L’Unione Europea ha impresso una decisa accelerazione alla sua strategia per la sicurezza informatica, segnando un punto di svolta nella gestione delle infrastrutture critiche. Con la proposta di revisione del Cybersecurity Act, presentata a Strasburgo, le raccomandazioni contenute nel cosiddetto “5G Toolbox” del 2020 diventano ora vincolanti per tutti gli Stati membri. Questa mossa conferisce a Bruxelles il potere di imporre l’esclusione di fornitori di Paesi terzi ritenuti ad alto rischio, con un occhio di riguardo verso colossi cinesi come Huawei e ZTE.
Una Svolta Strategica per la Sovranità Tecnologica Europea
La decisione, annunciata dalla Vice Presidente della Commissione Europea, Henna Virkkunen, non è una semplice misura tecnica, ma un passo strategico fondamentale per la tutela della democrazia, dell’economia e dello stile di vita europei. “Le minacce alla sicurezza informatica non sono solo sfide tecniche. Sono rischi strategici”, ha dichiarato Virkkunen, sottolineando come il nuovo pacchetto fornirà gli strumenti per “proteggere meglio le nostre catene di approvvigionamento critiche” e “combattere con decisione gli attacchi informatici”. L’obiettivo è chiaro: garantire la sovranità tecnologica del continente in un panorama geopolitico sempre più complesso e interconnesso, dove la dipendenza da fornitori esterni in settori strategici è vista come una crescente vulnerabilità.
Il nuovo regolamento, infatti, non introduce un divieto esplicito e nominale, ma stabilisce un meccanismo più strutturato. Questo permetterà all’UE e ai suoi Stati membri di identificare e mitigare i rischi in ben 18 settori critici, che vanno oltre le telecomunicazioni. L’analisi terrà conto di criteri stringenti, inclusi gli impatti economici e la situazione dell’offerta di mercato, prima di procedere con eventuali misure di mitigazione, che possono arrivare fino al divieto di utilizzo di componenti ICT da fornitori ad alto rischio.
Non Solo 5G: Un Orizzonte Più Ampio di Tecnologie Critiche
Uno degli aspetti più rilevanti della nuova normativa è la sua portata estesa. Le restrizioni non si limiteranno alle reti di nuova generazione 5G, ma abbracceranno un’ampia gamma di tecnologie considerate critiche per il funzionamento della società e dell’economia. Tra queste figurano:
- Fibra ottica: l’infrastruttura portante per le comunicazioni ad alta velocità.
- Sistemi per l’energia solare: fondamentali per la transizione energetica e la sicurezza dell’approvvigionamento.
- Scanner di sicurezza: utilizzati in punti nevralgici come porti e aeroporti.
- Infrastrutture digitali e finanziarie: come banche, assicurazioni e mercati.
- Settore sanitario: ospedali, laboratori e fornitori di servizi sanitari.
Questa visione olistica riflette la consapevolezza che le minacce informatiche possono colpire qualsiasi anello della catena del valore, con conseguenze potenzialmente devastanti. La normativa, in linea con la direttiva NIS 2, mira a rafforzare la resilienza di tutti i settori strategici, imponendo obblighi più stringenti sulla gestione dei rischi della supply chain.
Il Phase-Out Graduale e le Implicazioni Economiche
Un altro punto chiave della proposta è la previsione di un phase-out graduale per le apparecchiature di fornitori ad alto rischio già installate nelle infrastrutture europee. Questo processo di sostituzione, sebbene necessario per la sicurezza, solleva importanti questioni economiche. La migrazione verso tecnologie alternative, considerate più sicure, richiederà anni di investimenti significativi da parte degli operatori e potrebbe creare temporanee vulnerabilità operative.
La presenza di tecnologie cinesi, in particolare nelle reti 5G di molti paesi europei, è ancora consistente, sebbene in calo. La sfida sarà bilanciare l’esigenza di sicurezza e sovranità tecnologica con l’impatto economico di questa transizione, evitando di rallentare lo sviluppo di infrastrutture digitali cruciali come il 5G e la fibra ottica.
A tal proposito, un portavoce di Huawei ha espresso preoccupazione, affermando che una legislazione basata sul paese d’origine anziché su prove fattuali e standard tecnici violerebbe i principi giuridici fondamentali dell’UE e gli obblighi verso l’Organizzazione Mondiale del Commercio (OMC).
Il Ruolo Rafforzato dell’ENISA e la Cooperazione Europea
Per orchestrare questa complessa transizione e rafforzare il coordinamento a livello continentale, il nuovo Cybersecurity Act prevede un potenziamento del ruolo dell’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA). L’ENISA riceverà nuove risorse e un mandato più ampio per coordinare la risposta a crisi informatiche su larga scala, sostenere l’attuazione delle politiche e gestire i sistemi di certificazione, che diventeranno uno strumento pratico per le imprese. L’obiettivo è ridurre la frammentazione e creare un fronte comune contro minacce sempre più sofisticate, spesso portate avanti da attori statali o gruppi criminali organizzati.
La proposta, che sarà immediatamente applicabile dopo l’approvazione del Parlamento e del Consiglio Europeo, rappresenta quindi un passo decisivo. L’Unione Europea, di fronte a un costo del cybercrime che ha superato i 9mila miliardi di euro annui nel continente, ha scelto di trasformare la sicurezza informatica da una questione puramente tecnica a una priorità geopolitica ed economica irrinunciabile.