Solo nel 2021 ogni 11 secondi una organizzazione in tutto il mondo è stata colpita da attacchi ransomware e il costo annuale globale della criminalità informatica ha raggiunto i 5,5 miliardi di euro.
É questa la ragione che ha spinto la Commissione europea a presentare una nuova proposta legislativa al Cyber Resilience Act che mira a normare in maniera più consistente le responsabilità dei produttori per garantire la sicurezza informatica by design dei prodotti digitali.
Computer, telefoni, elettrodomestici, dispositivi di assistenza virtuale, automobili, giocattoli...ognuno di queste centinaia di milioni di prodotti connessi è un potenziale punto di ingresso per un attacco informatico.
Cosa cambia con il nuovo Cyber Resilience Act
Con la nuova legge sulla resilienza informatica, così com’è stato presentata (e a meno di modifiche in sede di discussione tra Consiglio e Parlamento europeo), l’Europa obbliga i produttori a ideare prodotti intrinsecamente sicuri e a garantire continui aggiornamenti software, come una struttura in grado di gestire e risolvere eventuali bug dopo la pubblicazione del software o la commercializzazione dell’hardware (vulnerabilità "zero-day").
Al contempo, offre a consumatori e imprese informazioni trasparenti sulla sicurezza informatica dei prodotti che andranno a acquistare, così da renderli maggiormente consapevoli e protetti in termini didati e privacy.
Il nuovo quadro legislativo in materia di cybersicurezza stabilirà:
- un pacchetto di norme per l'immissione sul mercato di prodotti digitali per garantire la sicurezza informatica;
- requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti digitali e obblighi per aziende e venditori;
- requisiti essenziali per gestire la vulnerabilità dei prodotti digitali durante l'intero ciclo di vita e obblighi in merito alla segnalazione di vulnerabilità oggetto di attacco e incidenti sfruttati attivamente;
- un pacchetto di norme sulla vigilanza del mercato e sull'esecuzione delle stesse.
Cyber Resilience Act: quando entrerà in vigore
Spetta ora al Consiglio e al Parlamento europeo esaminare il progetto di legge sulla resilienza informatica. Una volta approvato, gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarsi ai nuovi requisiti.
Un'eccezione a questa regola è l'obbligo di segnalazione, a carico dei produttori, di vulnerabilità e incidenti sfruttati attivamente, che si applicherebbe già a un anno dalla data di entrata in vigore, poiché richiedono un minor numero di adeguamenti organizzativi rispetto agli altri nuovi obblighi.
La Commissione esaminerà regolarmente la legge sulla resilienza informatica e riferirà sul suo funzionamento.
Il regolamento proposto si applicherà a tutti i prodotti collegati, direttamente o indirettamente, a un altro dispositivo o rete. Esistono alcune eccezioni per i prodotti vincolati ai requisiti di cybersicurezza già stabiliti nelle norme UE esistenti, ad esempio dispositivi medici, aviazione o automobili.