dall’inviato a Strasburgo – È l’alba di una nuova era sul continente europeo per la sicurezza dei prodotti digitali. Il Cyber Resilience Act ha passato oggi (12 marzo) la prova del voto finale alla plenaria del Parlamento Europeo e ora è tutto pronto per l’entrata in vigore della prima legislazione a livello Ue per la sicurezza e la resilienza informatica, che introdurrà requisiti obbligatori di sicurezza per i prodotti con elementi digitali durante tutto il ciclo di vita. “Con il voto di oggi l’Europa si dota degli strumenti legislativi necessari per rafforzare la cybersicurezza dei prodotti connessi e rispondere agli attacchi di hacker dietro cui – sempre più spesso – si nascondono Russia, Cina e altri Paesi a noi ostili”, ha sottolineato il relatore del Parlamento Europeo per il Cyber Resilience Act, Nicola Danti (Italia Viva), in un’intervista per Eunews a seguito dell’approvazione del nuovo Regolamento Ue con 517 voti a favore, 12 contrari e 78 astenuti.
Quali prodotti sono interessati dal Cyber Resilience Act e cosa cambierà in termini di sicurezza informatica a livello europeo?
“Il Cyber Resilience Act è una delle più importanti iniziative dell’Unione Europea in termini di cybersicurezza, perché per la prima volta va a regolamentare tutti i prodotti connessi. Parliamo non solo di smartphone o laptop, ma anche di elettrodomestici intelligenti, microchip, macchinari industriali, così come i software e le app che usiamo ogni giorno di più. Ormai oggi tutto è connesso alla rete e può rappresentare una porta di entrata per i malintenzionati, causando costi, perdita di dati, interruzione delle attività produttive.
Con il Cyber Resilience Act chi vorrà vendere un prodotto – sia esso fisico o ‘virtuale’ come i software – dovrà garantire il rispetto di requisiti essenziali, incluso l’obbligo di fornire aggiornamenti di sicurezza durante il periodo di utilizzo del prodotto. Insomma, l’obiettivo è semplice: mettere la cybersicurezza al primo posto fin dalla fase di ricerca e sviluppo e durante il ciclo vita, per dotare cittadini e imprese di prodotti più sicuri. Una norma fondamentale per affrontare quella che oggi è diventata una vera e propria emergenza e che, su scala globale, nel 2021 ha causato costi per la cifra record di 5,5 mila miliardi di euro”.
Quali obblighi e quali costi comporterà per le aziende europee?
“Il Cyber Resilience Act renderà, nel medio-lungo periodo, le aziende europee più competitive rispetto ai competitor internazionali, perché le nostre aziende potranno commercializzare prodotti più sicuri e di qualità più elevata. Ma siamo ben consapevoli che questo Regolamento avrà, soprattutto in una prima fase, dei costi importanti per il tessuto produttivo, che dovrà investire per garantire procedure di gestione delle vulnerabilità adeguate e per produrre la documentazione necessaria per dimostrare il rispetto del Regolamento.
Per questo il Parlamento ha chiesto con forza che le aziende siano accompagnate nell’attuazione del Regolamento, attraverso un adeguato livello di supporto finanziario tramite i programmi europei come Digital Europe. Abbiamo inoltre previsto procedure semplificate per le micro e le piccole imprese, le cui risorse non sono certo comparabili a quelle delle grandi aziende del mondo digitale. Inoltre, abbiamo dato alle imprese il tempo necessario per adeguarsi a questa normativa, i cui obblighi entreranno in vigore 36 mesi dopo la pubblicazione in Gazzetta”.
Quale ruolo giocherà l’open source nel Cyber Resilience Act?
“L’inclusione dell’open source nel Cyber Resilience Act è stato uno dei temi di cui più ci siamo occupati. Per il Parlamento è fondamentale tutelare la spinta propulsiva che questa comunità ha per l’intero ecosistema digitale e per questo abbiamo cercato di escludere tutti gli sviluppatori open source che non avrebbero le risorse o quei processi aziendali necessari per attuare il regolamento. Ma è chiaro che non possiamo pensare di escludere tout court i software open source anche quando questi hanno una chiara dimensione commerciale, proprio alla luce della loro importanza per la salute della rete. Il giusto compromesso trovato durante i negoziati – andando ad includere solo il software open source commerciale controllato da un’unica organizzazione – aiuterà la comunità a rafforzare i propri processi di sviluppo e a mettere al primo posto la cybersicurezza, rendendo l’open source ancora più importante per il mondo digitale”.
L’Unione Europea è pronta in termini di competenze per affrontare le sfide della sicurezza informatica, anche considerati gli attacchi hacker sponsorizzati da Cina e Russia?
“È chiaro che su questo nuovo terreno di quella che è, a tutti gli effetti, una nuova guerra ibrida, non bastano regolamenti e direttive. È fondamentale che l’Ue investa nelle competenze: quelle dei professionisti con un altissimo livello di specializzazione, in primis, che saranno fondamentali per garantire la resilienza e la capacità del nostro continente per rispondere agli attacchi.
Troppo spesso i nostri giovani scelgono di andare all’estero dopo aver studiato in Europa, perché là le loro competenze sono valorizzate e remunerate. Invertire questo trend deve diventare una priorità. Ma per affrontare la sfida della cybersicurezza serve creare una cultura diffusa di sicurezza informatica: ognuno di noi deve avere le competenze di base per saper riconoscere le minacce e i tentativi di attacco, nella vita privata così come sul posto di lavoro. Su questo, Stati Membri e Ue devono iniziare a investire fin da adesso, per essere in grado di combattere le minacce che, ogni giorno di più, mettono a rischio la nostra economia e la sicurezza dei nostri cittadini”.
