Nell’ambito delle misure strategiche per garantire la sicurezza delle reti mobili 5G dell’Unione Europea, la Commissione UE ha valutato Huawei e ZTE come fornitori ad alto rischio, invitando quindi gli Stati membri a limitare o escludere gli apparati delle due aziende cinesi dalle infrastrutture di rete 5G. Huawei ha già fatto sapere di essere in disaccordo e si oppone a questa decisione.
Lo ha annunciato la Commissione UE lo scorso 15 Giugno 2023, in occasione della pubblicazione, da parte degli Stati membri dell’Unione, con il sostegno della Commissione europea e dell’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, della seconda relazione sui progressi compiuti nell’attuazione del pacchetto di strumenti dell’UE sulla cibersicurezza del 5G (ecco il documento completo). La relazione tiene conto anche di alcune delle raccomandazioni contenute nella relazione speciale della Corte dei conti europea del Gennaio 2022.
Il pacchetto di strumenti dell’UE sulla cibersicurezza del 5G (pacchetto di strumenti dell’UE), pubblicato nel Gennaio 2020 dalle autorità degli Stati membri (gruppo di cooperazione NIS) con il sostegno della Commissione e dell’ENISA, mira ad affrontare i rischi connessi alla cibersicurezza delle reti 5G.
Il pacchetto di strumenti dell’UE individua e descrive una serie di misure strategiche e tecniche e le corrispondenti azioni di sostegno per rafforzarne l’efficacia: secondo la Commissione, la loro attuazione può attenuare i rischi individuati nella relazione sulla valutazione coordinata dei rischi a livello dell’UE in materia di cibersicurezza delle reti 5G, che si basa a sua volta su valutazioni nazionali.
A integrazione della relazione, sempre il 15 Giugno 2023 la Commissione ha adottato anche una Comunicazione (ecco il documento completo) su come il pacchetto di strumenti sia stato attuato negli Stati membri, nella comunicazione istituzionale dell’UE e nelle sue attività di finanziamento.
Per quanto riguarda le misure strategiche, in particolare l’introduzione di restrizioni nei confronti dei fornitori ad alto rischio, la relazione segnala che 24 Stati membri hanno adottato o stanno preparando misure legislative che conferiscono alle autorità nazionali il potere di valutare i fornitori e di emanare restrizioni. Dieci di questi Stati membri hanno imposto restrizioni e tre sono impegnati nell’attuazione della legislazione nazionale in questione.
Secondo la Commissione, data “l’importanza delle infrastrutture di connettività per l’economia digitale e la dipendenza di molti servizi essenziali dalle reti 5G”, gli Stati membri dovrebbero “attuare senza indugio il pacchetto di strumenti”.
Nella comunicazione la Commissione UE manifesta “forte preoccupazione” sui rischi per la sicurezza dell’Unione posti da alcuni fornitori di apparecchiature per la comunicazione su rete mobile.
A questo proposito, la Commissione UE giudica che le decisioni adottate dagli Stati membri per limitare l’accesso di Huawei e ZTE alle reti 5G o escluderle da queste reti siano giustificate e conformi al pacchetto di strumenti sul 5G.
In linea con queste decisioni e sulla base di “un’ampia gamma di informazioni disponibili”, la Commissione UE ritiene che Huawei e ZTE “pongano in effetti rischi sostanzialmente più elevati di altri fornitori di 5G”.
La Commissione europea sottolinea che la sicurezza delle reti 5G è una “priorità fondamentale”, ed è anche una “componente imprescindibile” della strategia per l’Unione della sicurezza. Inoltre, la questione risulta “fondamentale per la sovranità, l’autonomia strategica e la resilienza dell’Unione”.
Nella comunicazione adottata il 15 Giugno 2023 la Commissione europea prende quindi atto dell’adozione della seconda relazione sui progressi compiuti nell’attuazione del pacchetto di strumenti dell’UE, elaborata dal gruppo di cooperazione NIS, ed esprime la propria soddisfazione.
Fatte salve le competenze degli Stati membri in materia di sicurezza nazionale, la Commissione ha inoltre applicato i criteri del pacchetto di strumenti per valutare le necessità e le vulnerabilità dei suoi sistemi di comunicazione istituzionale e di quelli delle altre istituzioni e degli altri organi e organismi europei, e per analizzare l’attuazione dei programmi di finanziamento dell’Unione alla luce degli obiettivi strategici generali dell’Unione stessa.
Basandosi sulla sua propria valutazione, che è in linea con quella di alcuni Stati membri, la Commissione UE sollecita gli Stati membri che non hanno ancora attuato il pacchetto di strumenti ad adottare con urgenza le misure del caso, secondo quanto raccomandato nel pacchetto di strumenti dell’UE, in modo da “affrontare in modo rapido ed efficace i rischi posti dai fornitori in questione”.
Nell’ambito della strategia istituzionale in materia di cibersicurezza e in applicazione del pacchetto di strumenti per la cibersicurezza del 5G, la Commissione adotterà misure per evitare l’esposizione delle sue comunicazioni istituzionali su reti mobili che utilizzano Huawei e ZTE come fornitori.
Inoltre, la Commissione prenderà gli “opportuni provvedimenti” in tema di sicurezza in modo da non acquistare nuovi servizi di connettività basati su apparecchiature di questi fornitori e collaborerà con gli Stati membri e con gli operatori delle telecomunicazioni per fare in modo che tali fornitori siano progressivamente esclusi dagli attuali servizi di connettività dei siti della Commissione.
La Commissione europea intende inoltre tenere conto di questa decisione in tutti i programmi e gli strumenti di finanziamento interessati dell’UE.
Margrethe Vestager, vicepresidente esecutiva per Un’Europa pronta per l’era digitale, ha dichiarato:
Nel quadro del pacchetto di strumenti dell’UE occorrono altri interventi urgenti. In particolare, nei confronti dei fornitori ad alto rischio dobbiamo adottare le restrizioni necessarie a garantire la sicurezza delle infrastrutture critiche dell’UE.
Nonostante i passi avanti compiuti da alcuni Stati membri, la relazione odierna evidenzia che non abbiamo ancora conseguito il risultato necessario. La Commissione sta facendo quanto occorre per garantire la sicurezza delle proprie reti e dei suoi strumenti di finanziamento.
Margaritis Schinas, vicepresidente per la Promozione dello stile di vita europeo, ha invece commentato:
Come precisato nella relazione, il completamento degli sforzi per dare piena attuazione alle misure del pacchetto di strumenti per il 5G costituisce una priorità urgente per le autorità nazionali, e ciò al fine di tutelare la sicurezza collettiva dell’UE.
Per rendere impenetrabile l’infrastruttura dell’Unione di sicurezza è essenziale portare a termine questi sforzi, individuando in particolare i fornitori di 5G ad alto rischio e limitando l’accesso loro accordato.
Thierry Breton, commissario per il Mercato interno, ha infine affermato:
Siamo riusciti, in tempi record, a ridurre o eliminare la dipendenza europea in altri settori, come quello energetico: un risultato che molti ritenevano impossibile.
Per il 5G la situazione non dovrebbe essere diversa. Non possiamo permetterci dipendenze critiche, che potrebbero trasformarsi in un'”arma” contro i nostri interessi.
Si tratterebbe di una vulnerabilità e di un rischio troppo gravi per la nostra sicurezza comune. Sollecito quindi tutti gli Stati membri e gli operatori delle telecomunicazioni ad adottare senza ulteriori indugi le misure necessarie.
In seguito alle dichiarazioni della Commissione europea con cui gli Stati membri dell’UE vengono invitati a limitare o escludere Huawei e ZTE dalle infrastrutture 5G, non si è fatta attendere la replica del colosso cinese Huawei, che in una nota ha affermato quanto segue:
Huawei si oppone fermamente ed è in disaccordo con i commenti fatti dai rappresentanti della Commissione Europea. È evidente che questi non si basano su valutazioni verificate, trasparenti, obiettive e tecniche delle reti 5G.
Allo stesso tempo, Huawei comprende la preoccupazione della Commissione europea di proteggere la sicurezza informatica all’interno dell’UE.
Tuttavia, restrizioni o esclusioni basate su giudizi discriminatori comporteranno seri rischi economici e sociali, ostacolerebbero l’innovazione e porterebbero distorsioni nel mercato dell’UE.
Ad esempio, un rapporto di Oxford Economics fa emergere che l’esclusione di Huawei potrebbe comportare un aumento dei costi degli investimenti nel 5G fino a decine di miliardi di euro, e a pagarli saranno i consumatori europei.
Individuare pubblicamente una singola entità come “HRV” (High Risk Vendor) senza una base legale è un’azione contraria ai principi del libero commercio.
È di fondamentale importanza sottolineare che la valutazione discriminatoria dell'”HRV” non deve essere applicata a nessuna azienda senza una procedura giustificata e un’adeguata audizione.
In qualità di operatore economico nell’Unione Europea, Huawei gode di diritti procedurali e sostanziali, e dovrebbe essere tutelata dalle leggi dell’UE e degli Stati membri, nonché dai loro impegni internazionali.
La sicurezza informatica è la principale priorità di Huawei. La nostra azienda ha a disposizione un Cyber Security Transparency Centre a Bruxelles.
Questo centro è aperto ai clienti e alle organizzazioni che operano test indipendenti. Queste realtà sono invitate a eseguire test e verifiche di sicurezza equi, oggettivi e indipendenti, secondo gli standard e le best practice di sicurezza informatica riconosciuti dal settore.
Continuiamo a impegnarci nel fornire prodotti e servizi certificati e affidabili a livello globale, in grado di connettere milioni di europei.
Dunque, Huawei è contraria alla decisione dell’Unione europea di escluderla insieme a ZTE dalle reti 5G, sottolineando che potrebbe esserci un aumento dei costi per la realizzazione di queste infrastrutture.
La seconda relazione pubblicata il 15 Giugno 2023 e adottata dagli Stati membri dell’UE rileva che, dalla prima relazione del Luglio 2020, sono stati compiuti altri progressi nell’attuazione delle principali misure del pacchetto di strumenti dell’UE.
La stragrande maggioranza degli Stati membri ha rafforzato o sta rafforzando i requisiti di sicurezza delle reti 5G sulla base del pacchetto di strumenti dell’UE.
Tuttavia, nonostante i progressi compiuti, la relazione rileva che la situazione attuale comporta il “rischio evidente di una persistente dipendenza, nel mercato interno, da fornitori ad alto rischio”, con ripercussioni negative “potenzialmente gravi” sulla sicurezza degli utenti e delle imprese in tutta l’UE, ed anche delle infrastrutture critiche dell’Unione.
La relazione contiene raccomandazioni indirizzate agli Stati membri affinché:
- provvedano a che gli operatori mobili forniscano loro informazioni complete e dettagliate sulle apparecchiature 5G attualmente in uso e sui loro piani per il dispiegamento o l’approvvigionamento di nuove apparecchiature;
- nel valutare il profilo di rischio dei fornitori, prendano in considerazione i criteri oggettivi raccomandati nel pacchetto di strumenti dell’UE. In tale contesto, per la Commissione è “evidente che le caratteristiche dei fornitori di 5G presentano evidenti differenze, in particolare per quanto riguarda la loro probabilità di essere influenzati da specifici paesi terzi le cui norme in materia di sicurezza e i cui sistemi di governo societario rappresentano un rischio potenziale per la sicurezza dell’Unione”. È opportuno anche tenere conto delle indicazioni di altri Stati membri per quanto riguarda i fornitori ad alto rischio, al fine di promuovere la coerenza e un livello elevato di sicurezza in tutta l’Unione;
- in base alla valutazione dei fornitori, impongano senza indugio restrizioni ai fornitori ad alto rischio, poiché secondo la Commissione “qualsiasi ritardo può accrescere la vulnerabilità delle reti dell’Unione e la sua dipendenza dai suddetti fornitori, in particolare per gli Stati membri con un’elevata presenza di fornitori potenzialmente ad alto rischio”;
- per attenuare i rischi, provvedano a che le restrizioni riguardino gli asset critici e altamente sensibili individuati nella valutazione coordinata dei rischi a livello dell’UE, compresa la rete di accesso radio;
- per i tipi di apparecchiature soggette a restrizioni, gli operatori non possano essere autorizzati a installare nuove apparecchiature. Ove previsti, i periodi di transizione per la rimozione delle apparecchiature esistenti devono essere definiti in modo da garantire che avvenga nel più breve tempo possibile, tenendo conto del rischio per la sicurezza legato al mantenimento delle apparecchiature di fornitori ad alto rischio, e l’applicazione dei periodi di transizione non deve permettere che prosegua il dispiegamento di nuove apparecchiature di fornitori ad alto rischio;
- attuino restrizioni sui fornitori di servizi gestiti (Managed Service Providers, MSP) e, nel caso dell’esternalizzazione di funzioni a tali fornitori, impongano disposizioni di sicurezza rafforzate in relazione all’accesso accordato a tali soggetti;
- vaglino ulteriormente l’applicabilità delle misure relative alla diversificazione dei fornitori e il “modo migliore per garantire che qualsiasi potenziale diversificazione non comporti nuovi o maggiori rischi per la sicurezza, ma contribuisca invece alla sicurezza e alla resilienza”.
In ultimo, tra le raccomandazioni agli Stati membri contenute nella relazione c’è anche quella di imporre misure tecniche e garantire un livello elevato di vigilanza.
Per la Commissione UE è opportuno “prestare particolare attenzione” a determinate misure, in particolare garantire l’applicazione dei requisiti di base in materia di sicurezza, innalzare gli standard di sicurezza dei processi dei fornitori attraverso “rigide condizioni” di appalto e garantire la sicurezza della gestione, del funzionamento e del monitoraggio della rete 5G.
Editing Simone Nicolosi
Per rimanere aggiornato sulle novità della telefonia unisciti al canale @mondomobileweb di Telegram. Seguici anche su Google News, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.
