2022 al 35% nel 2024 con una stima del 28% al 2028.Effetto boomerang per le telco?Ma mette in guardia Connect Europe, l’associazione che rappresenta i principali attori d’Europa: “Gli operatori di telecomunicazioni devono far fronte a ingenti requisiti di investimento per completare l'implementazione del 5G e della fibra, mentre le attuali condizioni normative e la mancanza di scala limitano la loro capacità di investire. In questo contesto, Connect Europe avverte che l'adozione dell'attuale bozza del Cybersecurity Act aggraverà l'onere imposto al settore, con costi normativi aggiuntivi di diversi miliardi di euro che attualmente sono probabilmente sottostimati”.Gli obblighi in materia di catena di fornitura Ict rischiano di imporre ulteriori e significativi vincoli agli operatori. “Se tali obblighi non si basano su solide valutazioni del rischio basate su prove concrete e non sono supportati da misure di mitigazione come i meccanismi di rimborso dei costi, avranno un impatto significativo e negativo sull'implementazione della rete, sulla continuità operativa e sulla pianificazione degli investimenti – evidenzia l’associazione –. Attualmente l'Europa ha urgente bisogno di maggiori investimenti nella connettività, non di minori”.La cybersecurity è anche Ict ed energiaMa la vera novità del nuovo Cybersecurity Act riguarda l’estensione delle misure attualmente in capo alle telco anche al mondo dell’Information technology e non solo. Sono 18 i settori critici individuati e nel perimetro ci sono fra gli altri la fibra ottica, le comunicazioni satellitari, i sistemi per l'energia solare e gli scanner di sicurezza. “Le telco non sono l’unico ambito in cui la dipendenza da uno o pochi fornitore può rappresentare un alto rischio”, commenta la commissaria Virkkunen.Tutta la catena di fornitura dovrà dunque essere messa in sicurezza. Ma si terrà conto – ha assicurato la commissaria – dell'impatto economico e dell'offerta di mercato. In sostanza dunque si alza l’asticella sul risk assessment e anche in questo caso nel mirino ci sono i fornitori extracomunitari. “Recenti incidenti di sicurezza informatica hanno evidenziato i principali rischi posti dalle vulnerabilità nelle catene di fornitura Ict, essenziali per il funzionamento di servizi e infrastrutture critici. Nell'attuale panorama geopolitico, la sicurezza della catena di fornitura non riguarda più solo la sicurezza tecnica di prodotti o servizi, ma anche i rischi legati a un fornitore, in particolare dipendenze e interferenze straniere”, si legge sempre nella proposta della Commissione.La Computer & communications industry association (Cccia) allerta però sul “rischio reale che gli Stati membri dell'UE e i membri del Parlamento europeo possano tentare di introdurre criteri protezionistici durante i negoziati. La proposta lascia ampia la definizione di ‘paesi ad alto rischio’. Chiarire questo concetto – sempre secondo Cccia – è essenziale per fornire certezza e chiarezza a fornitori e clienti Ict. I parametri per lo status di alto rischio dovrebbero basarsi su fattori dimostrati, tangibili e oggettivi, come l'interferenza governativa, la mancanza di un efficace controllo giudiziario o l'assenza di accordi di cooperazione in materia di sicurezza e di applicazione della legge”.Più forte il ruolo dell’Agenzia per la sicurezza informaticaViene rafforzato il ruolo dell’Enisa, l’Agenzia Ue per la sicurezza informatica per supportare gli Stati membri a gestire la nuova roadmap. E in collaborazione con Europol e i Computer security incident response teams, si darà supporto alle aziende nella risposta e nel ripristino in seguito ad attacchi ransomware.Prodotti e servizi destinati ai consumatori europei dovranno essere testati in termini di sicurezza in modo più efficiente. E a tal proposito si farà leva su un nuovo sistema di certificazione, lo European cybersecurity certification framework (Eccf) che dovrà mettere a punto schemi ad hoc entro 12 mesi. E si punta anche su una governance “più agile e trasparente” per coinvolgere al meglio le parti interessate anche attraverso consultazione pubblica e abbattere costi e oneri. Il pacchetto introduce infatti anche misure volte a semplificare la conformità alle norme europee sulla sicurezza informatica e ai requisiti di gestione del rischio per le aziende che operano nell'Unione attraverso uno sportello unico per la segnalazione degli incidenti, come proposto nel Digital Omnibus.Modifiche mirate riguardano la Direttiva NIS2: stando ai piani dell’Europa le semplificazioni consentiranno di facilitare la conformità per 28.700 aziende, tra cui 6.200 microimprese e piccole imprese. E sarà introdotta una nuova categoria di piccole imprese a media capitalizzazione per ridurre i costi di conformità per 22.500 aziende. “Le modifiche semplificheranno le norme giurisdizionali, snelliranno la raccolta di dati sugli attacchi ransomware e faciliteranno la supervisione delle entità transfrontaliere con il ruolo di coordinamento rafforzato dell'Enisa”.