Procedura : 2019/2575(RSP)
Ciclo di vita in Aula
Ciclo del documento : B8-0155/2019

Testi presentati :

B8-0155/2019

Discussioni :

Votazioni :

PV 12/03/2019 - 9.22

Testi approvati :

P8_TA(2019)0156

<Date>{06/03/2019}6.3.2019</Date>
<NoDocSe>B8-0155/2019</NoDocSe>
PDF 141kWORD 53k

<TitreType>PROPOSTA DI RISOLUZIONE</TitreType>

<TitreSuite>presentata a seguito di dichiarazioni del Consiglio e della Commissione</TitreSuite>

<TitreRecueil>a norma dell'articolo 123, paragrafo 2, del regolamento</TitreRecueil>


<Titre>sulle minacce per la sicurezza connesse all'aumento della presenza tecnologica cinese nell'UE e sulla possibile azione a livello di UE per ridurre tali minacce</Titre>

<DocRef>(2019/2575(RSP))</DocRef>


<RepeatBlock-By><Depute>Luděk Niedermayer, Angelika Niebler, Ivo Belet, Paul Rübig</Depute>

<Commission>{PPE}a nome del gruppo PPE</Commission>

</RepeatBlock-By>

Vedasi anche la proposta di risoluzione comune RC-B8-0154/2019

B8-0155/2019

Risoluzione del Parlamento europeo sulle minacce per la sicurezza connesse all'aumento della presenza tecnologica cinese nell'UE e sulla possibile azione a livello di UE per ridurre tali minacce

(2019/2575(RSP))

Il Parlamento europeo,

 vista la direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, che istituisce il codice europeo delle comunicazioni elettroniche[1],

 vista la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione[2],

 vista la direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio[3],

 vista la proposta della Commissione riguardante un regolamento del Parlamento europeo e del Consiglio, del 13 settembre 2017, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, che abroga il regolamento (UE) n. 526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione ("regolamento sulla cibersicurezza") (COM(2017)0477),

 vista la proposta di regolamento del Parlamento europeo e del Consiglio, del 12 settembre 2018, che istituisce il Centro europeo di competenza industriale, tecnologica e di ricerca sulla cibersicurezza e la rete dei centri nazionali di coordinamento, presentata dalla Commissione (COM(2018)0630),

 vista l'adozione della nuova legge nazionale sull'intelligence da parte dell'Assemblea nazionale del popolo cinese, il 28 giugno 2017,

 viste le dichiarazioni del Consiglio e della Commissione, in data 13 febbraio 2019, sulle minacce alla sicurezza connesse all'aumento della presenza tecnologica cinese nell'Unione europea e sulla possibile azione a livello di Unione per ridurre tali minacce,

 vista l'adozione da parte del governo australiano di riforme in materia di sicurezza nel settore delle telecomunicazioni, in vigore dal 18 settembre 2018,

 vista la sua posizione adottata in prima lettura il 14 febbraio 2019 sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un quadro per il controllo degli investimenti esteri diretti nell'Unione europea[4],

 viste le sue risoluzioni sulle relazioni UE-Cina, in particolare la risoluzione del 12 settembre 2018 sullo stato delle relazioni UE-Cina[5],

 vista la comunicazione della Commissione del 14 settembre 2016 dal titolo "Il 5G per l'Europa: un piano d'azione" (COM(2016)0588),

 vista la sua risoluzione del 1° giugno 2017 sulla connettività Internet per la crescita, la competitività e la coesione: la società europea dei gigabit e del 5G[6],

 visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)[7],

 visto il regolamento (UE) n. 1316/2013 del Parlamento europeo e del Consiglio, dell'11 dicembre 2013, che istituisce il meccanismo per collegare l'Europa e che modifica il regolamento (UE) n. 913/2010 e che abroga i regolamenti (CE) n. 680/2007 e (CE) n. 67/2010[8],

 vista la proposta di regolamento del Parlamento europeo e del Consiglio che istituisce il programma Europa digitale per il periodo 2021-2027 (COM(2018)0434),

 visto l'articolo 123, paragrafo 2, del suo regolamento,

A. considerando che l'UE deve portare avanti la sua agenda per la sicurezza informatica affinché possa dispiegare il proprio potenziale nel diventare un attore di primo piano nella sicurezza informatica e lo utilizzi a vantaggio della sua industria;

B. considerando che le vulnerabilità delle reti 5G potrebbero essere sfruttate per compromettere i sistemi informatici, causando potenzialmente gravissimi danni alle economie a livello europeo e nazionale; che per ridurre al minimo i rischi è necessario un approccio analitico all'intera catena del valore;

C. considerando che la rete 5G sarà la struttura portante della nostra infrastruttura digitale, estendendo la possibilità di connettere diversi dispositivi alle reti (Internet delle cose, ecc.), e apporterà nuovi vantaggi e nuove opportunità alla società e alle aziende in molti settori, tra cui alcuni settori chiave dell'economia, quali i trasporti, l'energia, la sanità, la finanza, le telecomunicazioni, la difesa, la spazio e la sicurezza;

D. considerando che l'istituzione di un meccanismo adeguato per far fronte alle sfide in materia di sicurezza darebbe all'UE la possibilità di prendere misure in modo attivo per la definizione di norme per il 5G;

E. considerando che sono state espresse preoccupazioni in merito ai venditori di apparecchiature di paesi terzi che potrebbero presentare un rischio per la sicurezza dell'UE a causa della legislazione del loro paese di origine, in particolare dopo l'entrata in vigore delle leggi cinesi sulla sicurezza dello Stato, che prevedono l'obbligo per tutti i cittadini, le imprese e altri soggetti di cooperare con lo Stato per salvaguardare la sicurezza dello Stato; che nulla garantisce che tali obblighi non prevedano un'applicazione extraterritoriale e che in alcuni paesi le reazioni alla normativa cinesi variano da valutazioni della sicurezza a un divieto assoluto;

F. considerando che, nel dicembre 2018, l'autorità nazionale ceca per la sicurezza informatica ha lanciato un'allerta contro le minacce alla sicurezza poste dalle tecnologie messe a disposizione dalle società cinesi Huawei e ZTE; che, successivamente, nel gennaio 2019, le autorità tributarie ceche hanno escluso Huawei da una gara d'appalto per la creazione di un portale del fisco;

G. considerando che è necessaria un'indagine approfondita per chiarire se i dispositivi in questione, o qualsiasi altro dispositivo o fornitore, presentano rischi per la sicurezza dovuti a caratteristiche come le backdoor ai sistemi;

H. considerando che le soluzioni dovrebbero essere coordinate e trattate a livello dell'UE al fine di evitare livelli diversi di sicurezza e potenziali disparità in materia di cibersicurezza; che è altresì necessario un coordinamento a livello globale per dare una risposta forte;

I. considerando che i vantaggi del mercato unico si accompagnano all'obbligo di rispettare le norme e il quadro giuridico dell'Unione e che i fornitori non dovrebbero essere trattati in modo diverso a seconda del loro paese di origine;

J. considerando che il regolamento sul controllo degli investimenti esteri diretti, che dovrebbe entrare in vigore entro la fine del 2020, rafforza la capacità degli Stati membri di controllare gli investimenti esteri sulla base della sicurezza e dell'ordine pubblico, istituisce un meccanismo di cooperazione grazie al quale la Commissione e gli Stati membri possono collaborare nella valutazione dei rischi per la sicurezza derivanti dagli investimenti esteri sensibili, tra cui i rischi per la sicurezza informatica, e comprende anche progetti e programmi di interesse per l'Unione europea, quali le reti transeuropee di telecomunicazioni e Orizzonte 2020;

1. ritiene che l'Unione debba assumere un ruolo guida in materia di sicurezza informatica, adottando un approccio comune basato su un utilizzo efficiente delle competenze dell'UE, degli Stati membri e dell'industria, dato che un mosaico di decisioni nazionali divergenti nuocerebbe al mercato unico digitale;

2. esprime profonda preoccupazione per le recenti affermazioni secondo cui le apparecchiature 5G sviluppate da società cinesi conterrebbero "backdoor" integrate, che consentirebbero ai fabbricanti e alle autorità di avere un accesso non autorizzato ai dati e alle telecomunicazioni dei cittadini e delle imprese dell'Unione;

3. è ugualmente preoccupato per la potenziale presenza di grandi vulnerabilità nelle apparecchiature 5G sviluppate da questi costruttori, qualora queste ultime fossero installate in occasione del dispiegamento delle reti 5G nei prossimi anni;

4. sottolinea che le implicazioni per la sicurezza delle reti e delle apparecchiature sono simili in tutto il mondo, e invita l'UE ad imparare dalle esperienze disponibili al fine di essere in grado di garantire i più elevati standard in materia di sicurezza informatica; invita la Commissione a sviluppare una strategia che ponga l'Europa in una posizione di guida nel settore delle tecnologie di sicurezza informatica, onde ridurre la dipendenza dell'Europa dalla tecnologia straniera nel campo della sicurezza informatica;

5. invita gli Stati membri a informare la Commissione in merito a qualsiasi misura nazionale intendano adottare, al fine di coordinare la risposta dell'Unione, onde garantire i più elevati standard di sicurezza informatica in tutta l'Unione, e ribadisce l'importanza di astenersi dall'introdurre misure unilaterali sproporzionate che frammenterebbero il mercato unico;

6. ribadisce che qualsiasi entità che fornisce apparecchiature o servizi nell'UE, a prescindere dal suo paese di origine, deve rispettare gli obblighi in materia di diritti fondamentali e la legislazione dell'Unione e degli Stati membri, incluso il quadro giuridico per quanto riguarda vita privata, protezione dei dati e sicurezza informatica;

7. invita la Commissione a valutare la solidità del quadro giuridico dell'Unione, al fine di rispondere alle preoccupazioni in merito alla presenza di apparecchiature vulnerabili in settori strategici e nell'infrastruttura portante; chiede alla Commissione di presentare iniziative, incluse se del caso proposte legislative, per affrontare a tempo debito le carenze rilevate nel corso del processo costante avviato dall'Unione, che consiste nell'identificare ed affrontare le sfide in materia di sicurezza informatica e rafforzare la resilienza dell'UE in tale ambito;

8. invita gli Stati membri che non hanno ancora recepito appieno la direttiva (UE) 2016/1148 sulla sicurezza delle reti e dell'informazione (NIS) a provvedere in tal senso senza indugio, e chiede alla Commissione di monitorare da vicino tale recepimento, al fine di garantire che le disposizioni della direttiva siano attuate in modo adeguato e che i cittadini europei siano meglio protetti dalle minacce esterne alla sicurezza;

9. esorta la Commissione e gli Stati membri a garantire che i meccanismi di segnalazione introdotti dalla direttiva NIS siano applicati in modo adeguato; nota che la Commissione e gli Stati membri dovrebbero dare un seguito pieno a eventuali incidenti di sicurezza o reazioni inadeguate dei fornitori, al fine di far fronte alle carenze rilevate;

10. invita la Commissione a valutare la necessità di estendere ulteriormente l'ambito di applicazione della direttiva ad altri settori e servizi critici, che non sono coperti da una legislazione specifica, tra cui le infrastrutture di rete;

11. accoglie con favore e appoggia l'accordo conseguito sul regolamento sulla cibersicurezza e il rafforzamento del mandato dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), al fine di sostenere meglio gli Stati membri nel far fronte alle minacce e agli attacchi nel settore della sicurezza informatica;

12. ricorda che la sicurezza informatica necessita di requisiti di sicurezza elevati; chiede una rete che sia sicura fin dalla progettazione e per impostazione predefinita; esorta gli Stati membri, insieme alla Commissione, ad esplorare tutti gli strumenti disponibili per garantire un livello di sicurezza elevato;

13. esorta la Commissione a incaricare l'ENISA di dare priorità ai lavori su un sistema di certificazione per le apparecchiature 5G, al fine di garantire che la diffusione della tecnologia 5G nell'Unione soddisfi le più elevate norme di sicurezza e sia resiliente alle backdoor o ad altre importanti vulnerabilità, che metterebbero a repentaglio la sicurezza delle reti di telecomunicazione dell'Unione e dei servizi che ne dipendono; raccomanda di prestare particolare attenzione ai processi, prodotti e software comunemente utilizzati che, solo per la loro portata, hanno un impatto importante sulla vita quotidiana dei cittadini e sull'economia;

14. accoglie con favore le proposte relative ai centri di competenza sulla sicurezza informatica e su una rete di centri nazionali di coordinamento, concepita per aiutare l'UE a mantenere e sviluppare le capacità tecnologiche e industriali nel settore della sicurezza informatica, che sono necessarie a tutelare il suo mercato unico digitale;

15. ribadisce la sua posizione sul programma Europa digitale, che impone requisiti in materia di sicurezza e il controllo della Commissione sulle entità stabilite nell'UE ma controllate da paesi terzi, in particolare per le azioni correlate alla sicurezza informatica;

16. invita gli Stati membri a garantire che le istituzioni pubbliche e le imprese private, impegnate nel garantire il corretto funzionamento delle reti di infrastrutture critiche quali telecomunicazioni, energia, sistemi sanitari e sociali, eseguano le pertinenti valutazioni dei rischi, tenendo conto delle minacce di sicurezza specificamente legate alle caratteristiche tecniche dei rispettivi sistemi o alla dipendenza da fornitori esterni di tecnologie hardware e software;

17. ricorda che l'attuale quadro giuridico in materia di telecomunicazioni impone agli Stati membri di garantire che gli operatori delle telecomunicazioni rispettino l'integrità e la disponibilità delle reti pubbliche di comunicazioni elettroniche; sottolinea che, secondo il codice europeo delle comunicazioni elettroniche, gli Stati membri dispongono di tutti i poteri necessari per effettuare indagini e applicare un'ampia gamma di misure correttive in caso di non conformità dei prodotti sul mercato dell'Unione europea;

18. chiede alla Commissione e agli Stati membri di rendere la sicurezza un elemento obbligatorio in tutte le procedure di appalto pubblico per le pertinenti strutture a livello unionale e nazionale;

19. invita la Commissione e gli Stati membri ad accrescere la trasparenza e la sicurezza, sviluppando procedure di appalto a più fasi per le infrastrutture TIC, il che permetterebbe di scindere le offerte concernenti l'architettura di tali sistemi, la loro produzione, il loro funzionamento e la loro manutenzione e di distinguere i diversi fornitori di tecnologie;

20. ricorda agli Stati membri il loro obbligo ai sensi del diritto penale dell'UE di imporre sanzioni, in particolare sanzioni pecuniarie penali o non penali, nei confronti delle persone giuridiche che hanno commesso reati penali, tra cui attacchi ai sistemi di informazione, interferenza illecita relativamente ai sistemi o interferenza illecita relativamente ai dati e intercettazioni illecite; sottolinea che gli Stati membri dovrebbero altresì fare ricorso alla possibilità di imporre altre sanzioni nei confronti di tali enti giuridici, tra cui l'interdizione temporanea o permanente dall'esercizio di attività commerciali;

21. auspica che le autorità di protezione dei dati e il Garante europeo della protezione dei dati indaghino in modo approfondito su eventuali presunte violazioni dei dati da parte di fornitori esterni, e impongano ammende e sanzioni in linea con la legislazione europea in materia di protezione dei dati;

22. plaude alla prossima entrata in vigore di un regolamento che istituisce un quadro per il controllo degli investimenti esteri diretti per motivi di sicurezza e ordine pubblico, e sottolinea che tale regolamento stabilisce per la prima volta un elenco di aree e fattori, incluse le telecomunicazioni e la sicurezza informatica, che sono pertinenti per la sicurezza e l'ordine pubblico a livello dell'Unione europea;

23. ribadisce che l'UE deve sostenere la sicurezza informatica lungo l'intera catena del valore, dalla ricerca, alla diffusione e all'adozione di tecnologie chiave, diffondere informazioni pertinenti e promuovere l'igiene informatica e programmi di formazione sulla sicurezza informatica, e ritiene che, tra le altre misure, il programma Europa digitale sarebbe uno strumento efficace a tal fine;

24. esorta la Commissione e gli Stati membri ad adottare le misure necessarie, inclusi solidi programmi di investimento, per creare un contesto favorevole all'innovazione all'interno dell'UE, che dovrebbe essere accessibile a tutte le imprese dell'economia digitale dell'UE, incluse le piccole e medie imprese (PMI); ritiene inoltre che tale contesto dovrebbe consentire ai fornitori europei di sviluppare nuovi prodotti, servizi e tecnologie, che dovrebbero permettere loro di essere competitivi;

25. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione.

 

 

[1] GU L 321 del 17.12.2018, pag. 36.

[2] GU L 194 del 19.7.2016, pag. 1.

[3] GU L 218 del 14.8.2013, pag. 8.

[4] Testi approvati, P8_TA(2019)0121.

[5] Testi approvati, P8_TA(2018)0343.

[6] GU C 307, 30.8.2018, p. 144.

[7] GU L 119 del 4.5.2016, pag. 1.

[8] GU L 348 del 20.12.2013, pag. 129.

Ultimo aggiornamento: 8 marzo 2019Avviso legale