Risoluzione del Parlamento europeo del 12 marzo 2019 sulle minacce per la sicurezza connesse all'aumento della presenza tecnologica cinese nell'Unione e sulla possibile azione a livello di Unione per ridurre tali minacce (2019/2575(RSP))
Il Parlamento europeo,
– vista la direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, che istituisce il codice europeo delle comunicazioni elettroniche(1),
– vista la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione(2),
– vista la direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio(3),
– vista la proposta di regolamento del Parlamento europeo e del Consiglio relativo all'ENISA, l'agenzia dell'Unione europea per la cibersicurezza, che abroga il regolamento (UE) n. 526/2013, e relativo alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione ("regolamento sulla cibersicurezza"), presentata dalla Commissione il 13 settembre 2017 (COM(2017)0477),
– vista la proposta di regolamento del Parlamento europeo e del Consiglio che istituisce il Centro europeo di competenza industriale, tecnologica e di ricerca sulla cibersicurezza e la rete dei centri nazionali di coordinamento, presentata dalla Commissione il 12 settembre 2018 (COM(2018)0630),
– vista l'adozione della nuova legge sull'intelligence nazionale da parte dell'Assemblea nazionale del popolo cinese, il 28 giugno 2017,
– viste le dichiarazioni del Consiglio e della Commissione, in data 13 febbraio 2019, sulle minacce alla sicurezza connesse all'aumento della presenza tecnologica cinese nell'UE e sulla possibile azione a livello di UE per ridurre tali minacce,
– vista l'adozione, da parte del governo australiano, di misure di riforma concernenti la sicurezza del settore delle telecomunicazioni, entrate in vigore il 18 settembre 2018,
– vista la sua posizione approvata in prima lettura il 14 febbraio 2019 sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un quadro per il controllo degli investimenti esteri diretti nell'Unione europea(4),
– viste le sue precedenti risoluzioni sullo stato delle relazioni UE-Cina, in particolare quella del 12 settembre 2018(5),
– vista la comunicazione della Commissione del 14 settembre 2016 dal titolo "Il 5G per l'Europa: un piano d'azione" (COM(2016)0588),
– vista la sua risoluzione del 1° giugno 2017 sulla connettività Internet per la crescita, la competitività e la coesione: la società europea dei gigabit e del 5G(6),
– visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)(7),
– visto il regolamento (UE) n. 1316/2013 del Parlamento europeo e del Consiglio, dell'11 dicembre 2013, che istituisce il meccanismo per collegare l'Europa e che modifica il regolamento (UE) n. 913/2010 e che abroga i regolamenti (CE) n. 680/2007 e (CE) n. 67/2010(8),
– vista la proposta di regolamento del Parlamento europeo e del Consiglio che istituisce il programma Europa digitale per il periodo 2021-2027, presentata dalla Commissione il 6 giugno 2018 (COM(2018)0434),
– visto l'articolo 123, paragrafi 2 e 4, del suo regolamento,
A. considerando che l'Unione europea deve portare avanti la sua agenda per la cibersicurezza affinché possa dispiegare il proprio potenziale e divenire un attore di primo piano nella cibersicurezza e lo utilizzi a vantaggio della sua industria;
B. considerando che le vulnerabilità delle reti 5G potrebbero essere sfruttate per compromettere i sistemi informatici, causando potenzialmente danni molto gravi all'economia, a livello europeo e nazionale; che per minimizzare i rischi è necessario un approccio basato sull'analisi del rischio in tutta la catena del valore;
C. considerando che la rete 5G sarà la struttura portante della nostra infrastruttura digitale, in quanto estenderà la possibilità di connettere diversi dispositivi alle reti (internet delle cose, ecc.), e apporterà nuovi vantaggi e nuove opportunità alla società e alle aziende in molti settori, tra cui alcuni settori chiave dell'economia, quali i trasporti, l'energia, la sanità, la finanza, le telecomunicazioni, la difesa, il comparto spaziale e quello della sicurezza;
D. considerando che l'istituzione di un meccanismo adeguato per far fronte alle sfide in materia di sicurezza darebbe all'Unione la possibilità di prendere attivamente delle misure per definire le norme per il 5G;
E. considerando che sono state espresse preoccupazioni in merito ai fornitori di apparecchiature di paesi terzi che potrebbero presentare un rischio per la sicurezza dell'Unione a causa della legislazione del loro paese di origine, in particolare dopo l'entrata in vigore delle leggi cinesi sulla sicurezza dello Stato, che prevedono l'obbligo per tutti i cittadini, le imprese e altri soggetti di cooperare con lo Stato per la salvaguardia della sicurezza dello Stato, in relazione a una nozione estremamente ampia di sicurezza nazionale; che nulla garantisce che tali obblighi non abbiano un'applicazione extraterritoriale e che le reazioni degli altri paesi alle leggi cinesi sono state variegate e vanno da valutazioni della sicurezza a un divieto assoluto;
F. considerando che, nel dicembre 2018, l'autorità nazionale ceca per la cibersicurezza ha lanciato un'allerta contro le minacce alla sicurezza poste dalle tecnologie fornite dalle società cinesi Huawei e ZTE; che successivamente, nel gennaio 2019, le autorità tributarie ceche hanno escluso Huawei da una gara d'appalto per la creazione di un portale del fisco;
G. considerando che è necessaria un'indagine approfondita per chiarire se i dispositivi in questione, o qualsiasi altro dispositivo o fornitore, presentano rischi per la sicurezza dovuti a caratteristiche come le backdoor ai sistemi;
H. considerando che le soluzioni dovrebbero essere coordinate e affrontate a livello dell'Unione europea al fine di evitare livelli diversi di sicurezza e potenziali disparità in materia di cibersicurezza, mentre è necessario un coordinamento a livello mondiale per garantire una risposta incisiva;
I. considerando che i benefici del mercato unico si accompagnano all'obbligo di rispettare le norme e il quadro giuridico dell'Unione e che i fornitori non dovrebbero ricevere un trattamento differenziato in funzione del loro paese di origine;
J. considerando che il regolamento sul controllo degli investimenti esteri diretti, che dovrebbe entrare in vigore entro la fine del 2020, rafforza la capacità degli Stati membri di controllare gli investimenti esteri sulla base di criteri di sicurezza e ordine pubblico, istituisce un meccanismo di cooperazione grazie al quale la Commissione e gli Stati membri possono collaborare nella valutazione dei rischi per la sicurezza derivanti dagli investimenti esteri sensibili, tra cui i rischi per la cibersicurezza, e comprende anche progetti e programmi di interesse per l'Unione europea, quali le reti transeuropee di telecomunicazioni e Orizzonte 2020;
1. ritiene che l'Unione debba assumere un ruolo guida in materia di cibersicurezza, adottando un approccio comune basato su un utilizzo efficiente ed efficace delle competenze dell'Unione, degli Stati membri e dell'industria, dato che un mosaico di decisioni nazionali divergenti nuocerebbe al mercato unico digitale;
2. esprime profonda preoccupazione per le recenti affermazioni secondo cui le apparecchiature 5G sviluppate da società cinesi potrebbero essere dotate di backdoor integrate che consentirebbero ai fabbricanti e alle autorità un accesso non autorizzato ai dati e alle telecomunicazioni dei cittadini e delle imprese dell'Unione;
3. è ugualmente preoccupato per le grandi vulnerabilità che potrebbero emergere nelle apparecchiature 5G sviluppate dai fabbricanti in questione, qualora fossero installate in occasione del dispiegamento delle reti 5G nei prossimi anni;
4. sottolinea che le implicazioni per la sicurezza delle reti e delle apparecchiature sono simili in tutto il mondo e invita l'UE a trarre lezioni dalle esperienze disponibili, in modo da poter garantire i più elevati standard in materia di cibersicurezza; invita la Commissione a sviluppare una strategia che ponga l'Europa all'avanguardia nel settore delle tecnologie di cibersicurezza, onde ridurre la dipendenza dell'Europa dalla tecnologia straniera in tale campo; è del parere che, ogniqualvolta non sia possibile garantire la conformità con i requisiti di sicurezza, si debbano applicare misure adeguate;
5. invita gli Stati membri a informare la Commissione in merito a qualsiasi misura nazionale intendano adottare al fine di coordinare la risposta dell'Unione, onde garantire le più elevate norme di cibersicurezza in tutta l'Unione, e ribadisce l'importanza che essi si astengano dall'introdurre misure unilaterali sproporzionate che frammenterebbero il mercato unico;
6. ribadisce che qualsiasi entità che fornisce apparecchiature o servizi nell'UE, a prescindere dal suo paese di origine, deve rispettare gli obblighi in materia di diritti fondamentali e conformarsi alla legislazione dell'Unione e degli Stati membri, incluso il quadro giuridico per quanto riguarda vita privata, protezione dei dati e cibersicurezza;
7. invita la Commissione a valutare la solidità del quadro giuridico dell'Unione, al fine di rispondere alle preoccupazioni in merito alla presenza di apparecchiature vulnerabili in settori strategici e nell'infrastruttura portante; esorta la Commissione a presentare iniziative, incluse se del caso proposte legislative, per affrontare a tempo debito le carenze rilevate nel corso del processo costante avviato dall'Unione, che consiste nell'identificare e affrontare le sfide in materia di cibersicurezza e rafforzare la resilienza dell'UE in tale ambito;
8. esorta gli Stati membri che non hanno ancora recepito appieno la direttiva sulla sicurezza delle reti e dell'informazione (direttiva NIS) a farlo senza indugio, e chiede alla Commissione di monitorare da vicino tale recepimento, al fine di garantire che le disposizioni della direttiva siano applicate e attuate in modo adeguato e che i cittadini europei siano meglio protetti dalle minacce esterne e interne alla sicurezza;
9. esorta la Commissione e gli Stati membri a garantire che i meccanismi di segnalazione introdotti dalla direttiva NIS siano applicati in modo adeguato; nota che la Commissione e gli Stati membri dovrebbero dare un seguito pieno a eventuali incidenti di sicurezza o reazioni inadeguate dei fornitori, al fine di far fronte alle carenze rilevate;
10. invita la Commissione a valutare la necessità di estendere ulteriormente l'ambito di applicazione della direttiva NIS ad altri settori e servizi critici, che non sono coperti da una legislazione settoriale;
11. accoglie con favore e sostiene l'accordo conseguito sul regolamento sulla cibersicurezza e il rafforzamento del mandato dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), al fine di sostenere meglio gli Stati membri nel far fronte alle minacce e agli attacchi nel settore della cibersicurezza;
12. esorta la Commissione a incaricare l'ENISA di dare priorità ai lavori su un sistema di certificazione per le apparecchiature 5G, al fine di garantire che la diffusione della tecnologia 5G nell'Unione soddisfi le più elevate norme di sicurezza e sia resiliente alle backdoor o ad altre importanti vulnerabilità, che metterebbero a repentaglio la sicurezza delle reti di telecomunicazione dell'Unione e dei servizi che ne dipendono; raccomanda di prestare particolare attenzione ai processi, prodotti e software comunemente utilizzati che, solo per la loro portata, hanno un impatto significativo sulla vita quotidiana dei cittadini e sull'economia;
13. accoglie con favore le proposte relative ai centri di competenza sulla cibersicurezza e a una rete di centri nazionali di coordinamento, concepiti per aiutare l'UE a mantenere e sviluppare le capacità tecnologiche e industriali nel settore della cibersicurezza, che sono necessarie a tutelare il suo mercato unico digitale; ricorda, tuttavia, che la certificazione non dovrebbe esimere le autorità competenti e gli operatori dal controllare la catena di approvvigionamento, al fine di garantire l'integrità e la sicurezza delle loro apparecchiature che operano in ambienti critici e nelle reti di telecomunicazione;
14. ricorda che la cibersicurezza necessita di requisiti di sicurezza elevati; chiede una rete che sia sicura fin dalla progettazione e per impostazione predefinita; esorta gli Stati membri, insieme alla Commissione, ad esplorare tutti gli strumenti disponibili per garantire un livello di sicurezza elevato;
15. invita la Commissione e gli Stati membri, in cooperazione con l'ENISA, a fornire linee guida su come affrontare le minacce e le vulnerabilità cibernetiche negli appalti relativi alle apparecchiature 5G, per esempio diversificando le apparecchiature dei vari fornitori o introducendo procedure multifase;
16. ribadisce la sua posizione sul programma Europa digitale, che impone requisiti in materia di sicurezza e il controllo della Commissione sulle entità stabilite nell'UE ma controllate da paesi terzi, in particolare per le azioni correlate alla cibersicurezza;
17. invita gli Stati membri a garantire che le istituzioni pubbliche e le imprese private, impegnate nel garantire il corretto funzionamento di reti di infrastrutture critiche quali telecomunicazioni, energia, sistemi sanitari e sociali, eseguano pertinenti valutazioni dei rischi, che tengano conto delle minacce di sicurezza specificamente legate alle caratteristiche tecniche dei rispettivi sistemi o alla dipendenza da fornitori esterni di tecnologie hardware e software;
18. ricorda che l'attuale quadro giuridico in materia di telecomunicazioni impone agli Stati membri di garantire che gli operatori delle telecomunicazioni rispettino l'integrità e la disponibilità delle reti pubbliche di comunicazioni elettroniche, inclusa se del caso la cifratura da punto a punto; sottolinea che, in base al codice europeo delle comunicazioni elettroniche, gli Stati membri dispongono di ampi poteri per indagare su prodotti presenti sul mercato UE e applicare un'ampia gamma di misure correttive in caso di non conformità;
19. chiede alla Commissione e agli Stati membri di rendere la sicurezza un elemento obbligatorio in tutte le procedure di appalto pubblico per le pertinenti infrastrutture a livello unionale e nazionale;
20. ricorda agli Stati membri il loro obbligo ai sensi del quadro giuridico dell'UE, in particolare la direttiva 2013/40/UE relativa agli attacchi contro i sistemi di informazione, di imporre sanzioni nei confronti delle persone giuridiche che hanno commesso reati quali attacchi contro tali sistemi; sottolinea che gli Stati membri dovrebbero altresì fare ricorso alla possibilità di imporre altre sanzioni nei confronti di tali soggetti giuridici, tra cui l'interdizione temporanea o permanente dall'esercizio di attività commerciali;
21. invita gli Stati membri, le agenzie di cibersicurezza, gli operatori del settore delle telecomunicazioni, i produttori e i fornitori di servizi di infrastruttura critici a segnalare alla Commissione e all'ENISA qualsiasi elemento indicante l'esistenza di backdoor o di altre importanti vulnerabilità, che potrebbero compromettere l'integrità e la sicurezza delle reti di telecomunicazioni o violare il diritto dell'Unione e i diritti fondamentali; auspica che le autorità nazionali di protezione dei dati e il Garante europeo della protezione dei dati indaghino in modo approfondito su eventuali presunte violazioni dei dati personali da parte di fornitori esterni, e impongano ammende e sanzioni in linea con la legislazione europea in materia di protezione dei dati;
22. plaude alla prossima entrata in vigore di un regolamento che istituisce un quadro per il controllo degli investimenti esteri diretti per motivi di sicurezza e ordine pubblico, e sottolinea che tale regolamento stabilisce per la prima volta un elenco di aree e fattori, incluse le telecomunicazioni e la cibersicurezza, che sono pertinenti per la sicurezza e l'ordine pubblico a livello dell'Unione europea;
23. invita il Consiglio ad accelerare i lavori sulla proposta di regolamento sull'e-privacy;
24. ribadisce che l'UE deve sostenere la cibersicurezza lungo l'intera catena del valore, dalla ricerca, alla diffusione e all'adozione di tecnologie chiave, diffondere informazioni pertinenti e promuovere l'igiene informatica e programmi di formazione, anche sulla cibersicurezza, e ritiene che, tra le altre misure, il programma Europa digitale sia uno strumento efficace a tal fine;
25. esorta la Commissione e gli Stati membri ad adottare le misure necessarie, inclusi solidi programmi di investimento, per creare un contesto favorevole all'innovazione all'interno dell'Unione, che dovrebbe essere accessibile a tutte le imprese dell'economia digitale dell'UE, incluse le piccole e medie imprese (PMI); ritiene inoltre che tale contesto dovrebbe consentire ai fornitori europei di sviluppare nuovi prodotti, servizi e tecnologie, che consentirebbero loro di essere competitivi;
26. invita la Commissione e gli Stati membri a tenere conto delle richieste di cui sopra nel quadro delle prossime discussioni su una futura strategia UE-Cina, quali precondizioni necessarie per consentire all'UE di restare competitiva e al fine di garantire la sicurezza della sua infrastruttura digitale;
27. incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione.