Un approccio europeo comune alla sicurezza delle reti 5G. Mentre prosegue il braccio di ferro diplomatico e geo-politico tra gli Stati Uniti e la Cina, l’Unione Europea prosegue il suo percorso strategico preordinato alla creazione di un mercato unico digitale sicuro, con standard di sicurezza certificabili in relazione ai sistemi informativi, alle reti ed ai prodotti (hardware e software) e processi. Un ulteriore passo è stato compiuto da ventiquattro Stati membri dell’Unione attraverso la creazione di valutazioni dei rischi nazionali legate alla protezione delle loro reti 5G.
Ciò si innesta nel quadro della raccomandazione proposta a fine marzo dalla Commissione per un approccio europeo comune alla sicurezza delle reti 5G, ritenuto essenziale per lo sviluppo della prossima generazione di connettività wireless che rappresenterà a tendere la spina dorsale delle prossime società ed economie.
E’ noto che le reti di quinta generazione (5G) costituiranno una futura infrastruttura digitale imprescindibile, attraverso un collegamento sempre più eterogeneo e veloce di miliardi di oggetti e sistemi, compresi in settori critici e strategici come energia, trasporti, banche e sanità, nonché sistemi di controllo industriale che trasportano informazioni sensibili e sistemi di sicurezza di supporto.
Ed infatti, già il 26 marzo 2019, la Commissione europea ha raccomandato agli Stati membri l’adozione di una serie di azioni concrete per valutare i rischi di sicurezza informatica delle reti 5G e rafforzare le misure preventive, in seguito al sostegno dei capi di Stato o di governo per un approccio concertato alla sicurezza delle reti 5G.
Per queste ragioni, l’Europa ha esortato gli Stati membri a mantenere il loro impegno nell’approccio concertato ed a favorire una rapida e sicura diffusione delle reti 5G poiché la stretta cooperazione a livello europeo è fondamentale sia per raggiungere una sicurezza informatica forte sia per trarre tutti i benefici che il 5G dovrà offrire a persone e imprese.
Le valutazioni del rischio per gli Stati membri costituiscono lo strumento tecnico attraverso cui vengono identificati sia i principali rischi/minacce sia gli “attori” che incidono sulle reti 5G.
Inoltre, la valutazione identificherà le “sensitivity” dei componenti e delle funzioni della rete 5G alle possibili minacce alla sicurezza secondo il threat landscape assunto nonché i diversi tipi di vulnerabilità che possono derivare dalla catena di approvvigionamento del 5G.
In particolare, le valutazioni e le misure di rischio nazionali prenderanno in considerazione vari fattori di rischio, come i rischi tecnici e i rischi legati al comportamento di fornitori o operatori, compresi quelli di paesi terzi.
Più precisamente, le valutazioni nazionali dei rischi comprendono:
- le principali minacce e attori che influenzano le reti 5G;
- il grado di sensibilità delle componenti e delle funzioni della rete 5G e di altre attività;
- vari tipi di vulnerabilità, compresi quelli tecnici e altri tipi di vulnerabilità, come quelli potenzialmente derivanti dalla catena di approvvigionamento 5G.
In questa importante attività l’Europa ha raccomandato agli Stati membri di collaborare e coordinarsi con fornitori e operatori, le autorità di telecomunicazione e i servizi di sicurezza ed intelligence per garantire la sicurezza della rete, facultando anche il singolo Stato membro all’esclusione dai loro mercati nazionali, per motivi di sicurezza nazionale, delle società che si rendessero inosservanti delle norme e del quadro giuridico del Paese.
In esito alle valutazioni dei rischi nazionali ed ogni azione messa in campo, gli Stati membri, insieme alla Commissione UE ed all’Enisa, prepareranno una valutazione dei rischi coordinata a livello europeo entro il la data dell’1 ottobre 2019.
Parallelamente l’Enisa analizzerà lo scenario delle minacce 5G come input aggiuntivo.
Entro il 31 dicembre 2019, infine, verranno sviluppati e concordati una serie di strumenti per mitigare i rischi identificati nelle valutazioni del rischio tanto a livello di Stati membri quanto a livello europeo.
Pertanto, coerentemente con le previsioni normative del Cybersecurity Act, entrato in vigore lo scorso 27 giugno, la Commissione e l’Enisa istituiranno un quadro di certificazione a livello UE.
Gli Stati membri saranno così incoraggiati a cooperare per assegnare priorità ad un sistema di certificazione che copra anche le reti e le apparecchiature 5G, favorendo la creazione di un mercato unico digitale fruibile in sicurezza dagli utenti.
A tal riguardo, si ricorda che per gli articoli (58, 60, 61, 63, 64 e 65) del Cybersecurity Act che attengono alle autorità nazionali di certificazione della cybersicurezza, agli organismi di valutazione di conformità e all’istituzione del Gruppo Europeo per la certificazione della cybersicurezza (ECCG), è prevista l’entrata in vigore il 28 giugno 2021.
Pertanto, entro il 10 ottobre 2020, gli Stati membri valuteranno, in collaborazione con la Commissione UE, l’efficacia delle misure di mitigazione adottate e l’eventuale opportunità di mettere in campo ulteriori azioni compensative o di mitigazione, tenendo conto della valutazione del rischio europea coordinata.
Il commissario per l’Unione di sicurezza, Julian King, e il commissario per l’economia e la società digitali, Mariya Gabriel, hanno espresso soddisfazione per l’ulteriore passo avanti e, a tal riguardo, hanno dichiarato: “Siamo lieti di constatare che la maggior parte degli Stati membri ha ora presentato le proprie valutazioni del rischio. In seguito al sostegno espresso dal Consiglio europeo il 22 marzo per un approccio concertato, gli Stati membri hanno risposto prontamente alla nostra richiesta di misure concrete per contribuire a garantire la sicurezza informatica delle reti 5G in tutta l’UE. Esortiamo gli Stati membri a mantenere il loro impegno nell’approccio concertato e a utilizzare questo importante passo per ottenere lo slancio per una rapida e sicura diffusione delle reti 5G. Una stretta cooperazione a livello europeo è essenziale sia per raggiungere una sicurezza informatica forte che per trarne tutti i benefici, che il 5G dovrà offrire a persone e imprese. Il completamento delle valutazioni del rischio sottolinea l’impegno degli Stati membri non solo a fissare standard elevati per la sicurezza, ma anche a sfruttare appieno questa tecnologia innovativa. Speriamo che i risultati saranno presi in considerazione nel processo di aste dello spettro 5G e di implementazione della rete, che si sta svolgendo in tutta l’UE ora e nei prossimi mesi. Diversi Stati membri hanno già adottato misure per rafforzare i requisiti di sicurezza applicabili, mentre altri stanno prendendo in considerazione l’introduzione di nuove misure nel prossimo futuro. Abbiamo bisogno di tutti i principali attori, grandi e piccoli, per accelerare i loro sforzi e unirci a noi nella costruzione di un quadro comune volto a garantire costantemente elevati livelli di sicurezza. Siamo impazienti di continuare la nostra stretta cooperazione con gli Stati membri quando avvieremo i lavori su una valutazione del rischio a livello UE, che dovrebbe essere completata entro il 1 ° ottobre, che contribuirà a sviluppare un approccio europeo per proteggere l’integrità del 5G “.