La Commissione Europea, organo esecutivo dell’Unione Europea (UE), ha proposto una nuova legislazione sulla cybersecurity che richiederebbe agli Stati membri di rimuovere fornitori esteri “ad alto rischio” dalle infrastrutture critiche delle tecnologie dell’informazione e della comunicazione (ICT), in particolare nelle reti di telecomunicazioni. La riforma mira a rafforzare le difese contro le minacce informatiche e a garantire le catene di approvvigionamento per le infrastrutture chiave in tutto il blocco.
Secondo la proposta, l’UE condurrebbe valutazioni congiunte dei rischi dei fornitori e potrebbe imporre restrizioni o divieti su attrezzature e servizi che pongano preoccupazioni per la sicurezza nazionale. Le nuove regole coprirebbero circa 18 settori critici, tra cui reti mobili, servizi cloud, dispositivi medici e sistemi di sicurezza di frontiera, e concederebbero alla Commissione l’autorità di coordinare le valutazioni dei rischi tra gli stati membri.
La legislazione si basa su precedenti sforzi dell’UE come il 5G Security Toolbox, un quadro volontario introdotto nel 2020 che incoraggiava gli Stati membri a limitare la dipendenza da fornitori considerati “ad alto rischio”, senza obblighi giuridicamente vincolanti. I funzionari hanno già espresso preoccupazioni riguardo ai potenziali rischi legati a prodotti tecnologici di alcune aziende di paesi terzi, anche se specifiche aziende non sono indicate nel testo preliminare.
Gli operatori di telecomunicazioni e altri fornitori di infrastrutture avrebbero dei periodi di transizione per rimuovere o sostituire apparecchiature identificate come ad alto rischio una volta che la lista dei fornitori sarà stabilita dalla legge. Nelle proposte viste dalle organizzazioni giornalistiche, gli stati membri avrebbero fino a 36 mesi per eliminare gradualmente tali apparecchiature dalle reti mobili dopo la pubblicazione della lista.
La revisione rivisiterebbe anche l’attuale Cybersecurity Act dell’UE, che stabilisce i quadri e i ruoli di certificazione della cybersecurity per l’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA), e la amplierebbe includendo restrizioni obbligatorie ai fornitori come parte degli sforzi più ampi per proteggere le catene di approvvigionamento ICT.
I responsabili politici europei hanno descritto i cambiamenti come parte degli sforzi per rafforzare la “sovranità tecnologica” e ridurre la dipendenza da fornitori esterni con potenziali legami con governi stranieri o rischi geopolitici. I sostenitori sostengono che valutazioni complete dei rischi e misure coordinate miglioreranno la resilienza contro gli attacchi informatici e le pressioni sulla catena di approvvigionamento.
I critici della revisione pianificata hanno sollevato preoccupazioni riguardo a potenziali implicazioni commerciali e legali, osservando che le restrizioni basate sul paese di origine potrebbero essere contestate secondo le regole dell’Organizzazione Mondiale del Commercio se non basate su prove tecniche di rischio. La proposta deve essere esaminata e approvata dal Parlamento Europeo e dagli Stati membri dell’UE prima di diventare legge.