Cyber Resilience Act: novità in tema di sicurezza informatica per i prodotti digitali IoT

La Commissione europea ha emesso una proposta di Cyber Resilience Act che introduce regole comuni in tema di cybersecurity per produttori e sviluppatori di prodotti digitali dell’Internet of Things.

La proposta è basata sul principio di security-by-design volto ad assicurare che i produttori di dispositivi digitali siano responsabili per la sicurezza nella fase di design e progettazione e per tutto il ciclo di vita dei prodotti venduti.

Se tutto è connesso, tutto può essere vulnerabile. […]” è stato dichiarato da Ursula von der Leyen, Presidente della Commissione europea, in occasione dello State of the Union 2021.

La proposta di Cyber Resilience Act è stata avanzata dalla Commissione europea ed è ora al vaglio di Consiglio e Parlamento europei per l’approvazione in via definitiva. Facendo seguito alle consultazioni pubbliche concluse nel maggio scorso, il Cyber Resilience Act prosegue nella realizzazione della trasformazione digitale dell’UE entro il 2030. La novità della proposta è data dall’effetto dirompente che porterebbe nel panorama legislativo mondiale in tema di Internet of Things. Il Cyber Resilience Act andrebbe a coprire dei vuoti normativi rispetto a prodotti software e hardware ancora non regolati nel campo del digitale, armonizzando il quadro di norme in materia e aumentando la certezza del diritto per gli operatori del mercato unico.

La Commissione europea si è concentrata su due problemi principali:

  1. Il ridotto numero di aggiornamenti dei prodotti digitali una volta immessi nel mercato, che mostra un sostanziale disinteresse del produttore ad eventuali problemi di sicurezza nella fase post-vendita;
  2. La mancanza di consapevolezza e conoscenza dal lato del consumatore in merito alla sicurezza informatica dei dispositivi utilizzati.

Come sono affrontate queste problematiche all’interno del Cyber Resilience Act? La chiave per impedire l’accesso ad attacchi ransomware si racchiude in due concetti: cybersecurity-by-design e trasparenza nella sicurezza di un prodotto informatico durante tutto il suo life-cycle. La proposta della Commissione europea prescrive che i prodotti con elementi digitali possano essere resi disponibili sul mercato unico solamente se soddisfano tutte le misure di sicurezza necessarie. Ad esempio, verrà richiesto di assicurare un’assistenza post-vendita per un tempo ragionevole, volta a supportare i clienti del far fronte alle minacce informatiche.

Nella pratica, i produttori saranno sottoposti ad una valutazione di conformità alle norme prescritte nell’atto europeo. A seconda della classificazione del livello di criticità del prodotto, la valutazione verrebbe eseguita dal produttore stesso oppure da terze parti. Il superamento del controllo permette ai produttori di apporre sulla loro merce il certificato CE, dichiarandone la conformità alle norme UE e potendoli immettere liberamente nel mercato unico.

Lo scopo della proposta è di aumentare la fiducia dei consumatori nei confronti dei prodotti digitali venduti in Europa, la quale ambisce a rafforzare la propria “Security Union Agenda”, a beneficio tanto di aziende quanto di consumatori. Le prime, infatti, ridurrebbero i costi legati agli incidenti derivanti da problemi alla sicurezza informatica dei propri prodotti, mentre i consumatori finali godrebbero di maggior chiarezza al momento dell’acquisto ed utilizzo dei dispositivi informatici.

Qualora la proposta della Commissione europea passasse il vaglio degli altri due co-legislatori, gli Stati Membri e gli operatori economici avrebbero due anni per conformarsi (12 mesi per l’obbligo di segnalare eventuali vulnerabilità sfruttate attivamente).

Il mondo digitale ha finora accolto con favore la proposta di Cyber Resilience Act, in un momento in cui il tema della sicurezza digitale diventa cruciale per business e consumatori. L’Agenzia Europea per la Sicurezza Informatica (ENISA) ha lanciato l’allarme su questo fenomeno, riportando come, nel 2021, si sia verificato un attacco ransomware ogni 11 secondi. Nessun settore industriale può dirsi immune da una minaccia che, a livello globale, ha causato circa 20 miliardi di euro di danni nello scorso anno.

Su questo tema si è concentrato il panel “Cybersecurity: come prepararsi e come reagire in caso di attacco?” tenutosi durante la Innovation Summit 2022 organizzata da DLA Piper il 13 settembre 2022. Su un simile argomento, può essere interessante l’articolo “Come gestire un attacco ransomware con gli esperti di cybersecurity di KROLL”.