Le minacce alla cybersicurezza sono in aumento in tutto il mondo: nel 2021 i danni causati da attacchi cyber a software e hardware sono stati stimati per un valore di circa 6 trilioni di dollari.
È una tendenza che crescerà in futuro, considerando che – secondo quanto definito da Gartner – entro il 2024 saranno 22,3 miliardi i dispositivi presenti in tutto il mondo che si collegheranno all’Internet delle Cose (IoT).

In Unione Europea la situazione cambia poco. L’ENISA – Autorità europea per la cybersicurezza – evidenzia come gli attacchi siano aumentati sia in termini di sofisticazione che di impatto.
L’aumento è dovuto principalmente ad una crescita della presenza online delle aziende e delle PA, incentivata da diversi fattori: la pandemia di Coronavirus, la scelta delle imprese di orientarsi verso soluzioni interconnesse e basate sul Cloud (come l’IoT) e, infine, l’utilizzo di nuove tecnologie – come l’AI.

La risposta dell’Unione Europea

Già da molto tempo i leader europei hanno chiesto all’UE di elaborare una strategia che fosse in grado di aiutarli nel:

• proteggersi dalle minacce informatiche;
• provvedere ad un ambiente di comunicazione sicuro, grazie anche alla crittografia quantistica;
• garantire l’accesso ai dati a fini giudiziari e di contrasto.

Dopo un susseguirsi di direttive, la Commissione Europea ha finalmente proposto il 15 settembre le nuove regole del Cyber Resilience Act, le quali mirano a migliorare la sicurezza dei dispositivi e dei loro user a fronte dell’aumento di attacchi in tutto il mondo.
La nuova legge includerà tutti i dispositivi e le tecnologie connesse finora non incluse nelle precedenti direttive Nis1 e Nis2, così da coprire l’intero ciclo di vita dei prodotti – a partire dalla fase di sviluppo.

Le motivazioni alla base di questo provvedimento ce le spiega direttamente Bruxelles: “in un ambiente connesso, un incidente di cybersecurity presente in un prodotto può colpire un’intera organizzazione o supply chain, spesso propagandosi al di fuori dei confini aziendali, nel giro di pochi minuti. Questo può portare a gravi interruzioni delle attività economiche e sociali, o addirittura potrebbe diventare un pericolo per la vita“.

Il Cyber Resilience Act nel dettaglio

La proposta di legge punta a stabilire norme comuni di sicurezza informatica per i prodotti digitali e i servizi correlati immessi nel mercato dell’Unione Europea.
In particolare, il Cyber Resilience Act si prefigge quattro obiettivi:

1. garantire un framework di cybersecurity coerente, che faciliti la conformità per i produttori di hardware e software;
2. migliorare la chiarezza e la trasparenza delle informazioni sulla sicurezza dei prodotti con elementi digitali;
3. assicurare che i produttori migliorino la sicurezza dei prodotti dotati di elementi digitali sin dalla fase di progettazione e sviluppo e durante l’intero ciclo di vita – o almeno per cinque anni dalla loro immissione nel mercato;
4. permettere alle aziende e ai consumatori di utilizzare i prodotti creati con componenti digitali in modo sicuro.

L’elenco di prodotti software e hardware è molto ampio, per questo sono stati divisi in prodotti appartenenti alla Classe I (firewall, IPS, router, switch, password manager, etc.) e Classe II (sistemi operativi, firewall e IPS aziendali, sistemi di controllo, chip di sicurezza, componenti robotici, sistemi IoT, etc.).
Quello che cambia da una classe all’altra è il sistema di compliance:

• prodotti appartenenti alla Classe I: il produttore può scegliere se autocertificarsi oppure chiedere la certificazione ad un ente terzo certificato;
• prodotti appartenenti alla Classe II: il fornitore può solamente ed obbligatoriamente ricorrere alla certificazione da parte di un ente terzo certificato.

Ogni stato membro dell’Unione Europea dovrà affidare il controllo del rispetto delle norme ad un’autorità nazionale. Per quanto riguarda i produttori – che rappresentano il focus di questa proposta di legge – avranno l’obbligo di segnalare eventuali non conformità o vulnerabilità direttamente all’ENISA.

Per i fornitori che scelgono di non adeguarsi alle regole imposte, saranno previste multe o addirittura il ritiro del prodotto dal mercato.
Le sanzioni per la non-compliance dei requisiti essenziali – nei casi più gravi – sono stimate a 15 milioni di euro oppure al 2,5% del turnover annuo, a seconda di quale sia il valore più alto.

The next steps: come si evolverà la situazione?

Come già definito, il Cyber Resilience Act è ancora una bozza proposta dalla Commissione europea. Ora va analizzata dal Consiglio e dal Parlamento europeo, per eventuali modifiche.
Al termine di questa operazione, la proposta di legge potrà entrare definitivamente in vigore: da quel momento, le aziende avranno due anni di tempo per potersi adeguare.

Per informazioni dettagliate sulla proposta di legge vi rimandiamo al testo integrale:
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act