Bruxelles – La messa a terra di un tassello cruciale della strategia Ue per la sicurezza e la resilienza informatica è sempre più vicina. Nella stessa giornata entrambi i co-legislatori del Parlamento e del Consiglio dell’Ue hanno adottato le rispettive posizioni negoziali sul Cyber Resilience Act, la prima legislazione a livello comunitario sulla resilienza informatica presentata dalla Commissione Ue il 15 settembre dello scorso anno. Un Regolamento che introdurrà requisiti obbligatori di sicurezza per i prodotti con elementi digitali durante tutto il ciclo di vita, per proteggere i consumatori e le imprese da attacchi informatici e caratteristiche inadeguate.
Telecamere domestiche, frigoriferi intelligenti, smart-Tv, giocattoli, elettrodomestici, dispositivi di assistenza virtuale, automobili. Ogni 11 secondi un’organizzazione in tutto il mondo viene colpita da un attacco ransomware (un tipo di malware che limita l’accesso del dispositivo, richiedendo un riscatto da pagare per rimuovere la limitazione) e il costo annuale globale stimato solo di questi attacchi è stato quantificato attorno ai 20 miliardi di euro nel 2021. Considerate queste premesse sia gli ambasciatori dei 27 Paesi membri riuniti al Coreper (Comitato dei rappresentanti permanenti) sia gli eurodeputati della commissione per l’Industria, la ricerca e l’energia (Itre) del Parlamento Ue hanno dato il via libera alla proposta di legge sulla resilienza informatica dalla progettazione allo sviluppo di prodotti hardware e software, fino alla produzione e alla messa a disposizione sul mercato.
“Con la crescente interconnessione, la sicurezza informatica deve diventare una priorità sia per l’industria sia per i consumatori”, ha sottolineato dopo il voto in commissione Itre (61 voti a favore, 1 contrario e 10 astenuti) il relatore per il Parlamento Ue ed eurodeputato di Italia Viva, Nicola Danti, rimettendo la decisione finale sull’avvio dei negoziati alla sessione plenaria dell’Eurocamera: “La sicurezza dell’Europa nel dominio digitale è forte quanto il suo anello più debole“. Saranno in particolare i produttori a dover garantire i requisiti di sicurezza dei prodotti – compresi obblighi come la valutazione del rischio, la dichiarazione di conformità e la cooperazione con le autorità competenti – e saranno introdotte sia misure per migliorare la trasparenza per i consumatori sia un quadro di sorveglianza del mercato.
Da parte del Consiglio c’è la richiesta di delegare alle autorità nazionali (e non all’Agenzia Ue per la sicurezza informatica) la sorveglianza delle segnalazioni sulle vulnerabilità e sugli incidenti, attraverso l’istituzione di una piattaforma di segnalazione unica, ma anche di introdurre elementi per la determinazione della durata di vita prevista dei prodotti da parte dei produttori, misure di sostegno per le piccole e micro imprese e una dichiarazione di conformità semplificata. Da parte degli eurodeputati viene sottolineata la necessità di ampliare gli elenchi di prodotti in base alla criticità e al livello di rischio, introducendo software per sistemi di gestione dell’identità, gestori di password, lettori biometrici, assistenti domestici intelligenti, orologi intelligenti e telecamere di sicurezza private. La resilienza informatica dovrebbe anche passare da aggiornamenti installati “automaticamente e separatamente” da quelli che riguardano le altre funzionalità. Infine si richiede di prevedere programmi di istruzione e formazione per rafforzare le competenze professionali nel campo della sicurezza informatica.
Cosa prevede la proposta sulla resilienza informatica
Quasi un anno fa la Commissione Ue ha tracciato le direttrici per ridurre le vulnerabilità dei prodotti digitali: “Con l’aumento dei prodotti intelligenti e connessi, un incidente di cybersecurity in un prodotto può avere un impatto sull’intera catena di fornitura, portando a gravi perturbazioni delle attività economiche e sociali nel Mercato interno, minando la sicurezza o addirittura diventando pericoloso per la vita”, si legge nel testo della proposta originaria del gabinetto von der Leyen. Secondo quanto stabilito dal Cyber Resilience Act, i produttori dovranno segnalare le vulnerabilità e gli incidenti “sfruttati attivamente”, con norme sulla sorveglianza del mercato.
In base ai calcoli della Commissione per il 90 per cento dei prodotti sarà sufficiente un’autovalutazione degli operatori di mercato sulla resilienza informatica di apparecchi digitali che gestiscono servizi come il fotoritocco e l’elaborazione dei testi, oltre ad altoparlanti intelligenti, dischi rigidi e console per videogiochi. Il restante 10 per cento si divide in due classi di criticità: per la ‘Classe I’ (gestori di password, interfacce di rete, firewall e micro-controllori) sarà richiesta l’applicazione di uno standard predefinito o una valutazione di terzi, mentre per la ‘Classe II’ (sistemi operativi, firewall industriali, processori centrali) sarà obbligatoria la valutazione indipendente di terzi. L’obiettivo è di aumentare la responsabilità dei produttori, obbligandoli a fornire supporto alla sicurezza e aggiornamenti del software per risolvere le vulnerabilità identificate, di permettere ai consumatori di ottenere informazioni sulla sicurezza informatica dei prodotti che acquistano e di garantire una migliore protezione della privacy e della protezione dei dati.
