© ShutterstockL’Ue ha presentato una proposta normativa che segna un’importante svolta nella gestione della sicurezza delle infrastrutture critiche e i fornitori ad alto rischio. Ci saranno implicazioni rilevanti per le reti di telecomunicazione come il 5G.
La riforma del Cybersecurity Act, annunciata il 20 gennaio 2026 dalla Commissione Europea, punta a integrare nella legge obblighi finora solo raccomandati, rendendo vincolanti le misure contenute nella cosiddetta 5G Toolbox e introducendo un meccanismo di identificazione e gestione dei rischi per le catene di approvvigionamento tecnologiche.
Obiettivi della nuova normativa
L’intento principale del pacchetto presentato dall’esecutivo Ue sui fornitori ad alto rischio è quello di fronteggiare un panorama delle minacce informatiche sempre più complesso e sofisticato, che non rende vulnerabili solo aspetti tecnici, ma anche la sicurezza strategica, economica e politica dell’Unione. Per questo motivo, la proposta amplia l’ambito di applicazione delle norme non solo alle tecnologie di rete mobile (come il 5G), ma anche a fibra ottica, sistemi di energia solare e scanner di sicurezza nei porti e negli aeroporti.
Ciò significa che Bruxelles potrà imporre l’esclusione di fornitori ad alto rischio nelle infrastrutture critiche, anche se questi non sono nominati esplicitamente nella legge. I criteri per identificarli saranno elaborati dopo una valutazione dei rischi da parte della Commissione o di almeno tre Stati membri. Valuteranno aspetti legati alla sicurezza, alla possibile interferenza esterna e alla resistenza delle catene di approvvigionamento.
Il ruolo di Huawei e Zte nel mirino della politica Ue
Sebbene la nuova legge non citi nomi di aziende, nei fatti il pacchetto è ampiamente interpretato come diretto verso grandi fornitori extra-Ue ritenuti rischiosi, in particolare le società cinesi Huawei e Zte. Queste aziende, presenti storicamente nelle reti 5G di molti Paesi europei, sono già state oggetto di restrizioni volontarie da parte di vari Stati membri e della Commissione stessa, che le ha classificate in passato come a rischio “materialmente superiore” rispetto ad altri fornitori.
In precedenza, meno della metà degli Stati membri aveva adottato misure per limitare o vietare l’uso di queste tecnologie nelle proprie reti. Con la revisione del Cybersecurity Act 2, questo potrebbe diventare obbligatorio. Gli operatori di rete dovranno eliminare gradualmente il cosiddetto “equipment” ad alto rischio entro un periodo definito, tipicamente in 36 mesi dalla pubblicazione di una lista ufficiale dei fornitori considerati pericolosi per la sicurezza.
Impatto e prospettive future
L’obiettivo dichiarato di Bruxelles è duplice: rafforzare la sicurezza informatica dell’Unione e ridurre la dipendenza tecnologica da Paesi terzi, in linea con la strategia di de-risking intrapresa dalla Commissione. Tuttavia, la mossa ha già generato critiche da parte della Cina, che ha definito la proposta discriminatoria e potenzialmente dannosa per la fiducia degli investitori.
Se approvata dal Parlamento Europeo e dal Consiglio, la normativa rappresenterà una delle revisioni più significative del quadro di sicurezza digitale dell’Unione negli ultimi anni, con conseguenze profonde sulle strategie di fornitura tecnologica, sulla competizione globale dei giganti delle telecomunicazioni e sulla sovranità digitale europea.
© Riproduzione riservata
