Bruxelles – Era stato promesso nel discorso sullo Stato dell’Unione 2021, ne è stato confermato in primavera l’arrivo “entro la seconda metà del 2022” e oggi (giovedì 15 settembre) nella settimana delle proposte più attese della Commissione Europea a Strasburgo – in occasione proprio dell’intervento di quest’anno della presidente Ursula von der Leyen alla plenaria dell’Eurocamera – è arrivato il tanto atteso Cyber Resilience Act. Si tratta della prima proposta di legge sulla resilienza informatica a livello Ue e si pone l’obiettivo di introdurre requisiti obbligatori di sicurezza informatica per i prodotti con elementi digitali durante tutto il ciclo di vita, per proteggere i consumatori e le imprese da attacchi e caratteristiche inadeguate.
“Quando si parla di sicurezza informatica, l’Europa è forte solo quando il suo anello più debole è comunque forte”, ha dichiarato in conferenza stampa il commissario per il Mercato interno, Thierry Breton, presentando il Cyber Resilience Act: “Computer, smartphone, elettrodomestici, dispositivi di assistenza virtuale, automobili e giocattoli, ognuno di questi centinaia di milioni di prodotti connessi è un potenziale punto di ingresso per un attacco informatico“, ha sottolineato Breton, denunciando il fatto che “la maggior parte dei prodotti hardware e software non è soggetta ad alcun obbligo di sicurezza informatica”. Lo scenario è ancora più preoccupante se si considera che ogni 11 secondi un’organizzazione in tutto il mondo viene colpita da un attacco ransomware (un tipo di malware che limita l’accesso del dispositivo, richiedendo un riscatto da pagare per rimuovere la limitazione), che il costo annuale globale stimato solo di questi attacchi è stato quantificato nel 2021 attorno ai 20 miliardi di euro e che il peso economico globale della criminalità informatica ha raggiunto i 5,5 trilioni di euro lo scorso anno.
Ecco perché per la Commissione Ue è prioritario garantire un elevato livello di sicurezza informatica e ridurre le vulnerabilità dei prodotti digitali: “Con l’aumento dei prodotti intelligenti e connessi, un incidente di cybersecurity in un prodotto può avere un impatto sull’intera catena di fornitura, portando a gravi perturbazioni delle attività economiche e sociali nel Mercato interno, minando la sicurezza o addirittura diventando pericoloso per la vita”, si legge nel testo della proposta dell’esecutivo comunitario. Le nuove misure proposte dal Cyber Resilience Act stabiliscono regole più stringenti per l’immissione sul mercato, requisiti per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali, così come per i processi di gestione delle vulnerabilità durante il ciclo di vita. I produttori dovranno inoltre segnalare le vulnerabilità e gli incidenti “sfruttati attivamente”, e saranno poste norme sulla sorveglianza del mercato.
Nella pratica, per il 90 per cento dei prodotti sarà sufficiente un’autovalutazione degli operatori di mercato sulla resilienza informatica di apparecchi digitali che gestiscono servizi come il fotoritocco e l’elaborazione dei testi, oltre ad altoparlanti intelligenti, dischi rigidi e console per videogiochi. Il restante 10 per cento si divide in due classi di criticità: per la ‘Classe I’ (gestori di password, interfacce di rete, firewall e micro-controllori) sarà richiesta l’applicazione di uno standard predefinito o una valutazione di terzi, mentre per la ‘Classe II’ (sistemi operativi, firewall industriali, processori centrali) sarà obbligatoria la valutazione indipendente di terzi. L’obiettivo è di aumentare la responsabilità dei produttori, obbligandoli a fornire supporto alla sicurezza e aggiornamenti del software per risolvere le vulnerabilità identificate, di permettere ai consumatori di ottenere informazioni sulla sicurezza informatica dei prodotti che acquistano e di garantire una migliore protezione della privacy e della protezione dei dati.
Il progetto di legge presentato dalla Commissione dovrà ora essere esaminato dai co-legislatori del Parlamento e del Consiglio dell’Ue e, una volta adottato, gli operatori di mercato e gli Stati membri avranno due anni di tempo per adeguarsi ai nuovi requisiti. Un’eccezione riguarda invece l’obbligo di segnalazione ai produttori delle vulnerabilità e degli incidenti sfruttati attivamente, che si applicherà già un anno dopo la data di entrata in vigore della legge.
