PROPOSTA DI RISOLUZIONE sulle minacce per la sicurezza connesse all'aumento della presenza tecnologica cinese nell'UE e sulla possibile azione a livello di UE per ridurre tali minacce
6.3.2019 - (2019/2575(RSP))
a norma dell'articolo 123, paragrafo 2, del regolamento
Dan Nica, Peter Kouroumbasheva nome del gruppo S&D
Vedasi anche la proposta di risoluzione comune RC-B8-0154/2019
B8-0159/2019
Risoluzione del Parlamento europeo sulle minacce per la sicurezza connesse all'aumento della presenza tecnologica cinese nell'UE e sulla possibile azione a livello di UE per ridurre tali minacce
Il Parlamento europeo,
– vista la direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, che istituisce il codice europeo delle comunicazioni elettroniche[1],
– vista la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione[2],
– vista la proposta di regolamento del Parlamento europeo e del Consiglio relativo all'ENISA, l'agenzia dell'Unione europea per la cibersicurezza, che abroga il regolamento (UE) n. 526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione ("regolamento sulla cibersicurezza"), presentata dalla Commissione il 13 settembre 2017 (COM(2017)0477),
– vista la proposta di regolamento del Parlamento europeo e del Consiglio che istituisce il Centro europeo di competenza industriale, tecnologica e di ricerca sulla cibersicurezza e la rete dei centri nazionali di coordinamento (COM(2018)0630),
– vista l'adozione della nuova legge sull'intelligence nazionale da parte dell'Assemblea nazionale del popolo cinese, il 28 giugno 2017,
– viste le dichiarazioni del Consiglio e della Commissione, in data 13 febbraio 2019, sulle minacce per la sicurezza connesse all'aumento della presenza tecnologica cinese nell'Unione europea e sulla possibile azione a livello di Unione per ridurre tali minacce,
– vista la sua posizione approvata in prima lettura il 14 febbraio 2019 sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un quadro per il controllo degli investimenti esteri diretti nell'Unione europea[3],
– vista la sua risoluzione del 12 settembre 2018 sullo stato delle relazioni UE-Cina[4],
– vista la comunicazione della Commissione del 14 settembre 2016 dal titolo "Il 5G per l'Europa: un piano d'azione" (COM(2016)0558),
– vista la sua risoluzione sulla connettività Internet per la crescita, la competitività e la coesione: la società europea dei gigabit e del 5G, del 1° giugno 2017[5],
– visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
– visto l'articolo 123, paragrafo 2, del suo regolamento,
A. considerando che la rete 5G diverrà la struttura portante della nostra infrastruttura digitale in quanto garantirà la connettività e i dati nella vita quotidiana, oltre che in settori chiave dell'economia quali i trasporti, l'energia, la sanità, la finanza, le telecomunicazioni, la difesa, il settore spaziale e quello della sicurezza;
B. considerando che, secondo le stime, il costo del dispiegamento del 5G in tutta Europa oscillerà tra i 300 e i 500 miliardi di EUR, il che renderà difficile sostituire tali reti a breve termine una volta installate;
C. considerando che solo un numero limitato di società, perlopiù cinesi e dell'Unione europea, fornisce apparecchiature 5G;
D. considerando che alcuni paesi terzi hanno vietato le apparecchiature 5G di produzione cinese o progettano di introdurre restrizioni al riguardo;
E. considerando che al momento nessuno Stato membro dell'Unione europea ha pubblicamente dichiarato che le sue reti di telecomunicazione contengono backdoor integrate;
F. considerando gli Stati membri stanno mettendo all'asta una porzione dello spettro per facilitare il dispiegamento del 5G entro il 31 dicembre 2020, come richiesto dal codice europeo delle comunicazioni elettroniche;
G. considerando che la legge cinese sull'intelligence del 2017 impone ai cittadini e agli enti cinesi di garantire al governo del paese l'accesso a dati privati per motivi di sicurezza nazionale o di interessi nazionali;
H. considerando che la legge cinese sulla cibersicurezza, entrata in vigore il 1° giugno 2017, prevede che gli operatori di rete forniscano assistenza tecnica agli organi di sicurezza dello Stato nelle loro attività;
I. considerando che altri paesi terzi hanno varato leggi simili, in particolare gli Stati Uniti, dove è stata recentemente adottato il Clarifying Lawful Overseas Use of Data (CLOUD) Act, ossia la legge recante chiarimento dell'utilizzo legittimo dei dati all'estero, ai sensi della quale le società di dati e comunicazioni statunitensi sono tenute a fornire, in presenza di un'ordinanza, i dati relativi a cittadini statunitensi memorizzati su qualsiasi server da esse detenuto o gestito;
J. considerando che, nel giugno 2018, l'Unione europea ha avviato dinanzi all'Organizzazione mondiale del commercio un procedimento di risoluzione delle controversie, integrato nel dicembre 2018, contro le pratiche cinesi che impongono alle imprese europee di cedere tecnologie e know-how sensibili come condizione per investire in Cina;
1. esprime profonda preoccupazione per le recenti affermazioni secondo cui le apparecchiature 5G sviluppate da società cinesi conterebbero backdoor integrate che consentirebbero ai produttori e alle autorità cinesi un accesso non autorizzato ai dati privati e alle telecomunicazioni private dei cittadini e delle imprese dell'Unione; ritiene che tali accuse dovrebbero essere oggetto di valutazioni e indagini approfondite;
2. ritiene che la potenziale presenza di grandi vulnerabilità nelle apparecchiature 5G sviluppate da tali produttori sia un ulteriore aspetto che andrebbe valutato e studiato nel quadro del dispiegamento delle reti 5G nei prossimi anni;
3. ribadisce che qualsiasi soggetto stabilito nell'Unione europea o che immette prodotti nel mercato unico, indipendentemente dalla sua nazionalità, deve rispettare la legislazione dell'Unione e degli Stati membri nonché gli obblighi in materia di diritti fondamentali, inclusi quelli relativi al rispetto della vita privata, alla protezione dei dati e alla cibersicurezza;
4. ribadisce che qualsiasi soggetto che fornisce prodotti, servizi e processi nell'Unione, indipendentemente dalla sua nazionalità, deve attenersi ai criteri di sicurezza sin dalla progettazione, il che non solo scoraggerà le backdoor integrate, ma permetterà anche di contrastare altre possibilità di interferenze informatiche nella rete, ad esempio gli attacchi distribuiti di negazione del servizio (DDoS);
5. invita la Commissione a fornire con urgenza una risposta unica a queste nuove vulnerabilità e minacce cibernetiche derivanti dalle reti di telecomunicazioni di prossima generazione; invita gli Stati membri a informare la Commissione in merito a tutte le misure nazionali che intendono adottare al fine di coordinare la risposta dell'Unione, così da garantire le più elevate norme di cibersicurezza in tutta l'Unione; evidenzia che è importante astenersi dall'introdurre misure unilaterali sproporzionate che frammenterebbero inutilmente il mercato unico;
6. reputa che l'Unione dovrebbe fornire una risposta indipendente basata su una valutazione dei rischi e su dati concreti;
7. invita gli Stati membri, le agenzie di cibersicurezza, gli operatori del settore delle telecomunicazioni, i produttori e i fornitori di servizi di infrastruttura critici a segnalare alla Commissione e all'ENISA qualsiasi elemento indicante l'esistenza di backdoor o di altre importanti vulnerabilità che potrebbero compromettere l'integrità e la sicurezza delle reti di telecomunicazioni o violare il diritto dell'Unione e i diritti fondamentali;
8. ricorda che le reti di telecomunicazione sono interconnesse e che qualsiasi vulnerabilità del sistema potrebbe incidere su altre parti della rete e comprometterle; invita la Commissione a valutare la solidità del quadro giuridico dell'Unione al fine di rispondere alle preoccupazioni in merito alla presenza di apparecchiature vulnerabili in settori strategici e nell'infrastruttura portante; sollecita la Commissione a presentare a tempo debito iniziative volte a ovviare a potenziali carenze, incluse proposte legislative;
9. ricorda che l'attuale quadro giuridico in materia di telecomunicazioni impone agli Stati membri di garantire che gli operatori delle telecomunicazioni rispettino l'integrità e la disponibilità delle reti pubbliche di comunicazioni elettroniche; sottolinea che, conformemente al codice europeo delle comunicazioni elettroniche, gli Stati membri dispongono di tutti i poteri necessari per effettuare indagini e applicare un'ampia gamma di misure correttive in caso di non conformità, garantendo la presenza, sul mercato dell'Unione, di prodotti rispondenti al principio della "tutela della vita privata fin dalla progettazione";
10. invita gli Stati membri e la Commissione a garantire che le apparecchiature 5G da installare siano "sicure sin dalla progettazione" e continuino a funzionare in modo sicuro durante tutto il loro ciclo di vita; invita la Commissione, in cooperazione con l'ENISA, a fornire linee guida su come affrontare le minacce e le vulnerabilità cibernetiche negli appalti relativi alle apparecchiature 5G e ad altri servizi che implicano grandi quantità di dati privati (ad esempio, diversificazione delle apparecchiature fornite, condizioni di vendita all'asta dello spettro, ecc.); ritiene che tale approccio non dovrebbe essere limitato ai produttori e ai fornitori di apparecchiature di rete 5G, ma dovrebbe essere esteso anche alle reti esistenti e all'intera catena di approvvigionamento; invita il Centro europeo di competenza sulla cibersicurezza a tener conto delle linee guida di cui sopra nella sua attività e nella definizione del suo orientamento strategico;
11. esorta gli Stati membri che non hanno recepito la direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informativi ad adottare con urgenza leggi nazionali per conformarsi alla direttiva; invita la Commissione a valutare la necessità di ampliare ulteriormente l'ambito d'applicazione della direttiva per estenderlo a nuovi settori e servizi in cui grandi quantità di dati privati sono esposti e non sono coperti da una legislazione specifica (ad esempio, le telecomunicazioni e l'identificazione elettronica);
12. accoglie con favore l'adozione del regolamento sulla cibersicurezza, che rafforzerà il ruolo dell'ENISA nel rispondere efficacemente agli attacchi informatici, aumenterà la cooperazione e il coordinamento a livello dell'Unione e introdurrà nuovi sistemi di certificazione per i prodotti e i processi connessi;
13. esorta la Commissione a incaricare l'ENISA di dare priorità ai lavori su un sistema di certificazione per le apparecchiature 5G, al fine di garantire che la diffusione della tecnologia 5G nell'Unione soddisfi le più elevate norme di sicurezza e sia resiliente alle backdoor o ad altre importanti vulnerabilità che comprometterebbero la sicurezza delle reti di telecomunicazione dell'Unione e dei servizi che ne dipendono; invita la Commissione a includere sistemi di certificazione per i sistemi di intelligenza artificiale che siano in grado di individuare, attenuare e segnalare immediatamente i software maligni e i difetti di sicurezza nelle apparecchiature 5G;
14. ricorda, tuttavia, che la certificazione non dovrebbe esimere le autorità competenti e gli operatori dal controllare la catena di approvvigionamento al fine di garantire l'integrità e la sicurezza delle loro apparecchiature che operano in ambienti critici e nelle reti di telecomunicazione;
15. osserva che, nonostante la mancanza di reciprocità, le società cinesi, comprese le imprese pubbliche, beneficiano della grande apertura dei mercati dell'Unione e che dal 2016 la Cina è un investitore netto nell'Unione europea; si dichiara preoccupato per le numerose restrizioni cui le imprese europee continuano a essere soggette in Cina, come le condizioni sempre più rigorose per ottenere l'accesso al mercato, inclusi i trasferimenti forzati di tecnologia, gli obblighi in materia di joint venture, i requisiti tecnici discriminatori tra cui la localizzazione forzata dei dati e la divulgazione dei codici sorgente;
16. esprime preoccupazione per il fatto che le acquisizioni orchestrate dallo Stato gli investimenti da parte cinese possano compromettere l'interesse strategico europeo e gli obiettivi di pubblica sicurezza, la competitività delle imprese europee e l'occupazione di qualità nell'Unione;
17. ribadisce l'urgente necessità che l'Unione disponga di capacità industriali in settori strategici chiave (ad esempio, le apparecchiature di rete 5G e simili tecnologie portanti), al fine di ridurre la dipendenza da produttori di paesi terzi che operano in base a norme nazionali fondamentalmente in contrasto con il diritto dell'Unione in materia di protezione della vita privata e di proprietà industriale; accoglie con favore l'adozione del nuovo regolamento che istituisce un quadro per il controllo degli investimenti esteri diretti nell'Unione europea[6] al fine di valutare i potenziali rischi per la sicurezza, comprese le minacce cibernetiche, suscettibili di incidere sulla sicurezza o sull'ordine pubblico e che potrebbero essere innescati da investimenti esteri a livello degli Stati membri o dell'Unione;
18. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, al Servizio europeo per l'azione esterna, alla Commissione, ai governi e ai parlamenti degli Stati membri e dei paesi in via di adesione e candidati, al governo della Repubblica popolare cinese e all'Assemblea nazionale del popolo cinese.
- [1] GU L 321 del 17.12.2018, pag. 36.
- [2] GU L 194 del 19.7.2016, pag. 1.
- [3] Testi approvati, P8_TA-PROV(2019)0121.
- [4] Testi approvati, P8_TA-PROV(2018)0343.
- [5] Testi approvati, P8_TA(2017)0234.
- [6] Testi approvati, P8_TC1-COD(2017)0224.