Di fronte all’imminente avvio della tecnologia 5G, e la conseguente vulnerabilità delle infrastrutture alla base dell’ecosistema digitale, la Commissione individua le azioni che dovrebbero essere adottate da ogni Stato membro per garantire la sicurezza online dei cittadini digitali.
La Raccomandazione individua:
1) le azioni nazionali: entro il 30 giugno 2019 gli Stati membri dovrebbero effettuare una valutazione dei rischi dell’infrastruttura della rete, rivedere i requisiti di sicurezza, aggiornare gli obblighi imposti alle imprese che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, imporre la conformità ai requisiti di sicurezza per la la concessione dei diritti d’uso delle frequenze radio nelle bande 5G;
2) le azioni comunitarie: entro il 30 aprile 2019 gli stati dovrebbero creare un gruppo di cooperazione attraverso il quale valutare congiuntamente i rischi conseguenti alle reti 5G. Entro il 15 luglio 2019 gli stati dovranno trasmettere le valutazioni nazionali dei rischi alla Commissione e all’Agenzia dell’Unione europea per la cibersicurezza (ENISA) .
3) gli strumenti per affrontare i rischi che comprendono:
– un inventario dei tipi di rischio, ad esempio rischio relativo alla catena di approvvigionamento, rischio di vulnerabilità del software, rischio relativo al controllo degli accessi, rischi derivanti dal quadro giuridico e politico cui possono essere soggetti i fornitori di apparecchiature per le tecnologie dell’informazione e della comunicazione in paesi terzi;
– misure di attenuazione, ad esempio, certificazione da parte di terzi per hardware, software o servizi, prove o controlli di conformità ufficiali per hardware e software, processi volti a garantire l’esistenza e l’applicazione del controllo degli accessi e che identifichino prodotti, servizi o fornitori considerati potenzialmente non sicuri ecc.
Tenendo conto di tutti questi elementi, entro il 1° ottobre 2019, gli Stati membri, con la Commissione e l’ENISA, dovrebbero completare una mappatura dell’esposizione europea ai rischi relativi alle infrastrutture, con priorità agli elementi particolarmente sensibili o vulnerabili inclusi negli elementi fondamentali delle reti 5G, ai centri di gestione e manutenzione e le reti di accesso per le applicazioni industriali.
Una volta sviluppati i sistemi europei di certificazione della cibersicurezza pertinenti per le reti 5G, gli Stati membri dovrebbero adottare, regolamenti tecnici nazionali che prevedano la certificazione obbligatoria dei prodotti, dei servizi o dei sistemi delle tecnologie dell’informazione e della comunicazione contemplati da tali sistemi.
Riferimenti: Raccomandazioni Commissione UE 2019/534 del 26 marzo 2019 (GUUE serie L, n. 88 del 29/03/2019)
