La Commissione europea ha presentato il Cyber Resilience Act, la proposta di legge in ambito UE per la sicurezza informatica dei dispositivi connessi, dai notebook alla smart home, a rischio crescente di cyber attacchi, violazione della privacy o furto di dati.
“La proposta di legge”, osserva Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “rappresenta un passaggio fondamentale per l’adozione di standard di sicurezza che garantiscono una maggiore resilienza di prodotti e servizi utilizzati nell’ambito dell’Unione europea”.
Indice degli argomenti
Cyber Resilience Act: che cos’è
Il Cyber Resilience Act vuole dunque rispondere alle esigenze di tutela della privacy e della protezione dei dati. I dispositivi coperti dalla proposta di legge sono computer fissi o mobili, smartphone, software e servizi, cuffie wireless, dispositivi per smart home. Device dotati di una connessione, diretta o meno, a un altro dispositivo o alla rete fissa o mobile.
Annunciata un anno fa, la proposta di legge introduce un nuovo quadro legislativo per l’Unione europea mettendo al centro norme, requisiti per i developer e regole di vigilanza del mercato e di esecuzione. Le norme permetteranno di lanciare sul mercato prodotti in grado di garantire la sicurezza informatica. I requisiti saranno invece cruciali per progettare, sviluppare e produrre i device connessi.
Gli oneri a carico dei vendori di dispositivi connessi
I vendor dovranno, inoltre, segnalare falle esposte a rischio exploit, sfruttamenti attivi delle vulnerabilità e incidenti accaduti. Le eccezioni riguarderanno dispositivi medici, per l’aviazione o automobili dove valgono i requisiti di sicurezza informatica già previsti.
Le sanzioni previste
L’adozione della legge prevede, infine, che gli operatori di mercato e gli Stati membri dovranno adeguarsi entro due anni. Si rischieranno sanzioni fino a 15 milioni di euro o fino al 2,5% del loro fatturato globale.
Le autorità di vigilanza nazionali potranno mettere al bando o porre limiti a prodotti sul mercato nazionale.
Gli obiettivi normativi
“Il Cyber Resilience Act mira”, sottolinea Paganini, “a proteggere i consumatori dai prodotti che possono essere compromessi perché progettati senza rispettare requisiti minimi di sicurezza informatica o che potrebbero essere affetti da vulnerabilità che possono essere sfruttate da attaccanti di varia natura”.
Bruxelles vuole che i produttori, che progettano e mettono sul mercato i device digitali, devono sviluppare prodotti più sicuri per i consumatori e le aziende in tutta l’Unione europea. La responsabilità della tutela da attacchi hacker e furti di dati è in capo ai produttori. “Abbiamo diritto a sentirci sicuri sui prodotti che compriamo nel mercato unico”, ha dichiarato Margrethe Vestager, vice presidente esecutivo di Europe fit for the digital age. “Esattamente come ci fidiamo di un giocattolo o di un frigorifero col marchio CE, così il Cyber resilience act assicurerà che gli oggetti connessi e il software che compriamo rispettino forti requisiti di cybersecurity. Metterà la responsabilità dove deve stare: negli operatori che mettono i prodotti sul mercato”.
“Ciascun servizio o prodotto che utilizziamo potrebbe essere attaccato per colpire noi stessi oppure infrastrutture di terze parti”, mette in guardia Paganini. Infatti, “siamo tutti nodi di una rete globale e la sicurezza complessiva è funzione dei requisiti implementati da sistemi e software che quotidianamente utilizziamo”.
“Per questo motivo questa legge assume un’importanza cruciale”, conclude Paganini, “così come sarà importante disporre di centri in grado di effettuare una qualifica hardware e software dei sistemi che utilizzeremo”.
