Piano Transizione 5.0 approvato: rientrano anche i software
16 Aprile 2024
Le minacce alla cybersicurezza sono in aumento in tutto il mondo: nel 2021 i danni causati da attacchi cyber a software e hardware sono stati stimati per un valore di circa 6 trilioni di dollari.
È una tendenza che crescerà in futuro, considerando che – secondo quanto definito da Gartner – entro il 2024 saranno 22,3 miliardi i dispositivi presenti in tutto il mondo che si collegheranno all’Internet delle Cose (IoT).
In Unione Europea la situazione cambia poco. L’ENISA – Autorità europea per la cybersicurezza – evidenzia come gli attacchi siano aumentati sia in termini di sofisticazione che di impatto.
L’aumento è dovuto principalmente ad una crescita della presenza online delle aziende e delle PA, incentivata da diversi fattori: la pandemia di Coronavirus, la scelta delle imprese di orientarsi verso soluzioni interconnesse e basate sul Cloud (come l’IoT) e, infine, l’utilizzo di nuove tecnologie – come l’AI.
Già da molto tempo i leader europei hanno chiesto all’UE di elaborare una strategia che fosse in grado di aiutarli nel:
Dopo un susseguirsi di direttive, la Commissione Europea ha finalmente proposto il 15 settembre le nuove regole del Cyber Resilience Act, le quali mirano a migliorare la sicurezza dei dispositivi e dei loro user a fronte dell’aumento di attacchi in tutto il mondo.
La nuova legge includerà tutti i dispositivi e le tecnologie connesse finora non incluse nelle precedenti direttive Nis1 e Nis2, così da coprire l’intero ciclo di vita dei prodotti – a partire dalla fase di sviluppo.
Le motivazioni alla base di questo provvedimento ce le spiega direttamente Bruxelles: “in un ambiente connesso, un incidente di cybersecurity presente in un prodotto può colpire un’intera organizzazione o supply chain, spesso propagandosi al di fuori dei confini aziendali, nel giro di pochi minuti. Questo può portare a gravi interruzioni delle attività economiche e sociali, o addirittura potrebbe diventare un pericolo per la vita“.
La proposta di legge punta a stabilire norme comuni di sicurezza informatica per i prodotti digitali e i servizi correlati immessi nel mercato dell’Unione Europea.
In particolare, il Cyber Resilience Act si prefigge quattro obiettivi:
L’elenco di prodotti software e hardware è molto ampio, per questo sono stati divisi in prodotti appartenenti alla Classe I (firewall, IPS, router, switch, password manager, etc.) e Classe II (sistemi operativi, firewall e IPS aziendali, sistemi di controllo, chip di sicurezza, componenti robotici, sistemi IoT, etc.).
Quello che cambia da una classe all’altra è il sistema di compliance:
Ogni stato membro dell’Unione Europea dovrà affidare il controllo del rispetto delle norme ad un’autorità nazionale. Per quanto riguarda i produttori – che rappresentano il focus di questa proposta di legge – avranno l’obbligo di segnalare eventuali non conformità o vulnerabilità direttamente all’ENISA.
Per i fornitori che scelgono di non adeguarsi alle regole imposte, saranno previste multe o addirittura il ritiro del prodotto dal mercato.
Le sanzioni per la non-compliance dei requisiti essenziali – nei casi più gravi – sono stimate a 15 milioni di euro oppure al 2,5% del turnover annuo, a seconda di quale sia il valore più alto.
Come già definito, il Cyber Resilience Act è ancora una bozza proposta dalla Commissione europea. Ora va analizzata dal Consiglio e dal Parlamento europeo, per eventuali modifiche.
Al termine di questa operazione, la proposta di legge potrà entrare definitivamente in vigore: da quel momento, le aziende avranno due anni di tempo per potersi adeguare.
Per ottenere informazioni dettagliate riguardo alla proposta di legge, vi invitiamo a consultare il testo integrale.
Prova gratuita 15 giorni | Nessun rinnovo automatico | Accesso immediato
