La Commissione europea ha proposto una versione aggiornata del Cybersecurity Act che tiene conto delle nuove minacce informatiche. Sono incluse una serie di misure necessarie per rafforzare la cybersicurezza, tra cui il ban per i fornitori ad alto rischio delle apparecchiature di telecomunicazione. Anche se non esplicitamente indicato, il riferimento è a Huawei e ZTE.
Maggiori protezioni contro gli attacchi ibridi
Il Cybesecurity Act è in vigore dal 2019. L’aggiornamento più recente è del 18 aprile 2023. La Commissione europea ha proposto ieri sera nuovi emendamenti per rafforzare le protezioni contro gli attacchi ibridi che possono colpire le reti di distribuzione di elettricità e acqua, le reti di trasporto, le istituzioni finanziarie e il settore sanitario.
Le novità del Cybersecurity Act riguardano quattro aspetti principali:
- Sviluppare un quadro per affrontare le sfide della sicurezza della catena di fornitura ICT nelle infrastrutture critiche
- Semplificare e migliorare il quadro europeo di certificazione della sicurezza informatica
- Introdurre misure di semplificazione per ridurre gli oneri amministrativi superflui legati all’attuazione della direttiva NIS2
- Rafforzare l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA)
Il primo punto è quello più importante, considerato che i cosiddetti attacchi supply chain sono tra i più utilizzati per le attività di spionaggio. La Commissione europea sottolinea che sono aumentati i rischi derivanti dalle vulnerabilità nelle catene di fornitura ICT, quindi è necessario ridurre la dipendenza dai fornitori ad alto rischio.
Gli Stati membri potranno identificare e mitigare congiuntamente i rischi in 18 settori critici, tenendo conto dell’impatto economico e dell’offerta di mercato. Per le misure protettive verrà preso come riferimento il 5G Security Toolbox. Potrebbe quindi essere introdotto il ban per le apparecchiature di rete fornite da Huawei e ZTE.
Un portavoce di Huawei ha dichiarato:
Una proposta legislativa volta a limitare o escludere i fornitori extra UE in base al Paese di origine, anziché a prove fattuali e standard tecnici, viola i principi giuridici fondamentali dell’UE di equità, non discriminazione e proporzionalità, nonché i suoi obblighi nei confronti del WTO. Monitoreremo attentamente l’ulteriore sviluppo del processo legislativo e ci riserviamo tutti i diritti per salvaguardare i nostri legittimi interessi.
Il nuovo Cybersecurity Act sarà immediatamente applicabile dopo l’approvazione di Parlamento e Consiglio. Gli Stati membri avranno quindi un anno di tempo per implementare le modifiche nelle leggi nazionali.
Ti potrebbe interessare
21 gen 2026