Sostieni
il giornalismo di qualità
ABBONATI ORA
HOT TOPICS  / Invasione russa in Ucraina Elezioni 2022 Coronavirus Recovery plan Energia Allargamento UE
5G, a che punto siamo in Europa e le sfide della cybersecurity

5G, a che punto siamo in Europa e le sfide della cybersecurity

Un vero e proprio cambio di paradigma imposto da un’emergenza sanitaria, che ha agito come catalizzatore della digitalizzazione e ha avuto il merito di aver dimostrato la fattibilità e la maggior efficacia ed efficienza di modelli organizzativi fino a un anno fa davvero impensabili

La pandemia che da oltre un anno ci troviamo a fronteggiare ha imposto periodi di lockdown e distanziamento sociale nel corso dei quali è emersa con forza una consapevolezza: l’indispensabilità di reti e servizi digitali performanti. È stato proprio grazie alla disponibilità di reti fisse e mobili e di servizi digitali ben congegnati che è stato possibile garantire lo smart working per i lavoratori e la didattica a distanza per gli studenti. Ma pure la continuità delle attività socio-economiche e l’esercizio e la tutela dei diritti fondamentali, come quello alla salute. Si tratta di un vero e proprio cambio di paradigma imposto, questa volta, da un’emergenza sanitaria che ha agito come catalizzatore della digitalizzazione e ha avuto il merito, seppur nella complessità del contesto generale, di aver dimostrato la fattibilità e la maggior efficacia ed efficienza di modelli organizzativi fino a un anno fa davvero impensabili.

In questo mutato contesto e con una prospettiva di ulteriore consolidamento e rafforzamento del canale digitale, le reti 5G rappresenteranno il fattore abilitante di un’ampia gamma di servizi essenziali per il funzionamento del mercato interno e la gestione di funzioni di rilevanza cruciale per la società e l’economia. Nello specifico, beneficeranno dei vantaggi diversi settori: dalla sanità all’energia, dai trasporti ai servizi finanziari e di produzione, passando per l’organizzazione degli stessi processi democratici.

I benefici e le opportunità offerti dalla digitalizzazione e dalla diffusione delle reti di ultima generazione sono oggetto di una radicata consapevolezza a livello europeo. Dopo aver fissato con la Comunicazione Gigabit Society del 2016 per tutte le famiglie nelle aree rurali e urbane l’accesso a una connettività a Internet ad almeno 100 Mbps (potenziabile a velocità Gigabit) entro il 2025, il 9 marzo 2021 la Commissione europea ha annunciato nuovi e sfidanti obiettivi nella comunicazione “Bussola digitale 2030: la via europea per il decennio digitale.

IL 5G LE INIZIATIVE DELL’UE A GARANZIA DELLA SICUREZZA

La cybersecurity rappresenta uno dei più importanti ambiti d’azione per le istituzioni europee. In seguito all’adozione della strategia del 2013 e della direttiva NIS – che ha rivoluzionato il sistema europeo di cooperazione in materia di cybersicurezza – il 2019 e 2020 hanno rappresentato un biennio nel quale sono state molte le iniziative assunte al fine di garantire reti 5G sicure.

Silvia Compagnucci con il presidente di ICOM, Stefano Da Empoli

Se nel regolamento numero 881 del 2019, noto come “Cybersecurity Act”, l’Ue ha fissato un quadro per l’introduzione di sistemi europei di certificazione della cybersecurity in grado di garantire un livello adeguato di sicurezza, con la raccomandazione numero 534 del 2019 sulla cybersecurity delle reti 5G la Commissione ha dichiarato il proprio orientamento sulle opportune misure di analisi e gestione dei rischi a livello nazionale ed europeo e sulla definizione di un processo per lo sviluppo di un insieme di strumenti comuni volti a garantire la migliore gestione dei pericoli. Inoltre, è stato definito un set di azioni tese a consentire sia sul piano statale sia su quello comunitario un’adeguata valutazione dei rischi e a individuare un’eventuale serie di misure comuni da adottare. Completa la raccomandazione una roadmap per gli Stati membri. Il 9 ottobre 2019 è stata pubblicata dal gruppo di cooperazione NIS una relazione sulla valutazione coordinata a livello di Ue dei rischi per la cybersicurezza delle reti di quinta generazione che, partendo dai report effettuati da tutti gli Stati membri, ha individuato le minacce più rilevanti e i loro principali autori, le risorse più sensibili e le principali vulnerabilità (di natura tecnica e di altro tipo), nonché diversi rischi strategici. A integrazione delle valutazioni condotte a livello nazionale, il 21 novembre 2019 l’Agenzia dell’Unione europea per la cybersicurezza (Enisa) ha pubblicato un Threat Landscape for 5G Networks in cui, sulla base anche del contributo offerto da gruppi e organismi di standardizzazione 5G e stakeholder come operatori, fornitori, organizzazioni nazionali e internazionali, sono state individuate le sfide e le possibili minacce nella sicurezza delle reti 5G. Il documento, inoltre, definisce un diagramma degli asset e identifica la loro esposizione, formula una tassonomia dei rischi e valuta le motivazioni dell’agente di minaccia.

Anche il 2020 si è aperto all’insegna dell’attenzione verso la sicurezza delle reti 5G con la pubblicazione, il 29 gennaio, del pacchetto di strumenti dell’Ue (Toolbox sul 5G) nel quale sono stati analizzati e trattati tutti i pericoli individuati nella relazione coordinata sulla valutazione dei rischi. Nello specifico, sono state individuate e descritte 8 misure strategiche e 11 tecniche, nonché le corrispondenti azioni di sostegno volte a rafforzare la loro efficacia.

Il 24 luglio, invece, il gruppo di cooperazione NIS con il sostegno della Commissione e dell’Enisa ha pubblicato una relazione sui progressi degli Stati membri nell’attuazione del toolbox sulla sicurezza 5G nella quale si fa il punto sul livello di maturità raggiunto dai vari Paesi nell’implementazione delle misure contenute nel pacchetto. Dal rapporto emerge come a livello generale sussistano ancora diversi stati di avanzamento e come i tre principali rischi individuati siano quello dell’errata configurazione delle reti, della mancanza di controllo all’accesso e di interferenze statali attraverso la catena di fornitura 5G.

Sempre in una logica di accelerazione dello sviluppo delle infrastrutture digitali, il 18 settembre scorso la Commissione ha pubblicato la raccomandazione numero 2020 relativa a un pacchetto di strumenti comuni dell’Unione per ridurre i costi di installazione di reti ad altissima capacità e garantire un accesso allo spettro radio 5G tempestivo e favorevole agli investimenti, al fine di promuovere la connettività a sostegno della ripresa economica dalla crisi di Covid-19 nell’Unione. Quanto alla roadmap da seguire, la raccomandazione ha fissato al 20 dicembre 2020 il termine per l’individuazione e la condivisione a opera degli Stati membri delle migliori pratiche e al 30 marzo 2021 la data entro cui finalizzare un accordo sul pacchetto di strumenti. La Commissione, infine, ha fissato al 30 aprile 2021 il termine per ciascuno Stato per trasmettere una tabella di marcia per l’attuazione del pacchetto di strumenti e al 30 aprile 2022 quello per riferire in merito alla loro attuazione.

Nel rispetto della roadmap descritta, il 25 marzo 2021 i Paesi Ue, in stretta collaborazione con la Commissione, hanno concordato un pacchetto di strumenti per la connettività a livello di Unione (“Connectivity Toolbox”) nel quale vengono indicate una serie di migliori pratiche per ridurre i costi, promuovere l’accesso alle infrastrutture fisiche e snellire le procedure di concessione delle autorizzazioni per eseguire lavori civili.

Sempre al fine di favorire lo sviluppo di reti 5G sicure, la Commissione europea ha incaricato l’Enisa di preparare il sistema di certificazione della cybersicurezza dell’Ue per le reti 5G che favorirà il commercio transfrontaliero, accrescerà la consapevolezza dei clienti e consentirà di fronteggiare i rischi legati alle vulnerabilità tecniche delle reti accrescendone l’affidabilità.

Come componente essenziale della strategia digitale dell’Ue intitolata “Plasmare il futuro digitale dell’Europa”, del piano per la ripresa dell’Europa e della strategia dell’Ue per l’Unione della sicurezza, il 16 dicembre 2020 la Commissione e l’alto rappresentante dell’Unione per gli Affari esteri e la Politica di sicurezza hanno presentato la “Strategia dell’Ue in materia di cibersicurezza per il decennio digitale”. Lo scopo è rafforzare la resilienza collettiva del Vecchio continente contro le minacce informatiche e contribuire a garantire che tutti i cittadini e tutte le imprese possano beneficiare al meglio di servizi e strumenti digitali affidabili. Si tratta di un piano straordinariamente importante che rientra nel  “Cybersecurity package”, un pacchetto che comprende anche una proposta di direttiva relativa alle misure necessarie per conseguire un elevato livello comune di cibersicurezza in tutta l’Unione (direttiva NIS rivista) e una nuova direttiva sulla resilienza delle entità critiche. Nello specifico, la strategia contiene proposte concrete di iniziative politiche, di regolamentazione e di investimento in tre aree d’azione dell’Unione: la prima dedicata alla resilienza, alla sovranità tecnologica e alla leadership, la seconda allo sviluppo di capacità operative di prevenzione, alla dissuasione e alla risposta e, infine, la terza riservata alla promozione di un ciberspazio globale e aperto.

La proposta di revisione della direttiva NIS, in particolare, al fine di fronteggiare le nuove sfide conseguenti all’ampliamento del panorama delle minacce e ridurre la frammentazione normativa a oggi esistente, introduce numerose novità. Tra queste, l’estensione di specifici obblighi in materia di cyber security a soggetti ulteriori, la puntuale definizione di “soggetto essenziale” e “soggetto importante” e l’ampliamento dei contenuti della strategia nazionale, la previsione di procedure per la divulgazione coordinata delle vulnerabilità (con istituzione del registro europeo delle vulnerabilità),  l’adozione da parte degli Stati membri di un piano nazionale di risposta agli incidenti e alle crisi di cibersicurezza su vasta scala e l’istituzione di una Rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe). E ancora, la declinazione in dettaglio dei requisiti e dei compiti dei CSIRT, il rafforzamento degli strumenti di cooperazione, l’allargamento della composizione e l’ampliamento dei compiti del Gruppo di Cooperazione, la fissazione dei contenuti minimi che le misure adottate dai soggetti essenziali e importanti devono contenere, la definizione delle procedure di notifica degli incidenti e l’attribuzione agli Stati membri della facoltà di imporre ai soggetti essenziali ed importanti di certificare determinati prodotti TIC, servizi TIC e processi TIC nell’ambito di specifici sistemi europei di certificazione della cibersicurezza. A tal proposito, alla Commissione spetta il potere di richiedere all’Enisa la predisposizione di una proposta di sistema nel caso in cui non siano disponibili sistemi di certificazione europei adeguati.

La proposta di direttiva sulla resilienza dei soggetti critici, invece, va a modificare la direttiva sulle infrastrutture critiche europee del 2008. In particolare, prescrive agli Stati membri l’adozione di una strategia nazionale – da aggiornare almeno ogni 4 anni – tesa a rafforzare la resilienza dei soggetti critici e nella quale vengono definiti gli obiettivi, le misure strategiche e la struttura di governance per conseguire e mantenere un livello elevato di resilienza da parte di tali soggetti. Inoltre, individua 10 settori rilevanti, tra cui le infrastrutture digitali, declina i criteri da utilizzare per individuare i soggetti critici chiamati a predisporre e applicare un piano di resilienza e notificare secondo procedure puntualmente definite eventuali incidenti. Infine, prescrive agli Stati membri l’individuazione delle autorità competenti e di un punto di contatto unico che interagisca anche con il Gruppo per la resilienza dei soggetti critici (nuovo soggetto di cui si propone l’istituzione).

CONCLUSIONI

Il costante impegno delle istituzioni europee in materia di cybersecurity e di sviluppo e sicurezza delle reti 5G dimostra la centralità del digitale come leva competitiva per l’Unione europea.

Se nel 2016 veniva tracciata la roadmap di sviluppo del 5G, oggi la partita è più complessa e riguarda l’armonizzazione della normativa in materia di sicurezza e la definizione di standard comuni che semplifichino lo sviluppo delle reti 5G. Nella prima direzione si sta muovendo sicuramente la proposta di revisione della direttiva NIS, che cerca proprio di ridurre la frammentazione normativa attualmente esistente favorendo la creazione di un ecosistema di sicurezza europeo. Verso sistemi di certificazione uniformi si muove la Commissione con l’incarico conferito ad Enisa. Stiamo assistendo dunque alla costruzione, mattone dopo mattone, del sistema che consentirà all’Ue di disporre degli strumenti necessari per poter competere efficacemente con le aree più avanzate nello sviluppo delle reti 5G.

Silvia Compagnucci è direttore area digitale Istituto per la Competitività (I-Com)