Il 5G si è guadagnato subito un primato, oltre a quello della velocità: di essere la prima tecnologia di rete a impatto geopolitico, sollevando questioni di sicurezza nazionale. E’ utile quindi percorrere le iniziative legislative che sono state intraprese a livello europeo per assicurare la messa in sicurezza delle nostre reti alla luce dell’imminente sviluppo dell’infrastruttura necessaria per le reti 5G.
Perché la sicurezza e nello specifico, la cybersecurity
La crescente attenzione a livello europeo per ciò che riguarda la cyber security nell’ambito delle telecomunicazioni è duplice: economica e di difesa (sicurezza nazionale). Il numero di servizi e attività che dipendono dalle nostre reti, a prescindere da chi le gestisca, è negli ultimi anni aumentato a livello esponenziale. La digitalizzazione di servizi e prodotti ha reso necessario uno sforzo a livello industriale per mettere in sicurezza i network nazionali. Nonostante ciò, le differenti strategie nazionali in tale ambito hanno reso necessario un intervento del legislatore europeo allo scopo di armonizzare le misure fino a quel momento messe in atto a livello nazionale. Considerando la sicurezza un ambito dove la competenza europea non è esclusiva, il legislatore ha spesso utilizzato come base legislativa gli articoli che nel Trattato sul Funzionamento dell’Unione Europeo sono relativi al Mercato Unico e alle misure necessarie per renderlo effettivo. Negli ultimi anni il Mercato Unico, anch’esso soggetto al processo di digitalizzazione che ha contraddistinto la nostra società si sta trasformando sempre più in Mercato Unico Digitale (Europeo). Nel mercato unico, la messa in sicurezza delle reti è sempre stata considerata una conditio sine qua non per lo sviluppo economico di aziende che basano il proprio business sul comparto digitale. Affinché tali enti riescano ad affermarsi è necessario che le reti, i prodotti ed i servizi ad essi connessi siano messi in sicurezza.
Evoluzione normativa a livello europeo
Già dal 2002 la Commissione europea, insieme al Consiglio e al Parlamento, si è adoperata per approvare misure che assicurassero la messa in sicurezza delle reti: alcune di queste misure hanno avuto ad oggetto proprio il comparto delle telecomunicazioni mentre altre hanno avuto degli effetti dal punto di vista organizzativo anche nell’ambito telecomunicazioni. Del secondo gruppo, ad esempio, fa parte il GDPR, che all’articolo 32 si occupa di stabilire misure sulla sicurezza nel contesto del trattamento di dati personali.
Per quel che riguarda le misure ad hoc del comparto telecomunicazioni, non esiste ad oggi alcun’iniziativa legislativa che si occupi esclusivamente dell’ambito security o cyber security. Le misure che riguardano tale ambito sono state finora incluse all’interno di leggi di più ampio respiro, nelle quali l’elemento security è stato solo uno degli aspetti trattati, come nel caso del Codice europeo delle comunicazioni elettroniche.
Ad oggi, la normativa vigente per il comparto telecomunicazioni, in attesa che il Codice europeo delle comunicazioni elettroniche venga introdotto a livello nazionale nei vari paesi UE è la Direttiva quadro per le reti e i servizi di comunicazione elettronica (Direttiva 2002/21/EC) del 2002. La Direttiva quadro, per quel che riguarda l’ambito security, impone agli stati membri, tramite le agenzie competenti, di assicurare l’integrità e la sicurezza (due caratteristiche tra loro complementari ed interdipendenti) delle reti e dei servizi di comunicazione elettronica. Ad integrare tale norma, la Direttiva sulle Autorizzazioni per le reti ed i servizi di comunicazione elettronica (Direttiva 2002/20/EC), prevede, nel momento di assegnare della licenza ad operare, la possibilità per l’ente pubblico statale incaricato di rilasciare tale licenza di richiedere e verificare che l’operatore richiedente sia in grado di assicurare la sicurezza delle reti, al fine di evitare accessi non autorizzati sulla rete pubblica. Nello stesso anno, la Direttiva e-Privacy (Direttiva 2002/58/EC), lex specialis del comparto comunicazione, richiede agli operatori di settore di assicurare la confidenzialità delle comunicazioni intercorrenti tra gli utenti della sua rete.
La Direttiva NIS e gli operatori di servizi di comunicazione elettronica
Una menzione speciale in questa panoramica merita la Direttiva NIS (Direttiva 2016/1148) recante misure atte ad assicurare in maniera uniforme all’interno della UE un appropriato livello di sicurezza delle reti e dei sistemi informativi. Al fine di assicurare tali standard, la normativa richiede azioni specifiche a stati membri e a due categorie di attori: gli operatori di servizi essenziali e i providers di specifici servizi digitali. Nello specifico, gli operatori di servizi essenziali, da doversi individuare a livello nazionale tra coloro i quali operano in settori considerati fondamentali per il corretto funzionamento dello stato (es. settore bancario, sanitario, energetico) e determinati providers di servizi digitali, che visto il crescente ruolo e peso, sia a livello economico che sociale, devono poter assicurare un adeguato livello di sicurezza.
La NIS si applica orizzontalmente a tutti gli attori che sono identificati a livello nazionale nelle due categorie sopra menzionate. Ciononostante, come stablito al Rec. 9 ed Articolo 1(3) ed 1(7) della Direttiva, nel caso in cui altre iniziative legislative di settore e nel caso specifico, la Direttiva quadro per il comparto telecomunicazioni, impongano requisiti di sicurezza che assicurino un livello di sicurezza maggiore od uguale a quello previsto dalle norme della Direttiva NIS, queste normative, in quanto lex specialis, prevarranno su quelle previste della NIS.
Per quel che riguarda il settore delle comunicazioni è importante soffermarsi su entrambe le categorie di operatori che sono soggetti alla normativa prevista dalla NIS. Da un lato, tra i provider di servizi essenziali, di cui all’annesso tre della NIS, vengono inclusi, gli operatori che offrono servizi di cloud computing, attività svolta dalla quasi totalità degli operatori telefonici. Dall’altra, sebbene non rientranti nelle categorie previste dall’Allegato II della NIS, alcuni stati membri hanno incluso gli operatori telefonici tra coloro i quali offrono, all’interno dello stato, servizi considerati essenziali per il paese. A tal riguardo, il report sullo stato d’implementazione della Direttiva NIS tra i vari stati membri sottolinea come, nonostante quanto previsto dall’Articolo 1(3), diversi paesi abbiano incluso nella lista di operatori di servizi essenziali gli operatori di comunicazione elettronica.
La mancata applicazione del dettato normativo previsto dall’Articolo 1 della Direttiva NIS ha quindi comportato, de facto l’assoggettamento per gli operatori di telefonia (sia essa mobile o fissa) a due diversi regimi normativitra loro in parte sovrapponibili. In concreto, a seguito di una politica d’implementazione in contraddizione con il dettato normativo europeo ci saranno casi in cui un operatore attivo in più stati membri sarà soggetto a norme diverse a seconda del paese in cui opera nonostante la normativa Ue abbia fissato delle chiare regole per evitare sovrapposizioni normative.
Il codice europeo delle comunicazioni elettroniche
Il codice europeo delle comunicazioni elettroniche, approvato in via definitiva nel dicembre del 2018 e in via d’implementazione a livello nazionale (il processo d’implmentazione deve avvenire entro il dicembre 2020) ha come obiettivo quello di riformare, dal punto di vista normativo, l’intero ambito delle telecomunicazioni. Alla luce di questo ambizioso piano, i soggetti coperti da questa normativa non sono piu soltanto gli operatori telefonici cosiddetti tradizionali, ma anche quegli operatori che offrono servizi di comunicazione tramite app, come Messenger, o Whatsapp.
Per quel che riguarda le misure riguardanti la security, l’articolo 40 del codice impone l’obbligo ad ogni stato membro di assicurare che i fornitori di comunicazione elettronica sulle reti pubbliche o di servizi di comunicazioni elettroniche accessibili al pubblico adottino misure tecniche e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei servizi da loro offerti. In aggiunta, gli stati membri dovranno assicurare che gli operatori di comunicazioni elettroniche tramite reti pubbliche o di servizi di comunicazione elettronica accessibili al pubblico comunichino prontamente all’autorità competente gli incidenti che abbiano avuto un impatto sul funzionamento di reti o servizi. Di conseguenza, in base a quanto stabilito dal dettato normativo, gli operatori di servizi di comunicazione, siano essi operatori tradizionali o “nuovi”, dovranno assicurare un livello di sicurezza equivalente, senza alcun tipo di distinzione tra i diversi operatori.
I più recenti sviluppi in ambito security per il comparto delle telecomunicazioni
Le norme contenute all’interno del codice non si occupano della messa in sicurezza del 5G. In questa direzione si è mossa negli ultimi mesi la Commissione europea con una Raccomandazione su 5G e Cybersecurity. Una Raccomandazione per sua natura non ha valore vincolante ma è da considerarsi a tutti gli effetti una misura legislativa prodromica a future misure legislative vincolanti come siano esse Direttive od un Regolamenti. In tale testo la Commissione richiede una serie di azioni, da attuarsi sia a livello europeo che nazionale, al fine di ottimizzare i sistemi di sicurezza legati alla tecnologia 5G. Per le caratteristiche tecniche e i servizi che sarà possibile offrire rispetto al passato, le vulnerabilità legate a questa nuova tecnologia saranno di gran lunga maggiori rispetto al passato dal momento che è previsto un aumento esponenziale sia dell’infrastruttura (numero di antenne) che del volume dati. Per quel che riguarda le azioni richieste ai vari stati membri, la raccomandazione richiede:
- un approfondito risk assessment a livello nazionale dell’infrastruttura fino ad oggi sviluppata per quel che riguarda il 5G entro il giugno 2019
- un update degli attuali protocolli di sicurezza richiesti agli operatori di servizi di comunicazione elettronica.
In aggiunta a tali misure, viene prevista la possibilità per gli stati membri di escludere, a seguito di specifiche valutazioni, operatori che siano coinvolti nello sviluppo dell’infrastruttura legata al 5G (es. antenne) qualora questi vengano valutati inadatti ad assicurare i richiesti standard di sicurezza (Golden Power). Tale potere è da ricollegarsi alla recente discussione intorno a Huawei, uno degli operatori che insieme a Nokia ed Ericsson è stato scelto da molti paesi, tra cui l’Italia, per sviluppare l’infrastruttura per lo sviluppo del 5G. A tal proposito è necessario menzionare che per quel che riguarda il nostro paese la Raccomandazione della Commissione europea è stata recepita con il decreto sul perimetro di sicurezza cibernetica della scorsa estate. L’ultima iniziativa che è necessario menzionare in questa breve panoramica è relativa alle decisioni, per ora non vincolanti, prese dal Consiglio europeo all’inizio dicembre 2019 sempre in ambito 5G e cybersecurity. Nella riunione del 5 dicembre i rappresentanti dei governi nazionali responsabili per il comparto telecomunicazione hanno ribadito l’importanza di portare avanti, soprattutto per quel che riguarda l’ambito security, un approccio coordinato e condiviso a livello UE al fine di mettere in sicurezza reti e servizi.
Conclusioni
Per quel che riguarda il comparto delle telecomunicazioni possiamo facilmente affermare che il legislatore europeo ha, nel corso degli anni, sviluppato un copioso sistema normativo al fine di assicurare la messa in sicurezza delle reti e dei servizi offerti dagli operatori di questo settore, siano essi nuovi o tradizionali. Tale istanza è stata infatti considerata come una necessità fondamentale per un effettivo sviluppo del Mercato Unico Digitale. Allo stesso tempo, negli ultimi sviluppi che hanno riguardato il settore delle comunicazioni elettroniche, e nello specifico la messa in sicurezza dell’infrastruttura necessaria per lo sviluppo del 5G, è possibile notare delle criticità.
