La Commissione europea ha proposto revisioni radicali alla sua legge sulla sicurezza informatica, con l’obiettivo di rafforzare la supervisione dei fornitori di tecnologia ad alto rischio che operano all’interno dell’UE. Questa mossa arriva in un contesto di crescenti attacchi informatici e di preoccupazioni di lunga data sulla dipendenza da fornitori provenienti da paesi percepiti come soggetti a rischi per la sicurezza nazionale, in particolare aziende cinesi come Huawei e ZTE.
L’aumento delle minacce informatiche alimenta l’azione
Gli attacchi informatici in tutta l’UE stanno aumentando in frequenza e sofisticatezza. Dati recenti indicano circa 150 incidenti segnalati solo nella scorsa settimana, tra cui ransomware, spionaggio e attacchi contro infrastrutture critiche. Questa impennata di attività sottolinea l’urgenza di un approccio più coordinato alla sicurezza della catena di approvvigionamento.
Per anni Bruxelles ha espresso frustrazione per la natura volontaria del 5G Security Toolbox 2020, che incoraggiava ma non imponeva agli Stati membri di limitare i fornitori ad alto rischio. Il commissario per la tecnologia Henna Virkkunen ha ripetutamente sottolineato che le misure volontarie sono insufficienti, dato che i fornitori ad alto rischio rimangono integrati nelle reti 5G europee.
Nuovi poteri alla Commissione e all’ENISA
Secondo il quadro rivisto, la Commissione otterrebbe l’autorità di condurre valutazioni dei rischi a livello dell’UE, portando potenzialmente a restrizioni o divieti sulle apparecchiature utilizzate nelle infrastrutture sensibili. Le valutazioni prenderanno in considerazione il paese di origine di un fornitore e il suo impatto sulla sicurezza nazionale, anche se in linea di principio il processo è destinato ad essere neutrale rispetto al paese, il che significa che anche le aziende statunitensi potrebbero essere sottoposte a controllo in determinate condizioni.
Anche l’Agenzia dell’UE per la sicurezza informatica (ENISA) vedrà il suo ruolo notevolmente ampliato. L’ENISA emetterà allarmi tempestivi sulle minacce emergenti, coordinerà le risposte agli incidenti gravi (come gli attacchi ransomware) in collaborazione con Europol e le autorità nazionali e supervisionerà un sistema centralizzato di segnalazione degli incidenti nell’UE.
Costi di transizione e conformità
La Commissione riconosce che l’eliminazione graduale dei fornitori ad alto rischio comporterà costi economici. Agli operatori delle telecomunicazioni verranno concessi diversi anni per abbandonare questi fornitori, mentre la Commissione promette di semplificare le procedure di certificazione e ridurre gli oneri di conformità per le aziende che operano in più Stati membri. Questo programma di semplificazione mira a bilanciare le preoccupazioni in materia di sicurezza con le realtà economiche.
Ostacoli politici e ritardi nell’attuazione
La proposta deve ora affrontare i negoziati con il Parlamento europeo e i governi dell’UE, dove si prevede resistenza da parte delle capitali esitanti a cedere il controllo sulle decisioni di sicurezza nazionale a Bruxelles. Data questa opposizione e la complessità dell’attuazione, è improbabile che la revisione della legge sulla sicurezza informatica sia pienamente operativa per diversi anni.
Questo ritardo solleva interrogativi sulla capacità dell’UE di contrastare efficacemente le interferenze straniere esistenti nelle infrastrutture critiche. Sebbene il nuovo quadro rappresenti un passo significativo verso il rafforzamento della supervisione della sicurezza informatica, la sua efficacia a lungo termine dipenderà da un’azione rapida e unificata da parte degli Stati membri.
