In arrivo nuove norme UE per una cybersecurity nativa dei prodotti hardware e software che utilizziamo quotidianamente
La Commissione europea oggi ha fatto girare un dato, sul proprio sito, nei comunicati stampa, nei profili social: in tutto il mondo gli attacchi ransomware colpiscono un’organizzazione ogni 11 secondi e, per dire, nel 2021 hanno generano un costo globale alla comunità di 5,5 miliardi di euro.
Dati che ha commentato osservando che con la diffusione di prodotti smart e connessi, un incidente di cybersecurity in un prodotto può avere un impatto sull’intera catena, con potenziali gravi ripercussioni sulle attività economiche e sociali nel mercato interno, può compromettere la sicurezza o addirittura avere conseguenze potenzialmente letali.
Ecco allora che assume rilevanza il fatto che, sempre la Commissione Europea, abbia presentato oggi una proposta di legge per la cyber resilienza (Cyber Resilience Act) tesa a proteggere i consumatori e le imprese dall’utilizzo di prodotti informatici con caratteristiche di sicurezza inadeguate.
Una prima volta
Si tratta della prima legislazione di questo tipo a livello dell’UE, che introduce requisiti obbligatori in materia di cybersecurity per i prodotti con elementi digitali, durante il loro intero ciclo di vita.
La legge sulla cyber resilienza era stata preannunciata dalla presidente Ursula von der Leyen lo scorso settembre durante il discorso sullo stato dell’Unione e prende le mosse dalla strategia Ue per la cybersecurity dell’anno prima.
leggi anche
Cos’è la cybersecurity e perché è importante
La strategia per la cybersecurity presentata nel dicembre 2020 proponeva di integrare la cybersecurity in tutti gli elementi della catena di approvvigionamento e di accorpare le attività e le risorse dell’UE nei quattro settori cardine della cybersecurity: mercato interno, attività di contrasto, diplomazia e difesa.
La nuova legge sulla cyber resilienza serve a garantire ai consumatori europei una maggiore sicurezza dei prodotti digitali, come software e prodotti sia wired, sia wireless, e punta a farlo aumentando la responsabilità dei fabbricanti, cioè obbligandoli a fornire assistenza in materia di sicurezza e aggiornamenti del software per affrontare le vulnerabilità note, oltre a dare informazioni sulla cybersecurity dei prodotti stessi.
Le responsabilità dei produttori
Le misure proposte oggi si basano sul nuovo framework per la legislazione dell’UE sui prodotti e stabiliranno:
- a) norme per l’immissione sul mercato di prodotti con elementi digitali al fine di garantirne la cybersecurity;
- b) requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti;
- c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersecurity dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I fabbricanti dovranno inoltre segnalare le vulnerabilità attivamente sfruttate e gli incidenti;
- d) norme in materia di vigilanza del mercato e applicazione.
Con le nuove norme la responsabilità, dunque, spetterà ai fabbricanti, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’UE.
Ne trarranno beneficio i consumatori, i cittadini, le imprese che utilizzano prodotti digitali, grazie a una maggiore trasparenza delle caratteristiche di sicurezza e alla promozione della fiducia nei prodotti con elementi digitali; sarà inoltre garantita una migliore protezione di diritti fondamentali quali la privacy e la protezione dei dati.
Una legge con un grande futuro
È probabile, dicono a Bruxelles, che la legge sulla cyber resilienza possa diventare un punto di riferimento internazionale, non solo per il mercato interno dell’UE. Le norme europee basate sulla legge sulla cyber resilienza saranno un punto di forza per l’industria della cybersecurity dell’UE sui mercati globali.
Il regolamento proposto si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o alla rete.
Sono previste alcune eccezioni per prodotti i cui requisiti di cybersecurity sono già stabiliti nelle norme UE vigenti, come i dispositivi medici, i dispositivi impiegati sugli aerei e sulle automobili.
Prossime tappe (di cui una abbreviata)
Ora il Parlamento europeo e il Consiglio dovranno esaminare il progetto di legge. Dopo l’adozione dei nuovi requisiti gli operatori economici e, al solito, gli Stati membri avranno due anni di tempo per recepirli.
Fa eccezione (restrittiva) l’obbligo di comunicazione a carico dei fabbricanti per le vulnerabilità attivamente sfruttate e gli incidenti, che si applicherà già a decorrere da un anno dalla data di entrata in vigore, in quanto richiede adeguamenti organizzativi inferiori rispetto agli altri nuovi obblighi.
La Commissione riesaminerà periodicamente la legge sulla cyber resilienza e riferirà in merito al suo funzionamento.
La nuova legge sulla cyber resilienza integrerà il quadro dell’UE in materia di cybersecurity: la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), la direttiva relativa a misure per un livello comune elevato di cybersecurity nell’Unione (direttiva NIS 2), recentemente approvata dal Parlamento europeo e dal Consiglio, e il regolamento dell’UE sulla cybersecurity.
© RIPRODUZIONE RISERVATA
