Italia: perimetro cibernetico + Golden Power. Germania: catalogo della sicurezza. Italia: notifica obbligatoria per adozione di tecnologie e sistemi extra-Ue. Germania: nessuna pregiudiziale nel confronti di provider extracomunitari, ma allineamento per tutti ai medesimi standard e policy.
È una strada diversa quella che Italia e Germania stanno prendendo sul fronte della sicurezza delle reti 5G. Il nostro Paese è decisamente arrivato primo con un disegno di legge in prima battuta e con un decreto in seconda – a sottolineare il carattere di “urgenza” della questione – sul Perimetro cibernetico, che nella sua ultima versione integra anche il Golden Power rivisto e corretto per fare fronte alle sfide della quinta generazione mobile. Se è vero che il provvedimento italiano non mette nero su bianco nomi e cognomi di aziende su cui le notifiche sono obbligatorie, e che dunque non “banna” Huawei nè altre aziende, quell’“extra-Ue” di fatto si riferisce a tre aziende: le cinesi Huawei, Zte e la coreana Samsung, meno coinvolta però nella realizzazione delle nuove reti ma attualmente in campo nell’ambito di alcune sperimentazioni in particolare sul fronte Fwa 5G. Non ci sono in soldoni altri fornitori extracomunitari coinvolti nella realizzazione delle reti di quinta generazione mobile.
La Germania, che pure ha scelto di creare un framework regolatorio, optando per un “catalogo” che nella sostanza è molto simile ai dettami italiani, ha però deciso di non “limitare” alcun soggetto di mercato, ossia di non creare due pesi e due misure a seconda dei soggetti in campo. Il documento non fa infatti riferimento alle aziende extracomunitarie ma obbliga tutti i soggetti coinvolti nella realizzazione delle nuove reti a operare secondo regole e standard precisi.
Ecco cosa prevede il catalogo della sicurezza tedesco. Vademecum in 10 punti
Il documento in sintesi: (qui la versione integrale)
1) Obbligo per la fonte di approvvigionamento di cooperare con gli utenti nel settore delle tecnologie di sicurezza e, in particolare, di informare tempestivamente gli utenti su nuovi prodotti, tecnologie e aggiornamenti relativi alle linee di prodotti esistenti.
2) Assicurazione dalla fonte di fornitura che nessuna informazione derivante dai suoi rapporti contrattuali con gli utenti o una delle loro agenzie viene trasmessa a terzi.
3) Obbligo alla fonte di approvvigionamento di garantire, attraverso misure organizzative e legali, che non trasferisca alcuna informazione confidenziale da o sui suoi clienti in un paese straniero, di propria iniziativa o tramite terzi, o di portare tali informazioni all’attenzione di corpi estranei in Germania.
4) Assicurare dalla fonte di fornitura che è legalmente ed efficacemente in grado di rifiutare la divulgazione di informazioni riservate da o attraverso i suoi clienti a terzi. In particolare, al momento della dichiarazione, non vi è alcun obbligo di divulgare o altrimenti rendere tali informazioni disponibili a terzi. Ciò non si applica se vi sono requisiti di divulgazione legali a fini di contrasto, a meno che tali requisiti di divulgazione si applichino alle autorità di intelligence o di sicurezza straniere. In caso di dubbio, la fonte di fornitura indica i requisiti di informativa legale prima di fare la dichiarazione.
5) Obblighi della fonte di fornitura di informare immediatamente gli utenti, per iscritto, se non è più possibile garantire il rispetto dell’obbligo dichiarato, in particolare se la fonte di fornitura è soggetta a un’esigenza o obbligo che potrebbe ostacolarne il rispetto.
6) Obbligo della fonte di fornitura di fornire informazioni specifiche sullo sviluppo del prodotto dei componenti del sistema di sicurezza dei suoi prodotti su richiesta.
7) Obbligo per la fonte di approvvigionamento di utilizzare solo dipendenti particolarmente affidabili per lo sviluppo e la produzione di componenti fondamentali per la sicurezza del sistema.
8) Dichiarazione di disponibilità della fonte ad approvare e supportare adeguatamente le analisi di sicurezza e le analisi di penetrazione dei suoi prodotti nella misura necessaria.
9) Assicurazione dalla fonte di approvvigionamento che il prodotto per il quale viene fatta la dichiarazione non ha vulnerabilità implementate intenzionalmente, tali vulnerabilità non saranno incorporate in un secondo momento e eventuali vulnerabilità non intenzionali note sono state riparate o saranno prontamente risolte in futuro .
10) Obbligo per la fonte di approvvigionamento di informare immediatamente gli utenti di vulnerabilità o manipolazioni che sono già o sono state appena conosciute in modo che le misure possano essere prese in anticipo per limitare ed eliminare possibili conseguenze di carenze della qualità. Se un produttore ottiene informazioni che suggeriscono che la sicurezza e la funzione dei suoi prodotti potrebbero essere indebolite o che potrebbero influire negativamente sull’operazione prevista, tali informazioni devono essere comunicate immediatamente agli utenti. Inoltre, il produttore si impegna a fornire immediatamente le soluzioni proposte.
Cosa succederà ora? Il capo dell’Intelligence Bruno Kahl allerta Angela Merkel
Con il “catalogo della sicurezza” la Germania è passata agli onori della cronaca come il Paese europeo che ha dato il maggior assist a Huawei&co. Ma le cose rischiano di non andare esattamente come previsto. Il capo dell’intelligence tedesca Bruno Kahl ha riferito ai legislatori che Huawei non dovrebbe avere il permesso di svolgere un ruolo significativo nella costruzione della rete 5G del Paese, avvertendo che il gruppo non può essere considerato attendibile. Parlando a una commissione parlamentare martedì, Kahl ha dichiarato: “L’infrastruttura non è un’area adatta per un gruppo di cui non ci si può fidare pienamente”. Huawei, ha aggiunto, potrebbe potenzialmente svolgere un ruolo nella partita 5G, ma dovrebbe essere tenuta lontano da tutte le aree che toccano gli “interessi fondamentali” tedeschi. in una lettera che Washington avrebbe preso in considerazione la possibilità di ridimensionare la cooperazione in materia di intelligence se Huawei avesse avuto un ruolo nel lancio del 5G. Huawei ha respinto gli avvertimenti statunitensi, insistendo sul fatto che non ha alcun legame con il governo cinese. All’inizio di questo mese il gruppo ha elogiato l’approccio tedesco alla regolamentazione del 5G, affermando che ha creato una “parità di condizioni per i venditori di reti 5G”.