La Commissione europea e gli Stati membri accelerano sul completamento del quadro delle misure volte a rendere sicuro il cyber space. Ultimo tassello i ordine di tempo, l’invio a Bruxelles di una valutazione nazionale dei rischi dell’infrastruttura 5G, con l’obiettivo di mettere a punto una strategia di limitazione dei rischi alle nuove reti.
5G e cybersecurity, i prossimi step
Il 26 marzo 2019 la Commissione Europea ha pubblicato una raccomandazione sulla cybersecurity delle reti 5G, con lo scopo di permettere ai Paesi membri di eseguire a livello nazionale delle valutazioni dei rischi, sulla base delle quali elaborare una valutazione dei rischi coordinata, e di consentire al Gruppo di Cooperazione (istituito dalla direttiva NIS) di individuare delle misure da adottare per attenuare i rischi alle infrastrutture digitali, in particolare le reti 5G.
La raccomandazione definisce il 5G come l’insieme di tutte le parti delle infrastrutture della nuova rete e con l’espressione “infrastrutture alla base dell’ecosistema digitale” comprende tutte quelle utilizzate “per consentire la digitalizzazione in un’ampia gamma di applicazioni critiche nell’economia e nella società”. Il documento ha richiesto agli Stati membri di effettuare a livello nazionale una valutazione dei rischi dell’infrastruttura della rete 5G entro il 30 giugno 2019.
Attualmente, 24 Paesi risultano aver elaborato tale valutazione, finalizzata ad aggiornare i requisiti di sicurezza e gli obblighi imposti alle aziende che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica, a chiedere alle stesse di assumersi impegni per quanto riguarda la conformità ai requisiti di sicurezza per le reti e ad applicare altre misure preventive. Le valutazioni, inviate alla Commissione e all’Agenzia europea per la cybersecurity (ENISA) entro il 15 luglio, dovrebbero consentire di eseguire una valutazione dei rischi coordinata a livello europeo entro la data dell’1 ottobre 2019, mentre entro il 31 dicembre dovrebbero essere messi a punto degli strumenti per attenuare i rischi sia a livello nazionale che europeo, ferma restando l’autonomia decisionale dei Paesi coinvolti.
Le misure europee e il Cybersecurity Act
L’Ue, prima della raccomandazione di cui sopra, ha adottato una serie di misure per rendere sicuro il suo cyberspace. Una delle principali, fra queste, rimane la direttiva NIS, approvata a livello europeo nel 2016 e recepita dall’Italia nel 2018, che prevede una serie di criteri per garantire degli standard europei di sicurezza informatica.
Tuttavia, di recente, grande impatto ha avuto il Regolamento 2019/881, pubblicato in Gazzetta Ufficiale il 7 giugno 2019 ed entrato in vigore il 27 giugno. Il cosiddetto Cybersecurity Act si compone di due parti, una dedicata all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e l’altra all’introduzione di un sistema europeo per la certificazione della sicurezza informatica dei prodotti e servizi digitali, con particolare riferimento ai dispositivi connessi ad Internet. Se prima del Regolamento l’ENISA ha avuto più che altro un ruolo di assistente tecnico degli Stati membri e delle istituzioni europee nell’elaborazione di politiche di cyber security, dal 27 giugno ha anche un compito di supporto alla gestione operativa degli incidenti informatici negli Stati membri. Quanto alla certificazione della sicurezza informatica dei prodotti e servizi digitali, il Cybersecurity Act cerca di collegare gli schemi di certificazione già esistenti a livello nazionale, spesso non riconosciuti negli altri Paesi europei, per creare un quadro complessivo e rendere tali schemi validi in tutta l’UE.
Un’altra misura degna di nota è il Regolamento del 19 marzo, che sarà applicato dall’11 ottobre 2020 e che introduce un sistema di monitoraggio degli investimenti esteri nell’Unione europea. Sulla base di quanto prevede, sarà ampliato il numero dei settori strategici considerati (energia, trasporti, comunicazione, finanza e aerospazio) e, sebbene gli Stati membri mantengano la piena autonomia decisionale nei casi che li coinvolgono, la Commissione potrà chiedere informazioni e fornire pareri e suggerimenti anche ad altri Paesi dell’area.
In Italia: Golden Power e disegno di legge sul perimetro di sicurezza cibernetica
Passando all’Italia, l’attenzione si sta concentrando sui cosiddetti “poteri speciali” con cui lo Stato può intervenire nei settori strategici dell’economia per tutelare i propri asset, poteri che sono tornati centrali anche grazie al 5G. Dopo la condanna europea della legge n. 2004-1343 del 9 dicembre 2004 sulla golden share, l’Italia con la legge n. 56 del 2012 ha introdotto i golden power con l’obiettivo di proteggere le aziende strategiche italiane e il loro know-how, in particolare tecnologico.
La normativa non prevedeva il caso dell’acquisto di prodotti e infrastrutture elettroniche straniere come il 5G, perciò il Governo ha emanato il D.L. del 25 marzo 2019 n. 22 (approvato a maggio) che stabilisce i poteri speciali nel settore della rete 5G (articolo 1-bis). Inoltre, il 12 luglio l’Esecutivo ha realizzato e diffuso uno “Schema di disegno di legge in materia di perimetro di sicurezza nazionale cibernetica” che dettaglia alcuni aspetti per il nuovo assetto di cybersecurity, tra i quali dei DPCM per individuare gli enti (pubblici e privati) che svolgono servizi essenziali che dipendono da reti, sistemi informativi e servizi informatici e definire le procedure per la segnalazione e la notifica al CSIRT degli incidenti.
Tutte queste misure hanno l’obiettivo di rafforzare la sicurezza delle infrastrutture critiche e il sistema Paese, in un quadro europeo comune di cybersecurity all’altezza delle prossime sfide del settore, a cominciare da quella delle reti 5G.
