Garantire la resilienza delle reti 5G è oggi un obiettivo primario, perché questa tecnologia ha un evidente impatto non solo sulle comunicazioni digitali, ma anche in ambiti critici come la fornitura di energia, i trasporti, le banche, la sanità e in genere tutti i sistemi di controllo industriale.
Le reti 5G permetteranno uno scambio intensivo di informazioni (anche sensibili) tra i sistemi e a loro volta saranno di supporto alle infrastrutture di sicurezza che si baseranno via via in modo crescente su tali reti. Da una parte gli operatori di mercato sono i principali responsabili dell’avvio in sicurezza del 5G, ma ogni Paese è responsabile della sicurezza nazionale, ed è quindi ritenuto importante lo sforzo collettivo per l’attuazione coordinata delle misure necessarie a garantire che le imprese e i cittadini possano sfruttare appieno tutti i vantaggi della tecnologia in modo sicuro.
In relazione al problema cybersecurity, per quanto riguarda i progetti e le reti 5G in via dei definizione nei Paesi membri dell’UE, i diversi stati hanno da tempo avviato processi di revisione e rafforzamento delle misure applicabili alle reti. Un impegno volto a favore un approccio coordinato sul tema a livello europeo, in atto da tempo, ma che vede ancora tanti passi da compiere, come sottolinea Margrethe Vestager, vicepresidente della Commissione e commissaria per l‘Agenda Digitale: “Il lancio tempestivo delle reti 5G è strategicamente importante per tutti gli Stati membri, perché può aprire nuove opportunità per le imprese, trasformare i settori critici dell’UE e apportare benefici ai cittadini europei. La nostra priorità e responsabilità comune consiste nel garantire che tali reti siano sicure, e benché la relazione evidenzi gli enormi passi avanti registrati, molto rimane ancora da fare”.
Nel marzo 2019 la Commissione ha adottato una raccomandazione sulla cibersicurezza delle reti 5G in cui ha invitato gli Stati membri a completare le relative valutazioni nazionali, quindi ad ottobre dello stesso anno, sulla base delle valutazioni, sono state individuate le minacce più rilevanti e i principali autori di tali minacce, gli asset sensibili, le principali vulnerabilità e i diversi rischi strategici.
A complemento l’Enisa, l’Agenzia dell’Unione europea per la cybersecurity, ha effettuato la mappatura del panorama delle minacce (con analisi dettaglia degli aspetti tecnici per individuare gli asset di rete sensibili) e a gennaio 2020, gli stati membri hanno adottato infine il pacchetto di strumenti dell’UE comprendente le misure di attenuazione dei rischi.
E’ di recente pubblicazione, al riguardo, una specifica relazione sui progressi compiuti dai diversi Paesi nell’attuazione del pacchetto con le misure di attenuazione dei rischi. Il pacchetto definisce le modalità di approccio sulla base di una valutazione oggettiva dei rischi individuati e le relative misure di attenuazione per affrontarli.
In primis gli stati membri convengono di rafforzare i requisiti di sicurezza mediante una serie di misure, in particolare per valutare i profili di rischio dei fornitori, e per applicare le restrizioni pertinenti per i fornitori considerati a rischio (comprese le necessarie esclusioni per gli asset chiave considerati critici e sensibili, come le funzioni della rete centrale) e quindi per predisporre le strategie necessarie a garantire la diversificazione dei fornitori.
I principali elementi della relazione su questo tema evidenziano come dalla definizione del pacchetto ad oggi “siano stati rafforzati nella maggior parte dei Paesi i poteri delle autorità nazionali per la regolamentazione della cybersecurity per il 5G“, tra cui la facoltà di disciplinare gli appalti per le apparecchiature di rete ed i servizi erogati. Sono inoltre già in vigore in alcuni stati “le misure volte a limitare la partecipazione dei fornitori sulla base del loro profilo di rischio“.
In Italia, per esempio, ai sensi della legge sul Golden Power, il governo riceve notifiche relative all’uso di apparecchiature o servizi da parte dei Mobile Network Operator per l’implementazione del 5G ogni volta che tali apparecchiature o servizi provengono da fornitori extra-UE e un gruppo di coordinamento interministeriale informa il governo sulla possibilità di porre il veto sul contratto (sulla base di analisi tecniche) o di imporre misure di sicurezza.
Inoltre, sempre nell’ambito dell’applicazione del Golden Power sui contratti relativi ai componenti principali per il 5G, gli Mno sono tenuti a sviluppare progetti diversificati comprendenti sia la diversificazione “verticale” (l’uso di sistemi di diversi fornitori nell’hardware, la virtualizzazione e i livelli di applicazione) sia la diversificazione “orizzontale” (l’uso di diverse soluzioni software, a livello di applicazione).
Un ambito particolarmente delicato, per il quale la relazione sottolinea “l’importanza di considerare la rete nel suo complesso e di affrontare gli elementi della rete centrale e gli altri elementi critici e altamente sensibili, tra cui le funzioni di gestione e la rete di accesso radio, imponendo restrizioni anche in merito ad altri asset chiave, quali aree geografiche definite, amministrazioni pubbliche o altri soggetti critici”. In particolare è opportuno evidenziare il passaggio in cui si dice che “per gli operatori che hanno già stipulato contratti con fornitori ad alto rischio dovrebbero essere previsti periodi di transizione”.
Per quanto riguarda i requisiti di sicurezza e resilienza della rete, l’UE richiama l’importanza del rafforzamento dei requisiti sulla base delle più recenti pratiche e possibilità offerte dalla tecnologia, ma anche la verifica sull’effettiva applicazione di scelte strategiche di diversificazione nella scelta dei fornitori in particolare per quanto riguarda i punti su cui sono state rilevate criticità.
Alla base delle valutazioni per esempio ci sono le difficoltà tecnico/operative possibili per la mancanza di interoperabilità. Ma la relazione richiama anche al controllo sugli investimenti esteri diretti ed all’introduzione del meccanismo nazionale di controllo relativo che in 13 Paesi non è ancora attivo, soprattutto in vista delle imminenti verifiche al riguardo a partire da ottobre 2020.
Infine la relazione caldeggia lo scambio di informazioni su problematiche, pratiche e soluzioni per attuare le misure del pacchetto con un appello alla collaborazione per quanto riguarda la normativa e certificazione, la difesa commerciale, le regole in materia di concorrenza. Si vogliono evitare le distorsioni nel mercato dell’approvvigionamento e si vuole garantire che i progetti sostenuti dai finanziamenti pubblici tengano in alto conto i rischi legati alla cybersecurity.
Alcuni Paesi in relazione, per esempio, al tema della gestione delle reti, delle operation ed al monitoraggio dell’infrastruttura, oltre alla raccomandazione di base per cui si suggerisce che Noc e Soc restino all’interno del Paese di riferimento o al massimo all’interno dell’Unione hanno suggerito la riconsiderazione e la possibile estensione delle limitazioni attualmente fissate in relazione a questa misura in termini geografici, per esempio anche ai Pesi dell’area economica europea (Eea).
In Italia, i requisiti di base su questo tema sono allineati a una posizione prudente ed inclusi nel decreto del Mise, Misure di Sicurezza e Integrità delle reti di Comunicazione Elettronica e Notifica di Incidenti Significativi del 12 dicembre 2018, per cui nell’ambito dell’applicazione del Golden Power, gli Mno non sono autorizzati a esternalizzare il Noc e sono tenuti a raggiungere un elevato livello di autonomia nella gestione delle loro reti.
© RIPRODUZIONE RISERVATA
