Il Regolamento sulla sicurezza informatica dell’Unione europea – che modifica gli allegati della Direttiva UE 2022/2555 – mira a proteggere le infrastrutture critiche imponendo l’esclusione dei fornitori “ad alto rischio”
La Commissione Europea martedì scorso ha presentato una proposta legislativa che rappresenta il passo più deciso e deciso fino ad oggi verso l’esclusione dei fornitori considerati “ad alto rischio” dai progetti infrastrutturali critici europei, tra cui energia e telecomunicazioni, mettendo nel mirino giganti tecnologici cinesi come Huawei e ZTE.
Si tratta di una mossa che trasforma una strategia di sicurezza, finora basata su linee guida non vincolanti, in obblighi giuridici con scadenze perentorie e conseguenze economiche multimilionarie.
VIRKKUNEN (UE): “SULLE RETI 5G AVREMO DELLE REGOLE PIÙ SEVERE”
“Non sono soddisfatta del modo in cui gli Stati membri hanno implementato il nostro 5G Toolbox”, ha affermato Henna Virkkunen, vicepresidente esecutiva per la Politica tecnologica e la Sicurezza della Commissione europea, riferendosi alle linee guida dell’Unione europea per la gestione dei fornitori ad alto rischio. “Sappiamo che nelle nostre reti 5G, in aree critiche, sono ancora presenti fornitori ad alto rischio, quindi ora avremo regole più severe in materia”.
I FORNITORI “AD ALTO RISCHIO”
Come riferisce El Periodico de la Energia, una volta entrata in vigore la legge, gli operatori avranno a disposizione un periodo di transizione di 3 anni per eliminare gradualmente i fornitori ad alto rischio. La Commissione stima che l’impatto economico dell’eliminazione dei fornitori ad alto rischio dalla rete mobile sarebbe compreso tra 3 e 4 miliardi di euro.
“Le capitali Ue stanno investendo molto nella difesa e nella sicurezza e, allo stesso tempo, non possiamo avere una situazione del genere, in cui abbiamo fornitori ad alto rischio in una parte critica della nostra infrastruttura critica”, ha spiegato Virkkunen. “Le minacce alla sicurezza informatica – ha aggiunto – non sono solo sfide tecniche, sono rischi strategici per la nostra democrazia, la nostra economia e il nostro stile di vita”.
La Commissione sostiene la sua posizione con cifre allarmanti: stima che, tra il 2020 e il 2025, i quattro maggiori attacchi informatici nell’Unione europea siano costati 307 miliardi di euro e che il 28% degli incidenti derivi da vulnerabilità nella catena di fornitura tecnologica.
IL NUOVO REGOLAMENTO UE SULLA SICUREZZA INFORMATICA
La bozza del nuovo Regolamento sulla sicurezza informatica prevede la creazione di un elenco Ue di fornitori ad alto rischio. L’inclusione in tale elenco obbligherebbe gli Stati membri a rimuovere le proprie apparecchiature e servizi dalle reti critiche entro un massimo di 3 anni dall’entrata in vigore della legge. Sebbene il testo non menzioni esplicitamente le aziende cinesi, i criteri descritti – come la possibile collaborazione con servizi di intelligence stranieri – puntano direttamente a società come Huawei e ZTE.
L’IMPATTO DEL NUOVO REGOLAMENTO SUL SETTORE ENERGETICO
La proposta legislativa della Commissione europea – che modifica gli allegati della Direttiva UE 2022/2555 – mira a proteggere le infrastrutture critiche imponendo l’esclusione dei fornitori “ad alto rischio”. Il suo ambito di applicazione è tecnicamente e settorialmente specifico. Nel settore energetico, copre tutti i produttori di energia elettrica (come definiti dalla Direttiva UE 2019/944), con la sola eccezione di quelli con una capacità totale inferiore a 1 MW, una soglia così bassa da comprendere praticamente l’intera struttura di generazione commerciale.
Fondamentalmente, estende la protezione al settore del gas e dell’idrogeno emergente, integrando le società di produzione commerciale di idrogeno e i gestori delle reti di stoccaggio e trasmissione dell’idrogeno (definiti nella Direttiva UE 2024/1788). Infine, include anche i fornitori di Sistemi di Trasporto Intelligenti (Direttiva 2010/40/UE). Queste modifiche riflettono un impegno a proteggere i vettori energetici attuali e futuri e le infrastrutture di trasporto vitali, che va oltre l’attenzione iniziale rivolta alle telecomunicazioni.
LA PROPOSTA UE RIGUARDA 18 SETTORI CRITICI
L’ambito di applicazione della proposta non si limita quindi alle reti mobili 5G, che costituiscono il focus iniziale della questione, ma si estende espressamente a 18 settori critici, tra cui spiccano le reti energetiche (generazione, distribuzione e stoccaggio), i trasporti, il settore bancario, l’assistenza sanitaria, le infrastrutture digitali e i servizi cloud.
Ciò significa che la presenza di apparecchiature di questi fornitori nelle sottostazioni elettriche, nei sistemi di controllo delle reti del gas o delle energie rinnovabili, o nei data center che gestiscono le operazioni di sistema, rientrerebbe nell’ambito di applicazione della futura legge. La Commissione ritiene che, allo stato attuale, non sia ancora possibile bloccare formalmente i fornitori in settori diversi dalle telecomunicazioni, poiché in tali settori non è stato svolto alcun lavoro di identificazione dei rischi.
Per il settore energetico europeo, già alle prese con una complessa transizione digitale e verde, questa direttiva rappresenterebbe un terremoto logistico e finanziario: comporterebbe la verifica, l’individuazione e la sostituzione di componenti considerati ad alto rischio in infrastrutture sensibili, un processo costoso e tecnicamente complesso che potrebbe compromettere la continuità e la sicurezza dell’approvvigionamento.