Negli ultimi anni è cresciuto molto in Europa, il dibattito sull’esclusione o inclusione dei cosiddetti fornitori non affidabili (in inglese untrusted vendor)[1] dallo sviluppo delle nascenti reti 5G. La discussione riguarda anche l’evoluzione legislativa delle differenti nazioni, e la definizione di quadri regolatori più stringenti. Governi, compagnie e società in generale, si aspettano un elevato grado di affidabilità delle reti 5G, considerate infrastrutture supercritiche. Al centro del dibattito in corso vi sono le opportunità economiche offerte da questo nuovo standard per i sistemi di comunicazione mobile, il potenziale miglioramento della produttività, le vulnerabilità associate all’intensificazione ed alla complessità dei collegamenti in rete e le problematiche che potrebbero insorgere se queste nuove reti venissero costruite utilizzando la tecnologia dei fornitori non affidabili (untrusted). Questa discussione è anche al centro del dibattito sul Piano Nazionale di Ripresa e Resilienza (PNRR) post-pandemia.
Il 29 aprile il Cefriel ha presentato i risultati dello studio sui costi nascosti dei fornitori non affidabili nelle reti 5G e l’approfondimento nazionale per l’Italia. [1] Lo studio riporta una valutazione dei costi nascosti che si presentano nel tempo nelle reti 5G, quando si impieghino tecnologie dei cosiddetti fornitori non affidabili ed un’analisi comparativa della situazione in alcuni Paesi Europei (Germania, Francia, Italia, Portogallo). In altre parole, la sicurezza genera fiducia e la fiducia abilita il business.
I costi (evidenti e nascosti) dei fornitori non affidabili
Nel 2019, il Comitato parlamentare per la sicurezza della Repubblica (COPASIR), [2] ha espresso preoccupazioni in merito al coinvolgimento di Huawei, come fornitore non affidabile di apparati, nella nascente rete 5G nazionale. La diretta conseguenza è stata l’indicazione di escludere Huawei dallo sviluppo delle reti 5G in Italia. Il documento è segretato ma, secondo quanto trapelato alla stampa, è uno dei primi report ad aver chiaramente espresso preoccupazioni nei confronti di fornitori non affidabili, considerando che una definizione chiara di “fornitori non affidabili” non esiste ancora nella legislazione italiana che, comunque, preferisce utilizzare il termine fornitore extra-UE.
I criteri di affidabilità che si stanno definendo includono, oltre alla parte tecnologica che deve essere affidabile e performante, il pieno rispetto di leggi e norme del Paese al quale la tecnologia viene fornita e una completa trasparenza in termini di indipendenza politica. Come specificato nel documento di policy pubblicato da BIGS, [1] cui ha partecipato il Cefriel, corredato anche da un approfondimento per l’Italia, i costi derivanti dalla adozione di fornitori non affidabili per lo sviluppo delle reti 5G, sono di diverso tipo: evidenti e nascosti (economici e di processo). Gli MNO (Mobile Network Operator), ma in realtà anche i gestori delle reti 5G private (le cosiddette 5G private network) non prendono in considerazione tutti i costi quando devono decidere a quale fornitore affidarsi per la tecnologia della propria rete 5G.
Questo perché esistono dei costi nascosti che insorgono solo più tardi nel tempo (costi del ciclo di vita) oppure perché questi costi sono sostenuti da altre persone (costi esterni). Si veda a tal proposito la Tabella 1.
Tabella 1 – Natura delle categorie di costo nascosto – costi esterni e costi del ciclo di vita (fonte [1])
In termini generali, rispetto alle reti 3G e 4G, le reti 5G sono fortemente basate sul software, con milioni di linee di codice responsabili della definizione, gestione e disponibilità delle funzioni e delle risorse di rete. Lo switching basato su hardware “hub and spoke” ha ceduto il passo al routing digitale definito da architetture software distribuite. Anche questo elemento contribuisce a renderle particolarmente difficili da analizzare dal punto di vista dei costi nascosti. In termini più prettamente geopolitici, il 5G è costruito con apparecchiature e software forniti dalle aziende e i governi devono decidere a quali aziende affidare l’installazione e la gestione dei sistemi di telecomunicazione cruciali per la futura operatività del loro Paese. Le aziende “operano sempre all’interno di una giurisdizione statale e di un sistema politico e non tutti i sistemi politici sono in linea con i valori e gli obiettivi delle società liberali occidentali”. [1]
La situazione italiana
I tre principali operatori italiani di telefonia mobile (in termini di market share), TIM, Vodafone e WINDTRE, hanno iniziato ad introdurre servizi 5G, per i clienti business e consumer nelle maggiori città italiane, già dal 2019. Altri due MNO, Iliad e Fastweb, hanno puntato a lanciare i propri servizi nel 2021. Questo progressivo processo di roll-out implica ovviamente una articolata serie di fornitori (in inglese supply-chain) di tecnologie ed apparati di rete.
Allo stato attuale, i maggiori fornitori per gli apparati di reti 4G e 5G presenti in Italia sono Huawei, Nokia, Ericsson e ZTE. Tuttavia, i fornitori cinesi (o più in generale, per la legislazione italiana, quelli extra-UE) sono ancora considerati non del tutto affidabili. Questo è un problema particolarmente sentito in Italia, per due motivi: per primo, l’Italia è uno dei paesi UE con un’infrastruttura 4G in cui oltre il 50% dei componenti proviene da fornitori non affidabili, in seconda istanza, la prima fase del roll-out del 5G è basata proprio sull’infrastruttura 4G (cioè sulle cosiddette reti 5G non-standalone).
Specificatamente, il mercato delle telecomunicazioni italiano è caratterizzato dai margini di profitto inferiori rispetto alle altre nazioni europee. Questo spinge gli MNO verso la condivisione di alcune infrastrutture particolarmente onerose (per esempio torri e backhauling/trasporto) o l’adozione del modello wholesale, e ad optare per una infrastruttura di RAN (Radio Access Network) 5G multi-fornitore, con dispositivi cioè provenienti da più fornitori, anche non affidabili, nel caso in cui sia economicamente più conveniente. Una delle soluzioni spesso citate in caso di esclusione dal mercato di alcuni fornitori è quella di sostituire rapidamente la tecnologia considerata inaffidabile, con conseguente blocco temporaneo della rete (in inglese Rip & Replace, rimozione e sostituzione). Questa operazione però comporta costi elevati: i costi di un Rip & Replace dei componenti di rete “core” sensibili possono essere proibitivi. L’utilizzo di apparecchiature di fornitori non affidabili nel core non è in realtà un’opzione considerata dagli MNO italiani sia per requisiti tecnologici che di sicurezza, ma lo è per la RAN, seppure con il rischio di un Rip & Replace in futuro.
Una caratteristica particolarmente appetibile per il mercato italiano, a causa dei ridotti margini di profitto rispetto ad altri mercati, è che le offerte dei fornitori non affidabili sono in generale più economiche rispetto ad altri competitor, e perciò interessanti in un’ottica di riduzione dei costi. In uno scenario del genere, è cruciale stimare e rendere noti i costi nascosti associati all’adozione di tecnologie provenienti da fornitori non affidabili.
A dimostrazione di quanto la discussione sia accesa ed in evoluzione, in data 29 aprile 2021 la stampa riportava che TIM, per la sua rete 5G in Italia rinunciava (con lettera di cancellazione) a Huawei anche per la parte di accesso (RAN): “la rete RAN, il 40% – che secondo lo schema iniziale avrebbe dovuto essere affidato a Huawei – passa nelle mani di Nokia. A Ericsson la porzione più consistente: il 60%”. [3]
Il quadro legislativo italiano
Il governo italiano ambisce a rendere l’Italia la prima tra i principali Paesi UE ad ospitare una rete 5G operativa a copertura nazionale. L’Italia è stato il primo Paese UE a indire un’asta per l’assegnazione delle frequenze 5G, che si è conclusa il 2 ottobre 2018. Inoltre, la discussione in corso sulla potenziale implementazione a livello nazionale del modello di mercato delle telecomunicazioni wholesale potrebbe aiutare a ridurre i futuri costi nascosti centralizzando il controllo e la supervisione dell’accesso e del trasporto (backhaul) in un unico attore ancora in fase di definizione per il 5G.
Tuttavia, in Italia il framework normativo per l’introduzione e la gestione di un’infrastruttura 5G sicura non è stato ancora completamente reso operativo. Allo stato attuale in Italia si applica il Toobox UE e le norme in materia di poteri speciali per gli operatori di infrastrutture critiche legate al funzionamento dello stato (legge cosiddetta Golden Power); questa ultima estesa in modo da includere le reti e gli operatori 5G (Articolo 1-bis della legge 21/2012, poteri speciali inerenti alle reti di telecomunicazione elettronica a banda larga con tecnologia 5G).
Il corpo delle leggi italiane in materia è composto da una triade di legislazioni: lo European Toolbox, le linee guida Golden Power (GP), estese per includere anche il 5G, e il Perimetro di sicurezza nazionale cibernetica, di recente istituzione. Le caratteristiche principali di ognuna sono le seguenti.
- EU Toolbox. Pubblicato il 29 gennaio 2020 dal NIS Cooperation Group [4] [5] è valido sull’intero territorio dell’Unione Europea. Definisce misure orizzontali e verticali di mitigazione del cyber risk distribuite su nove indicatrici chiavi del rischio. Questa è una policy di mitigazione del cyber risk europea che si applica a tutti gli attori che implementano servizi 5G (ad es. MNO e reti 5G private)[2].
- Golden Power (GP). Il GP è una normativa nazionale concepita per evitare la cessione di asset strategici a potenze straniere e definisce le regole per gli acquirenti di tecnologie provenienti da fornitori extra-europei[3]. La legislazione è stata estesa per includere le reti e gli operatori 5G (Articolo 1-bis della L.21/2012, poteri speciali inerenti alle reti di telecomunicazione elettronica a banda larga con tecnologia 5G). il GP è un insieme di obblighi con specifiche estensioni per il 5G che si applicano a tutti gli attori di rilievo per la sicurezza nazionale (sebbene la lista dei soggetti non sia pubblica, ragionevolmente si applica a MNO, enti pubblici e infrastrutture critiche). Specificatamente per gli MNO e le reti 5G, la legge stabilisce tre tipi di contromisure:
- Restrizioni per fornitori ad alto rischio. Per tutto ciò che è soggetto alla GP, il governo riceve notifiche nel caso in cui gli MNO vogliano dispiegare apparati o servizi 5G provenienti da fornitori extra-UE. Un gruppo di coordinamento interministeriale consiglia il governo circa l’opzione di mettere il veto ai contratti (in base ad analisi tecniche e di rischio) o di imporre misure di sicurezza aggiuntive. [5, p. 18] Un esempio di misure di sicurezza addizionale è, in caso di dispositivi provenienti da fornitori non europei, la disabilitazione di default di interfacce di controllo remoto e la richiesta di operare localmente.
- Assicurare l’eterogeneità dei fornitori per ciascun MNO attraverso strategie multi-fornitore appropriate ed evitare la dipendenza da fornitori ad alto rischio. In contesti dove la GP viene applicata, agli operatori viene richiesto di introdurre diversificazioni “verticali” (l’utilizzo di sistemi di diversi fornitori attraverso i livelli hardware, di virtualizzazione ed applicativi) e “orizzontali” (l’utilizzo di diversi fornitori di soluzioni software a livello applicativo). [5, p. 22] In Italia, la maggior parte degli MNO ha già implementato una diversificazione geografica al fine di minimizzare il rischio, segmentando la rete 5G in aree geografiche servite da differenti fornitori. In altri termini, l’area operata dai dispositivi di rete di un singolo fornitore è stata limitata per contenere l’impatto di un potenziale incidente di sicurezza.
- Garantire la sicurezza nella gestione, nelle operazioni e nel monitoraggio della rete 5G. I requisiti di riferimento per seguire questo provvedimento sono compresi nel Decreto del Ministero dello Sviluppo Economico “Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi” del 12 dicembre 2018, Articolo 4(1)(h) e (i). Nell’ambito dell’applicazione della GP, gli MNO non sono autorizzati ad appaltare il Network Operation Center (NOC) – centro operativo della rete – e sono tenuti ad ottenere un alto livello di autonomia nel funzionamento delle loro reti. [5, p. 34]
- Perimetro di sicurezza nazionale cibernetica[4]. Il perimetro mira ad assicurare un alto livello di sicurezza di reti, sistemi informatici e servizi IT all’interno della pubblica amministrazione, degli enti pubblici e privati, e per gli operatori che hanno una sede entro il perimetro nazionale (che include le entità e gli attori considerati critici). La legislazione si applica anche agli MNO che realizzano servizi 5G e riguarda la sicurezza delle reti 5G stesse. La legislazione sarà completata da decreti attuativi al momento ancora in parte in discussione. Inoltre, la legislazione richiede che tutti gli operatori privati e pubblici compresi nel perimetro di sicurezza nazionale eseguano il collaudo dei processi, delle tecnologie e del software in un Centro di Valutazione e Certificazione Nazionale (CVCN, L.105/2019 e 133/2019), con i costi per le domande di certificazione tutti a carico degli MNO. Il CVCN svolgerà la funzione di analisi del rischio e di verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note nell’infrastruttura ICT ogni volta che un operatore pubblico o privato adotti beni, servizi ICT, sistemi informativi o apparecchiature di rete che ricadono all’interno del perimetro di sicurezza nazionale[5]. La regolamentazione in questione è ancora incompleta. Lo scorso 29 aprile è stato pubblicato un terzo DPR, relativo alle procedure di verifica degli acquisti. [6] Questo decreto in particolare stabilisce due interessanti fatti in relazione alla presente discussione: il 5G è largamente impattato dagli ambiti di indagine del CVCN, e la verifica compiuta sarà basata su una analisi dei rischi che verrà trasmessa congiuntamente alla comunicazione (fatto questo interessante se si considera che la EU ToolBox aggiorna regolarmente la propria analisi dei rischi legati al 5G). È, tuttavia, importante sottolineare il suo ruolo di validazione e valutazione, e non di certificazione di prodotti, funzioni che sono espletate prima della loro installazione. Va inoltre sottolineato che l’istituzione di un CVCN è in linea con quanto chiesto dalla nuova versione della direttiva Network and Information Security (NIS) 2.0, attualmente in fase di consultazione pubblica, prima della sua discussione finale: [7] per dimostrare la conformità ai nuovi requisiti, la proposta prevede che gli Stati membri possano richiedere a entità essenziali e importanti di certificare determinati prodotti, servizi e processi ICT. A complemento, il MiSE ha annunciato a gennaio di quest’anno, l’inizio dei lavori per la cyber-certificazione dei servizi 5G, specificando che lo schema dovrebbe essere sviluppato dall’ENISA. [8]
Come accennato precedentemente, un aspetto peculiare della legislazione italiana è l’assenza di una definizione condivisa di apparati non affidabili, ma in generale si parla sempre di apparati di fornitori extra-UE.
Stima dei costi nascosti dei fornitori non affidabili nelle reti 5G
Oltre agli ovvi costi che si presenterebbero nel caso in cui una rete 5G (considerata infrastruttura supercritica) venisse compromessa, ci sono anche costi meno visibili o nascosti che si presentano quando la confidenzialità e l’integrità della rete e dei suoi dati vengano compromesse. Questi costi sono considerati “nascosti” poiché diventano evidenti solo successivamente nel tempo (costi del ciclo di vita), o perché sono sostenuti da persone o istituzioni diverse da quelle che hanno pianificato l’architettura della rete 5G, e che hanno discusso ed accettato i rischi legati ai fornitori non affidabili.
I costi nascosti dei fornitori non affidabili nelle reti 5G [1] possono quindi essere così riassunti e stimati:
- Costi del centro di prova e validazione. La legge italiana stabilisce la creazione di un centro nazionale di verifica e controllo (CVCN) per individuare e valutare eventuali bug di origine malevola, presenti ad esempio negli aggiornamenti periodici del software dei dispositivi di una rete 5G. Sulla base di una stima comparativa con altri Paesi dell’UE, e considerando la dimensione del mercato italiano ed il peso dei fornitori non affidabili presenti, si stima che il Centro Nazionale di Collaudo italiano possa costare 40 milioni di euro all’anno.
- Costi delle norme. I costi di validazione sono sempre coperti (sebbene non interamente per quelli di collaudo) dal governo, mentre i costi per presentare la domanda sono da considerare sia nel caso di fornitori affidabili che non affidabili. Nel caso di fornitori non affidabili, la validazione può richiedere più tempo. Siccome il CVCN non è ancora operativo, non ci sono informazioni riguardo le sue tempistiche medie, ma è realistico pensare che la validazione possa essere il 50% più lunga del normale per dispositivi non affidabili, a causa del bisogno in generale di eseguire collaudi più precisi ed approfonditi.
- Costi delle violazioni dei dati. La proiezione, dei costi annui di un data breach sulla rete 5G, in determinate ipotesi (e.g. penetrazione del 5G e presenza percentuale di apparati di fornitori non affidabili), ammonta per il 2024 a circa 580 milioni di euro. Il valore sorprendentemente basso, comparato i valori riportati dalle altre nazioni analizzate, [1] dipende dal fatto che le violazioni di dati che si verificano sulle reti 5G non affidabili, considerando le stime di penetrazione della tecnologia, rappresenteranno una bassa percentuale del totale delle violazioni in Italia. Gli MNO contattati e le analisi riportate in questo documento confermano che la percentuale di traffico 5G transitante attraverso tecnologia non affidabile, sia al momento ragionevolmente bassa, valutata in circa l’8,9% sull’ammontare totale entro il 2024, nell’ipotesi che le attuali quote di mercato rimangano invariate (si consideri che la piena copertura della rete 5G non è prevista prima del 2024, con una stima del 70% di traffico mobile ancora su reti 2G, 3G e 4G). Va sottolineato però che il numero di violazioni di dati segnalate in Italia per il 2019 è irrealisticamente basso (1.276) specialmente se confrontato con i numeri riportati per la Germania (25.036). [9] In alternativa si è ipotizzato, in un secondo calcolo, che il numero di violazioni dei dati, una volta sviluppato il 5G, possa incrementare e diventare comparabile a quello della Germania. In quel caso, si stimano costi intorno agli 8,548 miliardi di euro. Questa ipotesi è giustificata anche dalle conclusioni del SwissRe SONAR Insurance report del 2019: [10] “gli hackers possono anche sfruttare la velocità e la capacità offerti dal 5G, per cui una mole maggiore di dati può essere rubata più velocemente. […] L’interruzione ed il sovvertimento del sistema 5G potrebbe innescare danni cumulativi catastrofici. Le ‘cyber exposure’ stanno aumentando in modo significativo con il 5G, poiché gli attacchi sono diventati più rapidi e di dimensione maggiore”.
- Costi dello spostamento della domanda. Si stima che, in caso di problemi di sicurezza, oltre la metà, ovvero 1,34 miliardi di euro, del mercato B2B delle telecomunicazioni potrebbe spostarsi verso reti operate da tecnologie affidabili. Nel 2020 il mercato italiano (31,58 miliardi di euro) presenta dimensioni che sono meno della metà di quello tedesco, con solo una percentuale leggermente superiore di entrate generate dai servizi di telecomunicazione mobile (47,41% rispetto a 43,97%), ed una più bassa percentuale di utenti business (18%) sul totale delle entrate.
- La presenza di fornitori non affidabili in una futura rete di telecomunicazione 5G potrebbe costringere il governo ad investire in una infrastruttura ridondante totalmente controllata dallo Stato italiano (ad esempio per i servizi di emergenza); stimiamo un costo lordo di 700 milioni di euro.
- Costi del Rip & Replace. Si confermano precedenti studi che stimano un costo di circa 600 milioni di euro per la parte RAN, senza significativi ritardi nel roll-out dell’infrastruttura 5G.
Conclusioni
In conclusione, nel dispiegamento del 5G, i costi complessivi per la Società, i.e. includendo anche gli effetti indotti, crescono col passare del tempo rispetto ai potenziali risparmi immediati, derivanti dall’utilizzo di tecnologie di rete non affidabili anche se più convenienti, da parte degli MNO.
Si noti inoltre che la Release 16 dello standard 5G introduce il supporto per la creazione di reti 5G private, per i vari contesti industriali ed applicativi, senza dover acquisire preventivamente una licenza per lo spettro (richiesta invece per le reti pubbliche a copertura nazionale), per esempio per realizzare reti private di ambito strettamente locale o per abbassare le barriere di ingresso per la fornitura al pubblico di servizi internet 5G. Questo è un importante punto: alcuni elementi dell’attuale regolamentazione, come ad esempio il diritto di veto dello stato, sancito dalla Golden Power, non si applicano a tutte le aziende. La questione è delicata se si pensa che aziende ad alta intensità di Diritti di Proprietà Intellettuale potrebbero dotarsi di reti 5G private con dispositivi non del tutto affidabili (preferendoli semplicemente perché spesso meno costosi).
A completare lo scenario c’è poi la già citata normativa NIS 2.0 che sia per i fornitori di servizi digitali che per gli operatori di servizi essenziali impone una serie di nuove norme ed obblighi, compresa la gestione e stima dei rischi cibernetici.
In generale il problema sollevato per le reti 5G, [1] ha un respiro più amplio. A fine aprile l’amministrazione Biden ha rilasciato un piano di cento giorni per affrontare i rischi per la sicurezza informatica del sistema elettrico. [11] Come parte del piano, l’amministrazione Biden ha riattivato un ordine esecutivo messo in atto dall’amministrazione Trump [12] ed inizialmente sospeso.
Quell’ordine impediva alle aziende elettriche di acquistare apparecchiature elettriche classificate ad alto rischio, come i trasformatori ad alta tensione, da concorrenti stranieri, in particolare dalla Cina. In America si è acceso il dibattito se tale divieto debba estendersi ad altri settori delle infrastrutture critiche, comprese le comunicazioni, i servizi di emergenza, l’assistenza sanitaria, la sanità pubblica, la tecnologia dell’informazione e i sistemi di trasporto. Tutti settori nei quali le considerazioni sull’impatto dei costi nascosti sono fondamentali, per cui tali costi andrebbero stimati.
Note e bibliografia
[1] | T. Stuchtey, C. Dörr, E. Frumento, C. Oliveira, G. Panza, S. Rausch, J. Rieckmann und R. Yaich, „I costi nascosti dei fornitori non affidabili nelle reti 5G,“ 12 2020. [Online]. Available: https://countrystudy5g.cefriel.com/. |
[2] | COPASIR, „Relazione sulle politiche e gli strumenti per la protezione cibernetica e la sicurezza informatica, a tutela dei cittadini, delle istituzioni, delle infrastrutture critiche e delle imprese di interesse strategico nazionale,“ Parlamento Italiano, 2019. |
[3] | M. Fiordalisi, „5G, Tim esclude Huawei anche dalla rete Ran,“ 29 04 2021. [Online]. Available: https://www.corrierecomunicazioni.it/telco/5g/5g-tim-esclude-huawei-anche-dalla-rete-ran/. |
[4] | NIS Cooperation Group, „Cybersecurity of 5G networks EU Toolbox of risk mitigating measures,“ CG Publication, 2020. |
[5] | NIS, „Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity,“ NIS, July 2020. |
[6] | L. Franchina, „Perimetro di sicurezza cibernetica, atto terzo: il DPR sulle procedure di verifica degli acquisti,“ 29 04 2021. [Online]. Available: https://www.agendadigitale.eu/sicurezza/perimetro-di-sicurezza-cibernetica-atto-terzo-il-dpr-sulle-procedure-di-verifica-degli-acquisti/. |
[7] | C. Haid, „Cybersecurity on the rise: The NIS Directive 2.0,“ 23 12 2020. [Online]. Available: https://www.schoenherr.eu/content/cybersecurity-on-the-rise-the-nis-directive-2-0/. |
[8] | CorCom press, „5G, il Mise al lavoro sulla certificazione “cyber,“ 13 01 2021. [Online]. Available: https://www.corrierecomunicazioni.it/telco/5g/5g-il-mise-al-lavoro-sulla-certificazione-cyber/. |
[9] | DLA Piper, „DLA Piper GDPR Data Breach Survey 2020,“ 20 01 2020. [Online]. Available: https://www.dlapiper.com/it/italy/insights/publications/2020/01/gdpr-data-breach-survey-2020/. |
[10] | SwissRE, „SONAR Report: New emerging risk insights,“ 5 2019. [Online]. Available: https://www.swissre.com/institute/research/sonar/sonar2019.html. |
[11] | C. Brumfield, „Biden administration releases 100-day plan to address electric system cybersecurity risks,“ 22 04 2021. [Online]. Available: https://www.csoonline.com/article/3616497/biden-administration-releases-100-day-plan-to-address-electric-system-cybersecurity-risks.html . |
[12] | C. Brumfield, „Executive order boots “foreign adversaries” from US electric grid over security concerns,“ 20 05 2020. [Online]. Available: https://www.csoonline.com/article/3544299/executive-order-boots-foreign-adversaries-from-us-electric-grid-over-security-concerns.html. |
- high-risk o untrusted vendor, cioè ad esempio come gli Stati Uniti hanno definito i fornitori cinesi. ↑
- Il NIS monitora regolarmente l’evoluzione di nove rischi [4], i cui principali sono “R1: Misconfiguration of networks”, “R2: Lack of access controls” e “R5: State interference through 5G supply-chain”. Da statistiche già raccolte, in media, il meno mitigabile è sempre il rischio R5, che è fonte di uno dei costi nascosti di cui si parla. ↑
- Nella legislazione si usa il concetto di fornitore extra-europeo invece che fornitore inaffidabile ↑
- DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 luglio 2020, n. 131; in G.U. del 21 ottobre 2020, n. 261. Regolamento in materia di Perimetro di sicurezza nazionale cibernetica, ai sensi dell’articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. (20G00150). Vigente al: 5-11-2020. ↑
- Finanziamenti verranno inseriti nella legge di bilancio del 2021. ↑