La Commissione europea ha presentato una nuova legge sulla cybersicurezza che crea le basi per vietare la partecipazione delle aziende cinesi Huawei e ZTE allo sviluppo di infrastrutture essenziali. L’Esecutivo ritiene che entrambe le compagnie rappresentino un rischio per la sicurezza europea e, di fronte alla riluttanza di alcuni Paesi a limitarle volontariamente, propone ora una norma per promuoverne il divieto definitivo nei settori chiave.
“La cybersicurezza non è solo una sfida tecnica: è un rischio strategico per la nostra democrazia, la nostra economia e il nostro stile di vita. Con il nuovo pacchetto avremo gli strumenti necessari per proteggere meglio la catena di approvvigionamento delle tecnologie dell’informazione”, ha dichiarato Henna Virkkunen, vicepresidente della Commissione e responsabile della politica digitale.
Il nuovo regolamento dà particolare importanza alla protezione delle reti 5G e 6G, ma individua anche altre dieci aree critiche, tra cui la fornitura di acqua ed elettricità, i servizi di cloud computing, le apparecchiature di sorveglianza, i dispositivi medici e i semiconduttori. La legge non indica in anticipo alcun Paese o azienda da vietare, ma stabilisce un sistema per identificare i rischi cui è esposta l’Ue e compilare una lista degli attori soggetti a restrizioni.
La Commissione potrà avviare la valutazione del rischio autonomamente o su richiesta di almeno tre Stati membri. Una volta inserite nella lista le imprese ritenute problematiche, gli Stati saranno obbligati a vietarne l’accesso entro un massimo di tre anni. Finora, l’Esecutivo comunitario raccomandava solo l’esclusione di Huawei e ZTE dallo sviluppo delle reti di telecomunicazioni.
Secondo fonti comunitarie, non è possibile prevedere in anticipo quali aziende saranno inserite nella lista, ma il contesto di mercato rimane invariato. Polonia, Francia e Spagna sono stati tra i Paesi dell’Unione più colpiti da incidenti informatici, mentre Germania, Francia, Italia e Spagna hanno dovuto destinare 307 miliardi di euro tra il 2020 e il 2025 per far fronte agli attacchi informatici.
Per rafforzare la cybersicurezza, Bruxelles propone inoltre di aumentare il ruolo dell’Agenzia europea per la cybersicurezza (ENISA) all’interno di una norma che dovrà essere negoziata dagli Stati membri e dal Parlamento europeo prima della sua entrata in vigore.