≪ Blog

Bruxelles ha presentato Cybersecurity Act 2, una revisione del regolamento 2019/881, con l’obiettivo di ridurre i rischi nelle catene di fornitura ICT critiche provenienti da fornitori di paesi terzi e di limitare la dipendenza dell’Unione creando un quadro coerente ed efficace a livello europeo.

Gli inverter fotovoltaici sono citati come esempio chiave di vulnerabilità: sono componenti essenziali per la stabilità della rete e per l’uso di dati sulla domanda elettrica. L’UE dipende in modo significativo da fornitori ad alto rischio. Tra i dati citati, 350 GW di inverter spediti in Europa nel periodo 2015-2023, di cui 225 GW (64%) provenienti da aziende cinesi, con Huawei responsabile di 114 GW. Nel 2023 il 70% degli inverter installati era da fornitori cinesi, e due aziende controllavano l’accesso remoto a 168 GW di capacità.

I rischi tecnici derivano dal fatto che gli inverter sono connessi a internet, consentendo accesso remoto a software e firmware. Un fornitore potrebbe subire interferenze da Paesi terzi; spegnere o modificare impostazioni da remoto può destabilizzare le reti, danneggiare infrastrutture e innescare blackout, ostacolando il ripristino. Inoltre, l’analisi dei dati operativi degli inverter può rivelare posizioni e comportamenti di risorse sensibili utili a scopi strategici. È stata inoltre segnalata la presenza di dispositivi di comunicazione non autorizzati non documentati nella documentazione, che aprono canali non controllati per aggirare firewall e controlli di sicurezza.

Contesto e richieste del settore: a dicembre la Commissione aveva già inserito gli inverter tra le dipendenze critiche da monitorare nell’Economic Security Doctrine. L’European Solar Manufacturing Council (Esmc) chiedeva una whitelist europea di fornitori affidabili, criteri di cybersecurity e rischio giurisdizionale, da integrare in strumenti come NIS2 e Net Zero Industry Act, nonché la possibilità di limitare o negare la connessione di hardware considerato ad alto rischio.

Aspetti normativi: la proposta Cybersecurity Act 2 introduce l’articolo 104 che permette atti di esecuzione per stilare elenchi di fornitori ad alto rischio, in linea con l’articolo 103 che autorizza divieti mirati per garantire sicurezza informatica e resilienza. Sono previsti periodi di transizione e tempi per l’eliminazione graduale dei componenti ICT interessati, con applicazione immediata una volta approvato dall’Europarlamento e dal Consiglio, per evitare frammentazioni del mercato.

Ruolo delle istituzioni: la vicepresidente Virkkunen ha sottolineato che l’insieme degli strumenti trasforma il pacchetto 5G in un obbligo comune, per parità di condizioni e coerenza di mercato. Insieme agli Stati membri, l’UE identificherà quali componenti della catena di fornitura richiedano misure mirate, inclusi limiti o divieti per fornitori ad alto rischio e misure di mitigazione nei settori critici.