Domande e risposte - La Commissione raccomanda un approccio comune a livello UE alla sicurezza delle reti 5G - Europa EU
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Commissione europea - Scheda informativa Domande e risposte – La Commissione raccomanda un approccio comune a livello UE alla sicurezza delle reti 5G Strasburgo, 26 marzo 2019 . Perché la diffusione delle reti 5G è cruciale per l'Europa? Le reti di quinta generazione (5G) costituiranno la futura colonna portante delle nostre società e delle nostre economie, collegando miliardi di oggetti e sistemi, anche in ambiti critici come l'energia, i trasporti, le banche e la salute, nonché i sistemi di controllo industriali che trasportano informazioni sensibili e fanno da supporto ai sistemi di sicurezza. I processi democratici, come le elezioni, fanno sempre più affidamento sulle infrastrutture digitali e sulle reti 5G, il che evidenzia la necessità di affrontare le vulnerabilità e rende la raccomandazione presentata oggi dalla Commissione quanto più pertinente in previsione delle elezioni del Parlamento europeo di maggio. Il 5G è inoltre una risorsa essenziale per la competitività dell'Europa nel mercato mondiale. Si prevede che nel 2025 i profitti generati dal 5G a livello mondiale raggiungeranno l'equivalente di 225 miliardi di euro. I benefici dell'introduzione del 5G in quattro settori industriali chiave, vale a dire industria automobilistica, sanità, i trasporti ed energia, possono raggiungere i 114 miliardi di euro l'anno. La diffusione del 5G è responsabilità degli Stati membri, i quali, insieme agli operatori, stanno adottando misure importanti per prepararla. Per il 2019 la procedura d'asta per almeno una banda di frequenze è prevista in 11 Stati membri: Austria, Belgio, Repubblica ceca, Francia, Germania, Grecia, Ungheria, Irlanda, Paesi Bassi, Lituania e Portogallo. Per il 2020 sono in programma altre sei aste in Spagna, Malta, Lituania, Slovacchia, Polonia e Regno Unito. A livello UE, il piano d'azione per il 5G stabilisce la scadenza del 2020 per il lancio commerciale in tutti gli Stati membri e quella del 2025 per la diffusione capillare nelle città e lungo le principali vie di trasporto. L'ultima relazione dell'osservatorio per il 5G della Commissione indica che gli operatori europei sono in concorrenza con altre regioni leader al livello mondiale nella preparazione del lancio commerciale del 5G quest'anno. L'Europa è leader mondiale delle attività di sperimentazione del 5G, soprattutto grazie al partenariato pubblico-privato per il 5G della Commissione, e vanta 139 sperimentazioni (soprattutto in settori verticali fondamentali) effettuate in 23 Stati membri. Il codice europeo delle comunicazioni elettroniche favorirà la diffusione e l'utilizzo delle reti 5G, in particolare per quanto riguarda l'assegnazione dello spettro radio, gli incentivi agli investimenti e la creazione di condizioni generali favorevoli, mentre le norme recentemente adottate in materia di internet aperta forniranno certezza giuridica in merito alla diffusione delle applicazioni del 5G. Per quanto riguarda il settore privato, gli operatori di mercato stanno pianificando gli investimenti nelle infrastrutture e istituendo partenariati per passare dalla fase di sperimentazione delle soluzioni tecnologiche alla fase di diffusione commerciale. Perché è necessario valutare i rischi connessi alle future reti 5G? Una volta diffuse, le reti 5G saranno la colonna portante di un'ampia gamma di servizi essenziali per il funzionamento del mercato interno e il mantenimento e la gestione di funzioni vitali della società e dell'economia, come l'energia, i trasporti, i servizi bancari, la sanità e i sistemi di controllo industriali. L'organizzazione dei processi democratici, come ad esempio le elezioni, dipenderà sempre di più dalle infrastrutture digitali e dalle reti 5G. Le eventuali vulnerabilità delle reti 5G potrebbero essere sfruttate per compromettere tali sistemi e infrastrutture digitali, il che potrebbe provocare danni molto gravi o consentire attività di spionaggio o furti di dati su vasta scala. Tenuto conto che molti servizi essenziali dipendono dalle reti 5G, le conseguenze di perturbazioni sistemiche e generalizzate sarebbero particolarmente gravi. È necessario pertanto un solido approccio basato sui rischi, invece di un approccio basato in primo luogo su misure di attenuazione a posteriori. Gli Stati membri hanno espresso preoccupazione circa i potenziali rischi per la sicurezza connessi alle reti 5G e hanno preso in esame e adottato misure volte a far fronte a questi rischi, oltre a dichiarare
nelle conclusioni del Consiglio europeo del 22 marzo 2019 di auspicare un approccio comune a livello UE. Perché bisogna intervenire a livello europeo per garantire la sicurezza delle reti 5G? Tenuto conto della natura interconnessa e transnazionale delle infrastrutture digitali e della natura transfrontaliera delle minacce, le vulnerabilità delle reti 5G o gli attacchi informatici alle future reti di uno Stato membro colpirebbero l'Unione nel suo complesso. Per questo motivo le misure concordate adottate a livello sia nazionale sia europeo devono garantire un elevato livello di cibersicurezza. Garantire la cibersicurezza delle reti 5G è una questione di importanza strategica per l'UE, in un momento in cui gli attacchi informatici sono in aumento e sempre più sofisticati e la necessità di proteggere i diritti umani e le libertà fondamentali online assume un'importanza sempre maggiore. In occasione della riunione del 22 marzo 2019 i capi di Stato o di governo dell'UE hanno dichiarato di auspicare che la Commissione raccomandi un approccio concertato in materia di sicurezza delle reti 5G. Anche il Parlamento europeo, nella risoluzione sulle minacce alla sicurezza connesse all'aumento della presenza tecnologica cinese nell'Unione, invita la Commissione e gli Stati membri ad agire a livello dell'Unione. Inoltre, la cibersicurezza delle reti 5G è essenziale per assicurare l'autonomia strategica dell'Unione, come riconosciuto nella Comunicazione congiunta "UE-Cina – Una prospettiva strategica". Gli investimenti esteri in settori strategici, l'acquisizione di beni, tecnologie e infrastrutture critici nell'UE, la partecipazione alla definizione delle norme tecniche dell'UE e la fornitura di apparecchiature critiche possono mettere a rischio la sicurezza dell'Unione. Questo vale in particolare per le infrastrutture critiche come le reti 5G, che saranno fondamentali per il nostro futuro e devono essere del tutto sicure. In che modo funzionerà il lavoro di coordinamento dell'UE? Quali sono le tappe necessarie? 1. A livello nazionale Entro fine giugno 2019 ogni Stato membro dovrebbe completare la valutazione nazionale dei rischi delle infrastrutture di rete 5G. Su tale base gli Stati membri dovrebbero aggiornare i requisiti di sicurezza vigenti a carico dei fornitori di servizi di rete e fissare condizioni per garantire la sicurezza delle reti pubbliche, in particolare per quanto riguarda la concessione dei diritti di uso delle frequenze radio nelle bande 5G. Tali misure dovrebbero comprendere il rafforzamento degli obblighi a carico dei fornitori e degli operatori di garantire la sicurezza delle reti. Le valutazioni nazionali dei rischi e le misure dovrebbero tener conto di diversi fattori di rischio, quali i rischi tecnici e i rischi connessi al comportamento dei fornitori o degli operatori, compresi quelli dei paesi terzi. Le valutazioni nazionali dei rischi costituiranno un elemento centrale per la realizzazione di una valutazione coordinata dei rischi a livello UE. Gli Stati membri dell'UE hanno il diritto di escludere dai loro mercati, per motivi di sicurezza nazionale, le imprese che non rispettano le norme e il quadro giuridico del paese. 2. A livello UE Gli Stati membri dovrebbero scambiare informazioni tra di loro e, con il sostegno della Commissione e dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA), completeranno la valutazione dei rischi coordinata entro il 1° ottobre 2019. Su tale base gli Stati membri concorderanno un insieme di misure di attenuazione utilizzabili a livello nazionale, che possono comprendere obblighi di certificazione, test, controlli e l'individuazione dei prodotti o dei fornitori ritenuti potenzialmente non sicuri. Questo lavoro sarà svolto dal gruppo di cooperazione delle autorità competenti, istituito nel quadro della direttiva sulla sicurezza delle reti e dei sistemi informativi, con l'ausilio della Commissione e dell'ENISA. Il lavoro coordinato dovrebbe essere di sostegno alle azioni degli Stati membri a livello nazionale e fornire orientamenti alla Commissione per eventuali ulteriori iniziative a livello UE. Inoltre, gli Stati membri dovrebbero elaborare requisiti di sicurezza specifici che potrebbero essere applicati nel contesto degli appalti pubblici relativi alle reti 5G, tra cui requisiti obbligatori per l'attuazione di sistemi di certificazione della cibersicurezza. La raccomandazione odierna si avvarrà dell'ampia gamma di strumenti già esistenti o già concordati per rafforzare la cooperazione contro gli attacchi informatici e consentire all'UE di agire collettivamente per proteggere la sua economia e la sua società, tra cui la prima normativa a livello UE sulla
cibersicurezza (la direttiva sulla sicurezza delle reti e dei sistemi informativi), il regolamento sulla cibersicurezza, approvato di recente dal Parlamento europeo, e le nuove norme in materia di telecomunicazioni. La raccomandazione sarà inoltre di ausilio agli Stati membri nell'attuazione uniforme di questi nuovi strumenti per quanto riguarda la sicurezza del 5G. Quale normativa dell'UE è già in vigore o è in fase di attuazione per proteggere le future reti 5G? L'UE dispone di una serie di strumenti per proteggere le reti di comunicazione elettronica, che comprendono la prima normativa dell'UE in materia di cibersicurezza (la direttiva sulla sicurezza delle reti e dei sistemi informativi), il regolamento sulla cibersicurezza approvato di recente dal Parlamento europeo e le nuove norme sulle telecomunicazioni. Gli Stati membri dell'UE hanno inoltre il diritto di escludere dai loro mercati, per motivi di sicurezza nazionale, le imprese che non rispettano le norme e il quadro giuridico del paese. Norme nel campo delle telecomunicazioni: gli Stati membri devono garantire l'integrità e la sicurezza delle reti pubbliche di comunicazione, imponendo obblighi volti ad assicurare che gli operatori adottino misure tecniche e organizzative per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi. Inoltre, le autorità nazionali di regolamentazione devono essere dotate dei poteri necessari, compreso il potere di impartire istruzioni vincolanti e di garantirne il rispetto. Inoltre, gli Stati membri sono autorizzati ad applicare condizioni relative alla sicurezza delle reti pubbliche per proteggerle dall'accesso non autorizzato, al fine di preservare la riservatezza delle comunicazioni. Strumenti nel campo della cibersicurezza: il futuro quadro europeo di certificazione della cibersicurezza per i prodotti, i processi e i servizi digitali, recentemente approvato dal Parlamento europeo, dovrebbe fornire uno strumento di sostegno essenziale per promuovere livelli uniformi di sicurezza. Esso dovrebbe consentire lo sviluppo di sistemi di certificazione della cibersicurezza per rispondere alle esigenze degli utenti di apparecchiature e software connessi al 5G. Per favorire il rispetto di questi obblighi e l'attuazione di questi strumenti, l'Unione ha istituito una serie di organismi di cooperazione. L'ENISA, la Commissione, gli Stati membri e le autorità nazionali di regolamentazione hanno elaborato orientamenti tecnici destinati alle autorità nazionali di regolamentazione sulla segnalazione degli incidenti, le misure di sicurezza e le minacce e gli asset. Il gruppo di cooperazione istituito nel quadro della direttiva sulla sicurezza delle reti e dei sistemi informativi riunisce le autorità competenti per sostenere e facilitare la cooperazione, in particolare attraverso l'emanazione di orientamenti strategici. Garantire la cibersicurezza richiede anche il mantenimento di un livello sufficiente di autonomia strategica, attraverso il raggiungimento di una massa critica di investimenti nella cibersicurezza e nelle tecnologie digitali avanzate nell'UE. La Commissione ha pertanto proposto di rendere prioritario questo obiettivo nel prossimo periodo di bilancio dell'UE, in particolare attraverso la sua proposta relativa al programma Europa digitale, e ha proposto altresì un nuovo centro e una nuova rete di competenze in materia di cibersicurezza per l'attuazione di progetti pertinenti nel campo della cibersicurezza. Norme in materia di appalti pubblici: le norme UE in materia di appalti pubblici consentono di valorizzare maggiormente il denaro dei contribuenti garantendo che gli appalti pubblici siano aggiudicati mediante procedure di gara competitive, aperte, trasparenti e ben regolamentate. Le direttive UE in materia di appalti pubblici non distinguono tra operatori economici dell'UE e di paesi terzi, ma prevedono una serie di salvaguardie. Ad esempio, consentono alle amministrazioni aggiudicatrici di rifiutare, a determinate condizioni, le offerte che sono ingiustificatamente basse o che non rispettano gli standard in materia di sicurezza, lavoro e ambiente. Esse consentono inoltre alle amministrazioni aggiudicatrici di tutelare i loro interessi essenziali in materia di sicurezza e difesa. Norme in materia di controllo degli investimenti esteri diretti: il nuovo regolamento entrerà in vigore nell'aprile 2019 e si applicherà pienamente dal novembre 2020. Oltre a fornire uno strumento molto efficace per individuare gli investimenti esteri nei beni, nelle tecnologie e nelle infrastrutture critici e migliorare l'informazione in merito, il regolamento consentirà di individuare e affrontare collettivamente le minacce per la sicurezza e l'ordine pubblico rappresentate dalle acquisizioni in settori sensibili. Gli Stati membri dovrebbero approfittare del periodo compreso tra l'entrata in vigore e l'inizio dell'applicazione del regolamento per apportare le necessarie modifiche alle prassi e normative interne nazionali e per predisporre strutture amministrative che garantiscano una collaborazione efficace con la Commissione a livello di UE conformemente ai meccanismi già esistenti. Regime di sanzioni orizzontale per contrastare gli attacchi informatici: il nuovo regime, proposto dalla Commissione e dall'Alta rappresentante, ha una portata mondiale e consentirà all'UE di
rispondere in modo flessibile, indipendentemente dal luogo di partenza degli attacchi informatici e dal
fatto che siano commessi da soggetti statali o non statali. Una volta adottato, il regime di sanzioni
permetterà all'Unione di reagire agli attacchi informatici con un "impatto significativo" che mettono a
repentaglio l'integrità e la sicurezza dell'UE, dei suoi Stati membri e dei suoi cittadini.
Qual è il ruolo dell'Agenzia europea per la cibersicurezza in tale
coordinamento?
Il regolamento sulla cibersicurezza, recentemente adottato dal Parlamento europeo, rafforza il mandato
conferito all'ENISA e lo rende permanente.
L'ENISA già fornisce sostegno alla Commissione nel campo della sicurezza delle reti di
telecomunicazione. Insieme agli Stati membri e alle autorità nazionali di regolamentazione, l'ENISA ha
elaborato orientamenti tecnici destinati alle autorità nazionali di regolamentazione sulla segnalazione
degli incidenti, le misure di sicurezza e le minacce e gli asset.
Inoltre, la raccomandazione prevede che l'ENISA fornisca assistenza per lo sviluppo di una valutazione
coordinata dei rischi a livello UE nelle reti 5G.
L'ENISA si adopererà inoltre per lo sviluppo di sistemi di certificazione a livello europeo, come previsto
dal regolamento sulla cibersicurezza.
Quali sono le prossime fasi?
- Gli Stati membri dovrebbero completare la valutazione nazionale dei rischi entro il 30 giugno
2019 e aggiornare le necessarie misure di sicurezza. La valutazione dovrebbe essere trasmessa
alla Commissione e all'Agenzia dell'Unione europea per la cibersicurezza entro il 15 luglio 2019.
- Parallelamente, gli Stati membri e la Commissione avvieranno le attività di coordinamento
nell'ambito del gruppo di cooperazione istituito a norma della direttiva sulla sicurezza delle reti e
dei sistemi informativi. L'ENISA completerà il panorama delle minacce per il 5G, che sarà di ausilio
agli Stati membri per la predisposizione, entro il 1° ottobre 2019, della valutazione dei rischi a
livello UE.
- Entro il 31 dicembre 2019 il gruppo di cooperazione dovrebbe concordare una serie di misure di
attenuazione per far fronte ai rischi per la cibersicurezza individuati a livello nazionale e
dell'Unione.
- Una volta che il regolamento sulla cibersicurezza, recentemente approvato dal Parlamento
europeo, entrerà in vigore nelle prossime settimane, la Commissione e l'ENISA adotteranno tutte le
misure necessarie per istituire il quadro di certificazione a livello UE. Gli Stati membri sono
incoraggiati a cooperare con la Commissione e con l'ENISA per stabilire l'ordine di priorità del
sistema di certificazione per le reti e le apparecchiature 5G.
- Entro il 1° ottobre 2020 gli Stati membri, in cooperazione con la Commissione, dovrebbero
valutare gli effetti della raccomandazione per determinare se vi sia bisogno di ulteriori interventi.
La valutazione dovrebbe tenere conto dell'esito della valutazione europea coordinata dei rischi e
dell'efficacia delle misure.
Per ulteriori informazioni
Raccomandazione sulla cibersicurezza delle reti 5G
Comunicato stampa
Un'Europa che protegge: ad oggi approvate 15 delle 22 iniziative legislative in materia di Unione della
sicurezza
Comunicato stampa: Accordo dei negoziatori dell'UE sul rafforzamento della cibersicurezza europea
Piano d'azione per il 5G
Comunicato stampa: Comunicazione congiunta "UE-Cina – Una prospettiva strategica"
MEMO/19/1833
Contatti per la stampa:
Nathalie VANDYSTADT (+32 2 296 70 83)
Marietta GRAMMENOU (+32 2 298 35 83)Informazioni al pubblico: contattare Europe Direct telefonicamente allo 00 800 67 89 10 11 o per e- mail
Puoi anche leggere
