5G, al via il piano Ue: controlli e limiti per fornitori a rischio. Ma per tutti bersaglio è Huawei

5G, al via il piano Ue: controlli e limiti per fornitori a rischio. Ma per tutti bersaglio è Huawei
5 Minuti di Lettura
Mercoledì 29 Gennaio 2020, 13:04 - Ultimo aggiornamento: 14:53

Requisiti di sicurezza stretti per gli operatori di rete mobile limitando «l'outsourcing» di funzioni specifiche; valutazione del profilo di rischio dei fornitori per definire «restrizioni rilevanti per quelli considerati ad alto rischio comprese le necessarie esclusioni per gli asset critici e sensibili»; evitare «una grande dipendenza da un singolo fornitore o da fornitori con un profilo di rischio simile» e assicurare un equilibrio adeguato di fornitori nazionali evitando la dipendenza da fornitori ad alto rischio e qualsiasi situazione di blocco con un unico fornitore, anche promuovendo una maggiore interoperabilità dei sistemi.

Nuovo digitale terrestre, conto alla rovescia per cambiare tv: si parte dal 2021

Ecco lo schema della "cassetta degli attrezzi" presentata dalla Commissione europea di concerto con gli Stati Ue per fronteggiare i rischi per la sicurezza per le reti 5G: Bruxelles ribadisce che non è preso di mira alcun operatore in particolare, tuttavia la 'cassettà servirà a incapsulare in una maglia di controlli il gruppo cinese Huawei e limitare le sue forniture al minimo possibile. Tra gli scenari di rischio da considerare - e gestire - c'è anche 'l'interferenza di uno Stato attraverso la catena di fornitura del 5G'. Cioè, potenzialmente, della Repubblica Popolare cinese.

Il 30 aprile gli Stati Ue dovranno perndere misure concrete per attuare la strategia di controllo del processo di realizzazione della rete 5G al punto di vista della sicurezza delle forniture. Entro il 30 giugno ci sarà un rapporto di Commissione e Stati sulla loro attuazione Paese per Paese. Trattandosi di
«un'architettura» meno centralizzata, di una potenza di elaborazione di prima grandezza, della necessità di più antenne e di una maggiore dipendenza dal software, le reti 5G offrono più potenziali punti di accesso per gli aggressori per cui, indica la Commissione, «le minacce alla sicurezza informatica sono in aumento e diventano sempre più sofisticate. Poichè molti servizi critici dipenderanno dal 5G, garantire la sicurezza delle reti è della massima importanza strategica per l'intera Ue».

I rischi da fronteggiare sono molti e includono quelli relativi a
«fattori non tecnici come il rischio di interferenza da parte di Stati non Ue o attori sostenuti da Stati attraverso la catena di fornitura del 5G». Si tratta in sostanza di rafforzare i requisiti di sicurezza, di valutare i profili di rischio dei fornitori, di applicare restrizioni forti ai fornitori considerati ad alto rischio per la sicurezza nazionale. Restrizioni che possono arrivare anche all'esclusione «di asset fondamentali considerati critici e sensibili come le funzioni principali di rete, funzioni di gestione, orchestrazione (tra cui la capacità di memoria), di accesso alla rete. In sostanza la 'cassetta degli attrezzì identifica e fornisce piani di mitigazione del rischio combinando misure strategiche e tecniche».

Le prime vanno da misure riguardanti maggiori poteri regolamentari per le autorità di controllo degli approvvigionamenti e della diffusione della rete, a misure specifiche per affrontare i rischi relativi a vulnerabilità non tecniche (ad esempio il rischio di interferenza da parte di attori non appartenenti alla Ue o sostenuti dallo Stato ), per valutare il profilo di rischio dei fornitori e promuovere iniziative a sostegno dello sviluppo di fornitori 5G
«sostenibili e diversificati». Le misure tecniche comprendono il controllo rigoroso dell'accesso e la gestione, il funzionamento e il monitoraggio sicuri della rete all'uso della certificazione per componenti e/o processi della rete 5G. Poi ci sono le azioni nel settore degli standard 5G, rafforzando le capacità di 'test' e 'auditing', migliorando gli sforzi di coordinamento in caso di incidenti o assicurando che i rischi per la cybersicurezza siano pienamente presi in considerazione nei finanziamenti Ue.

La decisione sulle misure di sicurezza specifiche romane di competenza degli Stati membri, ma viene garantito che nella Ue si segua lo stesso approccio nella valutazione dei rischi garantendo
«la costante apertura del mercato interno purchè siano rispettati i requisiti di sicurezza Ue basati sul rischio». La 'cassetta degli attrezzì sulla cybersicurezza 5G è stata preparata e approvata dal gruppo di cooperazione tra gli Stati (ne fanno parte autorità nazionali, Commissione e Agenzia Ue per la cybersicurezza. Si tratta di una metodologia «obiettiva per affrontare i rischi identificati nella valutazione del rischio europea pubblicata nell'ottobre 2019, nel rispetto delle competenze nazionali in questo settore».

Naturalmente gli Stati possono andare oltre quanto proposto se lo ritengono necessario. Gli 'attrezzì non sono contro
«un fornitore o un Paese in particolare», indica Bruxelles. Ma è evidente che si tratta di uno strumento per ingabbiare in qualche modo Huawei. Nei documenti circolati finora non si fa riferimento a 'tettì di fornitura ma si parla di massima attenzione fino al potenziale stop di forniture 'corè per il 5G. Per mitigare questo rischio particolare, la cassetta degli attrezzi raccomanda a tutti gli Stati membri di adottare le seguenti misure: dopo la valutazione del rischio dei fornitori, tenendo conto dei criteri stabiliti a livello Ue, viene "raccomandato" agli Stati di «applicare restrizioni rilevanti per i fornitori considerati ad alto rischio - comprese le esclusioni necessarie per mitigarli efficacemente - per gli asset chiave definiti critici e sensibili (ad esempio funzioni di rete principali, funzioni di gestione e orchestrazione della rete e funzioni di accesso alla rete)».

« Parallelamente la Commissione userà tutti gli strumenti a sua disposizione per garantire la sicurezza dell'infrastruttura e della catena di approvvigionamento del 5G, tra cui le norme sulle telecomunicazioni e sulla sicurezza informatica (compreso l'esame degli atti di esecuzione su misure di sicurezza tecniche e organizzative); il coordinamento sulla standardizzazione per esempio per quanto riguarda la partecipazione agli organismi di normalizzazione e la promozione dell'interoperabilità attraverso interfacce aperte; la certificazione a livello Ue ai sensi della legge sulla sicurezza informatica; il controllo degli investimenti diretti esteri per proteggere la catena di approvvigionamento europea del 5G; gli strumenti di difesa commerciale, in sostanza il monitoraggio del mercato e azioni per proteggere i soggetti Ue nel settore 5G dalle potenziali pratiche di distorsione degli scambi (dumping o sovvenzioni); le regole di concorrenza anche in relazione a potenziali situazioni di blocco; gli appalti pubblici, garantendo che si tenga debitamente conto degli aspetti di sicurezza durante l'aggiudicazione nonchè attraverso programmi di finanziamento europeo e garantendo che i beneficiari rispettino i pertinenti requisiti di sicurezza».

© RIPRODUZIONE RISERVATA