Si va delineando meglio il percorso che l'Unione Europea intende seguire per la sicurezza delle reti 5G. Oggi la Commissione Europea ha approvato la versione finale del cosiddetto Toolbox for 5G Security. Si tratta di un "pacchetto di strumenti", un insieme di line guida per affrontare i rischi di sicurezza connessi al lancio del 5G. La novità principale delle decisioni rese pubbliche oggi... è che in senso stretto non c'è nulla di nuovo.

Con questo intendiamo che la UE conferma il suo approccio equilibrato tra decisioni comunitarie e autonomia degli Stati membri. E soprattutto non mette fuori gioco a priori nessun fornitore di prodotti o servizi. Come invece era stato sostanzialmente indicato dagli USA, che hanno nel mirino le aziende cinesi come Huawei. Ma non solo. Anche se l'attenzione al ruolo dei fornitori internazionali è stata comunque posta.

Le decisioni della Commissione Europea possono sembrare generiche. Questo perché la UE cerca di mantenere un approccio di indirizzo, lasciando agli Stati membri i dettagli più pratici. Ciò che la Commissione ha sempre cercato di evitare, per il 5G, è che tutti si muovano in ordine sparso. Servono regole comuni, il Toolbox ha proprio questo ruolo. Lo spiega in sintesi Thierry Breton, commissario per il Mercato interno: "Oggi offriamo agli Stati membri, agli operatori delle telecomunicazioni e agli utenti dell'UE gli strumenti per costruire e proteggere le infrastrutture europee con i più elevati standard di sicurezza".


La definizione attuale del Toolbox nasce da un lavoro coordinato di diversi mesi. Nel corso del 2019 gli Stati membri hanno completato proprie valutazioni sui rischi delle loro future reti 5G. Queste conclusioni sono state analizzate dalla Commissione e da Enisa, l'Agenzia dell'UE per la cyber security. Parallelamente, a fine 2019 il gruppo di cooperazione NIS ha pubblicato una analisi simile, ma a livello comunitario. Ed Enisa ha pubblicato una mappatura del panorama delle minacce per il 5G.

La visione europea della sicurezza 5G

L'idea di fondo dell'approccio UE alla cyber security nel 5G è abbastanza semplice. Ma a più livelli collegati. La sicurezza delle infrastrutture 5G in sé è responsabilità degli operatori. Gli Stati membri sono responsabili della sicurezza nazionale. Serve poi un coordinamento sovranazionale perché la sicurezza delle reti 5G è una questione di importanza strategica per il mercato unico nel suo complesso.

Questo coordinamento si attua di fatto con il Toolbox. Che in primis delinea i rischi per le reti 5G, compresi quelli relativi a fattori non tecnici. Come - non a caso - il rischio "di interferenza da parte di un paese terzo o di soggetti sostenuti da governi di paesi terzi attraverso la catena di approvvigionamento del 5G". I rischi si mitigano con "misure tecniche e strategiche e azioni corrispondenti" che sono appunto delineate nel Toolbox.
Fortunatamente per gli operatori, il toolbox è abbastanza dettagliato. Comprende e illustra otto misure strategiche e undici misure tecniche. Che spaziano dal rafforzamento del ruolo delle autorità nazionali all'applicazione dei requisiti di base per la sicurezza delle reti. Dalla valutazione del profilo di rischio dei fornitori alla resilienza a livello nazionale. Quello che va fatto si dettaglia poi in dieci Supporting Action anch'esse dettagliate.

Il toolbox comprende anche nove Risk Mitigation Plan. Si tratta di altrettanti scenari di rischio, in cui i principali pericoli per le reti 5G vengono contenuti attraverso una combinazione specifica di azioni strategiche e tecniche. Quasi un vademecum di sintesi sulla protezione delle reti. Non tanto perché un operatore ne abbia bisogno (si spera). Ma piuttosto per dare alle authority nazionali una guida sulle verifiche da attuare.

Sicurezza 5G e supply chain

Pur rimanendo agnostiche rispetto ai fornitori tecnologici, le indicazioni UE hanno fatto qualche concezione al clima di "frizione" tra USA, Europa e Cina. Ad esempio, si è deciso di "rafforzare i requisiti di sicurezza per gli operatori di rete mobile". E di "applicare le restrizioni pertinenti per i fornitori considerati ad alto rischio, comprese le necessarie esclusioni per gli asset chiave delle reti".

Spicca soprattutto l'invito agli Stati membri di spingere la diversificazione della supply chain degli operatori. Si vuole cioè evitare che un operatore dipenda fortemente da un unico fornitore tecnologico. E che dipenda in qualsiasi grado da fornitori considerati ad alto rischio. La stessa Commissione Europa dovrà prendere misure perché questo accada. Misure per ora non punitive, semmai basate sullo sviluppo del mercato.

Gli Stati membri dovrebbero attuare le misure raccomandate nel Toolbox conclusivo entro il 30 aprile 2020. E preparare una relazione congiunta sull'attuazione in ciascuno Stato membro entro il 30 giugno 2020. Le mosse dei vari Stati saranno poi monitorate dalla Commissione, da Enisa e dal gruppo NIS.