Procedura : 2019/2575(RSP)
Ciclo di vita in Aula
Ciclo del documento : B8-0160/2019

Testi presentati :

B8-0160/2019

Discussioni :

Votazioni :

PV 12/03/2019 - 9.22

Testi approvati :

P8_TA(2019)0156

<Date>{06/03/2019}6.3.2019</Date>
<NoDocSe>B8-0160/2019</NoDocSe>
PDF 142kWORD 54k

<TitreType>PROPOSTA DI RISOLUZIONE</TitreType>

<TitreSuite>presentata a seguito di dichiarazioni del Consiglio e della Commissione</TitreSuite>

<TitreRecueil>a norma dell'articolo 123, paragrafo 2, del regolamento</TitreRecueil>


<Titre>sulle minacce per la sicurezza connesse all'aumento della presenza tecnologica cinese nell'UE e sulla possibile azione a livello di UE per ridurre tali minacce</Titre>

<DocRef>(2019/2575(RSP))</DocRef>


<RepeatBlock-By><Depute>Reinhard Bütikofer</Depute>

<Commission>{Verts/ALE}a nome del gruppo Verts/ALE</Commission>

</RepeatBlock-By>

Vedasi anche la proposta di risoluzione comune RC-B8-0154/2019

B8-0160/2019

Risoluzione del Parlamento europeo sulle minacce per la sicurezza connesse all'aumento della presenza tecnologica cinese nell'UE e sulla possibile azione a livello di UE per ridurre tali minacce

(2019/2575(RSP))

Il Parlamento europeo,

 vista la direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, che istituisce il codice europeo delle comunicazioni elettroniche[1],

 vista la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione[2],

 vista la direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio[3],

 vista la proposta della Commissione riguardante un regolamento del Parlamento europeo e del Consiglio, del 13 settembre 2017, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, che abroga il regolamento (UE) n. 526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione ("regolamento sulla cibersicurezza") (COM(2017)0477),

 vista la proposta di regolamento del Parlamento europeo e del Consiglio, del 12 settembre 2018, che istituisce il Centro europeo di competenza industriale, tecnologica e di ricerca sulla cibersicurezza e la rete dei centri nazionali di coordinamento, presentata dalla Commissione (COM(2018)0630),

 viste la legge cinese sull'intelligence nazionale del 28 giugno 2017 e la legge sulla sicurezza dello Stato del 1° luglio 2015,

 viste le dichiarazioni del Consiglio e della Commissione, in data 13 febbraio 2019, sulle minacce alla sicurezza connesse all'aumento della presenza tecnologica cinese nell'UE e sulla possibile azione a livello di UE per ridurre tali minacce,

 vista l'adozione, da parte del governo australiano, di riforme in materia di sicurezza del settore delle telecomunicazioni (Telecommunications Sector Security Reforms), in vigore dal 18 settembre 2018,

 vista la sua posizione adottata in prima lettura il 14 febbraio 2019 sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un quadro per il controllo degli investimenti esteri diretti nell'Unione europea[4],

 vista le sue risoluzioni sulle relazioni UE-Cina, in particolare la risoluzione del 12 settembre 2018 sullo stato delle relazioni UE-Cina[5],

 vista la comunicazione della Commissione del 14 settembre 2016 dal titolo "Il 5G per l'Europa: un piano d'azione" (COM(2016)0588),

 vista la sua risoluzione del 1° giugno 2017 sulla connettività Internet per la crescita, la competitività e la coesione: la società europea dei gigabit e del 5G[6],

 visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)[7],

 visto il regolamento (UE) n. 1316/2013 del Parlamento europeo e del Consiglio, dell'11 dicembre 2013, che istituisce il meccanismo per collegare l'Europa e che modifica il regolamento (UE) n. 913/2010 e che abroga i regolamenti (CE) n. 680/2007 e (CE) n. 67/2010[8],

 visto il programma Europa digitale,

 visto l'articolo 123, paragrafo 2, del suo regolamento,

A. considerando che l'UE ha promosso la digitalizzazione della sua industria e l'installazione delle reti e delle attrezzature di prossima generazione e ha inoltre adottato attivamente misure per agire da normatore del 5G;

B. considerando che le vulnerabilità delle reti 5G potrebbero essere sfruttate al fine di compromettere i sistemi informatici, causando potenzialmente danni molto gravi alle economie a livello europeo e nazionale; che è necessario un approccio basato sull'analisi del rischio in tutta la catena del valore al fine di minimizzare i rischi;

C. considerando che la rete 5G sarà la struttura portante della nostra infrastruttura digitale, estendendo la possibilità di connettere diversi dispositivi alle reti (Internet delle cose, ecc.) e che apporterà nuovi benefici e nuove opportunità alla società e alle aziende in molti settori, tra cui alcuni settori chiave dell'economia, quali trasporti, energia, sanità, finanza, telecomunicazioni, difesa, spazio e sicurezza;

D. considerando che il Parlamento ha ripetutamente invitato a sviluppare una strategia europea per una maggiore indipendenza del settore informatico e una maggiore privacy online che promuoverebbe l'industria informatica dell'UE;

E. considerando che sono state sollevate preoccupazioni in merito a fornitori di apparecchiature di paesi terzi che potrebbero rappresentare un rischio in termini di sicurezza per l'UE a causa delle leggi del loro paese di origine, in particolare dopo la promulgazione della legge cinese sulla sicurezza dello Stato, che fornisce una definizione molto vasta di sicurezza nazionale e prevede una serie di obblighi per tutti i cittadini, le aziende e altre entità che sono tenuti a cooperare con lo Stato al fine di salvaguardarne la sicurezza; che non vi è alcuna garanzia che tali obblighi non abbiano un'applicazione extraterritoriale; che diversi paesi, tra cui gli Stati Uniti, l'Australia e la Nuova Zelanda hanno reagito in modi differenti, che vanno dalle valutazioni di sicurezza a un divieto assoluto;

F. considerando che l'accesso al mercato per un ampio numero di prodotti è già soggetto alla conformità con le norme europee, ma che la cibersicurezza non è ancora un requisito e che i sistemi di certificazione, previsti dal regolamento sulla cibersicurezza, non rappresentano una risposta adeguata all'urgenza della situazione, specialmente nel caso di connessioni utente ubiquitarie e di dispositivi connessi;

G. considerando che sono già avvenuti incidenti di sicurezza all'interno dell'UE a causa di vulnerabilità nelle reti di comunicazione, compreso un accesso non autorizzato all'operatore di telecomunicazioni belga che fornisce i servizi alle istituzioni europee;

H. considerando che occorre svolgere un'approfondita indagine al fine di chiarire se i dispositivi coinvolti in tali incidenti, o qualsiasi altro dispositivo o fornitore, rappresentino un rischio in termini di sicurezza a causa di caratteristiche quali la presenza di backdoor che forniscono l'accesso ai sistemi;

I. considerando che le soluzioni dovrebbero essere coordinate e affrontate a livello dell'Unione al fine di evitare differenti livelli di sicurezza e potenziali lacune in termini di cibersicurezza; che è inoltre necessario un coordinamento a livello globale per fornire una risposta incisiva;

J. considerando che i benefici del mercato unico sono accompagnati dall'obbligo di rispettare le norme dell'UE e il quadro giuridico dell'Unione e che i fornitori non dovrebbero essere trattati in maniera differente a seconda del loro paese di origine;

K. considerando che l'imminente regolamento UE che istituisce un quadro per il controllo degli investimenti esteri diretti nell'Unione europea fornisce un elenco di fattori considerati correlati alla sicurezza e all'ordine pubblico, i quali comprendono le infrastrutture critiche, come l'infrastruttura delle comunicazioni, le tecnologie critiche, la cibersicurezza, l'accesso alle informazioni sensibili e la libertà di controllare tali informazioni; che fattori quali il possibile controllo indiretto di un investitore straniero da parte del governo del suo paese di origine debbano essere considerati importanti in termini di sicurezza e ordine pubblico; che il regolamento comprende altresì progetti e programmi di interesse per l'Unione, quali le reti transeuropee di telecomunicazione e Orizzonte 2020; che il regolamento istituisce un meccanismo che consente alla Commissione e agli Stati membri di cooperare alla valutazione dei rischi di sicurezza posti da investimenti stranieri diretti;

1. ritiene che l'Unione debba svolgere un ruolo guida in materia di cibersicurezza tramite un approccio comune basato sull'uso efficace ed efficiente delle competenze dell'UE, degli Stati membri e dell'industria, poiché un mosaico costituito da decisioni nazionali divergenti andrebbe a scapito del mercato unico digitale;

2. sottolinea l'importanza di sviluppare rapidamente un approccio dell'UE alla sicurezza delle infrastrutture in vista della diffusione della tecnologia 5G, tenendo in considerazione i rischi per la sicurezza e l'ordine pubblico dovuti all'interferenza e all'influenza esercitate da paesi terzi; sottolinea che si tratta di una questione riguardante la sicurezza e l'interesse fondamentale dell'Unione;

3. plaude all'imminente entrata in vigore di un regolamento che istituisce un quadro per il controllo degli investimenti esteri diretti per motivi di sicurezza e di ordine pubblico e sottolinea che tale regolamento stabilisce per la prima volta un elenco di aree e fattori che sono pertinenti per la sicurezza e l'ordine pubblico a livello di Unione europea;

4. esprime profonda preoccupazione per le recenti affermazioni secondo cui le apparecchiature 5G sviluppate da società cinesi potrebbero essere dotate di "backdoor" integrate che consentirebbero ai fabbricanti e alle autorità un accesso non autorizzato ai dati e alle telecomunicazioni dei cittadini e delle imprese dell'Unione; è ugualmente preoccupato per la potenziale presenza di grandi vulnerabilità nelle apparecchiature 5G sviluppate da questi costruttori, qualora queste ultime fossero installate in occasione del dispiegamento delle reti 5G nei prossimi anni; chiede alla Commissione e agli Stati membri di valutare la possibilità di bandire i fornitori di apparecchiature 5G che non sono in grado di fornire adeguate garanzie di sicurezza;

5. sottolinea che le implicazioni per la sicurezza delle reti e delle apparecchiature sono simili in tutto il mondo e invita l'UE a imparare dalle esperienze disponibili al fine di essere in grado di garantire i più elevati standard in materia di cibersicurezza; è del parere che, ogniqualvolta non sia possibile garantire il rispetto dei requisiti di sicurezza, debbano essere applicate misure adeguate; osserva che, nel valutare l'adeguatezza della sicurezza, l'UE dovrebbe chiedere garanzie sostanziali e credibili, in particolare nei casi in cui un'impresa non sia quotata in borsa, abbia strutture organizzative opache e non sia trasparente per quanto riguarda il finanziamento e il processo decisionale;

6. invita gli Stati membri a informare la Commissione in merito a qualsiasi misura nazionale pertinente intendano adottare al fine di coordinare la risposta dell'Unione per garantire i più elevati standard di cibersicurezza in tutta l'Unione;

7. ribadisce che qualsiasi entità che fornisce apparecchiature o servizi nell'UE, a prescindere dal suo paese di origine, deve rispettare gli obblighi in materia di diritti fondamentali nonché la legislazione dell'Unione e degli Stati membri, incluso il quadro giuridico per quanto riguarda il rispetto della vita privata, la protezione dei dati e la cibersicurezza;

8. invita la Commissione a valutare la solidità del quadro giuridico dell'Unione al fine di rispondere alle preoccupazioni in merito alla presenza di apparecchiature vulnerabili in settori strategici e nell'infrastruttura portante; esorta la Commissione a presentare iniziative, incluse se del caso proposte legislative, per affrontare a tempo debito le carenze rilevate nel corso del processo costante avviato dall'Unione, che consiste nell'identificare e affrontare le sfide in materia di cibersicurezza e rafforzare la resilienza dell'UE in tale ambito;

9. invita gli Stati membri che non hanno ancora recepito appieno la direttiva NIS a provvedere in tal senso senza indugio, e chiede alla Commissione di monitorare da vicino tale recepimento, al fine di garantire che le disposizioni della direttiva siano applicate e attuate in modo adeguato e che i cittadini europei siano meglio protetti dalle minacce esterne e interne alla sicurezza;

10. accoglie con favore e sostiene l'accordo conseguito sul regolamento sulla cibersicurezza e il rafforzamento del mandato dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), al fine di sostenere meglio gli Stati membri nel far fronte alle minacce e agli attacchi nel settore della cibersicurezza;

11. ricorda che la cibersicurezza necessita di requisiti di sicurezza elevati; chiede reti e prodotti che siano sicuri fin dalla progettazione e per impostazione predefinita; esorta la Commissione a incaricare l'ENISA di dare priorità ai lavori su un sistema di certificazione per le apparecchiature 5G, al fine di garantire che la diffusione della tecnologia 5G nell'Unione soddisfi le più elevate norme di sicurezza e sia resiliente alle backdoor o a importanti vulnerabilità che comprometterebbero la sicurezza delle reti di telecomunicazione dell'Unione e dei servizi che ne dipendono; raccomanda di prestare particolare attenzione ai processi, prodotti e software comunemente utilizzati che, solo per la loro portata, hanno un impatto importante sulla vita quotidiana dei cittadini e sull'economia;

12. accoglie con favore le proposte relative ai centri di competenza sulla cibersicurezza e a una rete di centri nazionali di coordinamento, concepita per aiutare l'UE a mantenere e sviluppare le capacità tecnologiche e industriali nel settore della cibersicurezza, che sono necessarie a tutelare il suo mercato unico digitale;

13. accoglie con favore il programma Europa digitale, che impone requisiti in materia di sicurezza e il controllo della Commissione sui soggetti giuridici stabiliti nell'UE ma controllati da paesi terzi, in particolare per le azioni correlate alla cibersicurezza; sottolinea l'importanza di escludere qualsiasi interferenza in materia di sicurezza generata dalle richieste esecutive di cooperazione in materia di intelligence da parte delle autorità dei paesi terzi;

14. invita gli Stati membri a garantire che le istituzioni pubbliche e le imprese private, impegnate nel garantire il corretto funzionamento delle reti di infrastrutture critiche quali telecomunicazioni, energia, sistemi sanitari e sociali, eseguano le pertinenti valutazioni dei rischi, tenendo conto delle minacce di sicurezza specificamente legate alle caratteristiche tecniche dei rispettivi sistemi o alla dipendenza da fornitori esterni di tecnologie hardware e software;

15. ricorda che l'attuale quadro giuridico in materia di telecomunicazioni impone agli Stati membri di garantire che gli operatori delle telecomunicazioni rispettino l'integrità e la disponibilità delle reti pubbliche di comunicazioni elettroniche e che la cifratura, preferibilmente da punto a punto, è un modo per affrontare alcuni problemi di sicurezza; sottolinea che, secondo il codice europeo delle comunicazioni elettroniche, gli Stati membri dispongono di tutti i poteri necessari per effettuare indagini e applicare un'ampia gamma di misure correttive in caso di non conformità dei prodotti sul mercato dell'Unione;

16. chiede alla Commissione e agli Stati membri di rendere la sicurezza un elemento obbligatorio in tutte le procedure di appalto pubblico per le pertinenti strutture a livello sia nazionale che di UE, compreso, se del caso, l'utilizzo delle norme e dei requisiti tecnici europei atti ad accrescere la resilienza e ad affrontare i rischi per la sicurezza;

17. auspica che le autorità nazionali di protezione dei dati e il Garante europeo della protezione dei dati indaghino in modo approfondito eventuali presunte violazioni dei dati da parte di fornitori esterni e impongano ammende e sanzioni in linea con la legislazione europea in materia di protezione dei dati;

18. ribadisce che l'UE deve sostenere la cibersicurezza lungo l'intera catena del valore, dalla ricerca, alla diffusione e all'adozione di tecnologie chiave, diffondere informazioni pertinenti e promuovere programmi di formazione sulla sicurezza informatica, e ritiene che, tra le altre misure, il programma Europa digitale sarà uno strumento efficace a tal fine;

19. esorta la Commissione e gli Stati membri ad adottare le misure necessarie per creare un contesto favorevole all'innovazione all'interno dell'UE, che dovrebbe essere accessibile a tutte le imprese dell'economia digitale dell'UE, incluse le piccole e medie imprese (PMI), e dovrebbe permettere ai fornitori europei di sviluppare nuovi prodotti, servizi e tecnologie, consentendo loro di riconquistare quote di mercato dai concorrenti dei paesi terzi;

20. invita la Commissione a valutare l'aspetto della cibersicurezza nella vigilanza e nel controllo del mercato e a proporre misure per affrontare efficacemente i rischi per la sicurezza informatica; ricorda che gli attori dell'UE operanti nel settore, e in particolare le PMI, sono esposti al rischio di concorrenza sleale da parte di attori sponsorizzati dallo Stato, di acquisizione strategica e di accesso non autorizzato ai loro dati; sostiene che tali operatori del settore dovrebbero essere coinvolti nell'elaborazione di potenziali misure legislative;

21. invita la Commissione a includere i requisiti di cibersicurezza nella revisione del nuovo quadro legislativo in materia di sicurezza dei prodotti;

22. invita il Consiglio ad accelerare i lavori sulla proposta di regolamento e-privacy e a prendere in considerazione la cifratura obbligatoria e il divieto delle backdoor imposte dalle autorità pubbliche, proposto dal Parlamento nella sua posizione adottata in prima lettura;

23. invita il Consiglio europeo a valutare, nella prossima riunione del 21 marzo 2019, l'adozione di misure conformi alle raccomandazioni espresse nella presente risoluzione;

24. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione.

 

[1] GU L 321 del 17.12.2018, pag. 36.

[2] GU L 194 del 19.7.2016, pag. 1.

[3] GU L 218 del 14.8.2013, pag. 8.

[4] Testi approvati, P8_TA(2019)0121.

[5] Testi approvati, P8_TA(2018)0343.

[6] GU C 307 del 30.8.2018, pag. 144.

[7] GU L 119 del 4.5.2016, pag. 1.

[8] GU L 348 del 20.12.2013, pag. 129.

Ultimo aggiornamento: 8 marzo 2019Avviso legale