La Commissione europea ha annunciato una revisione del Cybersecurity Act per rafforzare la sicurezza delle reti 5G e ridurre la dipendenza dai fornitori "ad alto rischio" di paesi terzi, con un chiaro riferimento a Huawei e ZTE. Il nuovo pacchetto di misure presentato dalla commissaria Henna Virkkunen estende gli obblighi di sicurezza a 18 settori critici oltre le telecomunicazioni, tra cui fibra ottica, comunicazioni satellitari e sistemi energetici solari.
La strategia europea mira a proteggere le catene di approvvigionamento tecnologiche da rischi che vanno oltre le vulnerabilità tecniche, includendo dipendenze straniere e interferenze. Thomas Regnier, portavoce della Commissione europea, ha dichiarato in un briefing a Bruxelles: «Sono fornitori ad alto rischio, solo un piccolo numero di paesi dell'Ue ha adottato misure appropriate e abbiamo incoraggiato gli Stati membri a prendere misure per escludere queste due aziende dall'infrastruttura per la connettività».
Rischi strategici oltre le telecomunicazioni
Virkkunen ha sottolineato la portata delle minacce: «Le minacce non sono solo sfide tecniche, sono rischi strategici per la nostra democrazia, la nostra economia e il nostro stile di vita. Con il nuovo Pacchetto sulla sicurezza informatica, disporremo degli strumenti per proteggere meglio le nostre catene di approvvigionamento Ict critiche, ma anche per contrastare con decisione gli attacchi informatici. Si tratta di un passo importante per garantire la nostra sovranità tecnologica europea e una maggiore sicurezza per tutti».
La commissaria ha precisato che il problema non riguarda solo le telecomunicazioni: «Le telco non sono l'unico ambito in cui la dipendenza da uno o pochi fornitore può rappresentare un alto rischio».
L'allarme dell'industria sui costi
Connect Europe, l'associazione che rappresenta i principali operatori europei, avverte che le nuove regole peseranno sul settore con costi aggiuntivi di miliardi di euro. L'associazione sottolinea che gli operatori di telecomunicazioni devono già affrontare ingenti investimenti per il 5G e la fibra, mentre le condizioni normative limitano la loro capacità di investire.
«Se tali obblighi non si basano su solide valutazioni del rischio basate su prove concrete e non sono supportati da misure di mitigazione come i meccanismi di rimborso dei costi, avranno un impatto significativo e negativo sull'implementazione della rete, sulla continuità operativa e sulla pianificazione degli investimenti», avverte l'associazione. «Attualmente l'Europa ha urgente bisogno di maggiori investimenti nella connettività, non di minori».
Anche la Computer & communications industry association (Cccia) esprime preoccupazione per il rischio che Stati membri e parlamentari europei possano introdurre criteri protezionistici durante i negoziati, chiedendo parametri chiari e oggettivi per definire i "paesi ad alto rischio".
Il contesto: 9 trilioni di costi da cybercrime
La cybercriminalità ha superato i 9 trilioni di euro di costi in Europa nel 2025. Nonostante il 5G Toolbox sia operativo dal 2020, pochi paesi hanno adottato misure concrete contro i fornitori cinesi. La Svezia ha bandito Huawei e ZTE dalle sue reti 5G nel 2020, il Regno Unito ha imposto il blocco immediato delle nuove installazioni Huawei nel 2022, e la Germania prevede di rimuovere Huawei dai sistemi 5G entro quest'anno.
In Italia, secondo un report di Strand Consult, la presenza di tecnologie cinesi nelle reti 5G era al 51% nel 2022, scesa al 35% nel 2024, con una stima del 28% entro il 2028. Gli operatori italiani stanno progressivamente transitando verso fornitori europei come Ericsson e Nokia.
Semplificazione per le imprese
Il pacchetto prevede modifiche alla direttiva NIS2 per semplificare la conformità per 28.700 aziende, tra cui 6.200 micro e piccole imprese, riducendo i costi di conformità per 22.500 società di media capitalizzazione. Le modifiche snelliranno le norme giurisdizionali, la raccolta di dati sugli attacchi ransomware e faciliteranno la supervisione delle entità transfrontaliere, con il ruolo rafforzato dell'Enisa, l'agenzia europea per la cybersicurezza.
Il nuovo quadro europeo di certificazione della cybersicurezza (Eccf) punta a una governance più agile e trasparente, con schemi sviluppati entro 12 mesi.
Nota: Questo articolo è stato creato con l'Intelligenza Artificiale (IA).
