cybersecurity, News

Cybersecurity: nuove norme UE per tutti i prodotti digitali

20 Set

La Commissione Ue ha approvato il regolamento che impone nuovi e più stringenti criteri di sicurezza per tutti gli oggetti connessi, dagli smartphone ai Pc al frigo connesso al modem.

È arrivato giovedì 15 settembre, il via libera dalla Commissione europea alla proposta di regolamento sulla resilienza informatica per proteggere consumatori e aziende da prodotti con caratteristiche di sicurezza inadeguate.

Si tratta della prima proposta di legge sulla resilienza informatica a livello Ue e si chiama Cyber Resilience Act – che ora dovrà essere esaminato dal Parlamento e dal Consiglio Ue – il quale introduce requisiti di cybersecurity obbligatori per i prodotti con elementi digitali, durante tutto il loro ciclo di vita.

Lo stesso regolamento – sintetizza una nota della Commissione – aumenta la responsabilità dei produttori obbligandoli a fornire supporto per la sicurezza e aggiornamenti software per affrontare le vulnerabilità individuate, e consente ai consumatori di avere informazioni sufficienti sulla sicurezza informatica dei prodotti che acquistano e utilizzano.

“Meritiamo di sentirci al sicuro con i prodotti che acquistiamo nel mercato unico. Proprio come possiamo fidarci di un giocattolo o di un frigorifero con marchio CE. Il Cyber resilience act – commenta Margrethe Vestager, vicepresidente esecutiva della Commissione per un’Europa pronta per l’era digitale – garantirà che gli oggetti e i software connessi che acquistiamo rispettino forti misure di sicurezza informatica”.

Il Cyber Resilience Act

Il Cyber Resilience Act nasce da una constatazione precisa: gli attacchi informatici cavalcano sempre più spesso vulnerabilità presenti nelle piattaforme software e nella parte software di prodotti fisici. Ad aggravare la situazione è il fatto che i consumatori e le imprese non hanno abbastanza informazioni e indicazioni per poter scegliere un prodotto che sia “garantito” per la sua sicurezza. Manca il “marchio CE” per la cyber security, ed è quello che la nuova norma introduce.

La ragione di questo intervento, che va a normare in maniera più dettagliata le responsabilità dei produttori, si basa sul volume sempre crescente di attacchi ransomware che nel solo 2021 sono stati pari a 1 attacco ogni 11 secondi e danni complessivi stimati in 5,5 miliardi di euro in tutto il mondo.

Il Cyber Resilience Act non sostituisce le normative europee già esistenti sulla sicurezza cyber. E, anzi, i prodotti che sono già stati certificati conformi a norme UE preesistenti legate alla cybersecurity si considereranno “validi” anche per il nuovo Cyber Resilience Act.

“Quando si parla di sicurezza informatica, l’Europa è forte solo quando il suo anello più debole è comunque forte”, ha dichiarato in conferenza stampa il commissario per il Mercato interno, Thierry Breton, presentando il Cyber Resilience Act: “Computer, smartphone, elettrodomestici, dispositivi di assistenza virtuale, automobili e giocattoli, ognuno di questi centinaia di milioni di prodotti connessi è un potenziale punto di ingresso per un attacco informatico“, ha sottolineato Breton, denunciando il fatto che “la maggior parte dei prodotti hardware e software non è soggetta ad alcun obbligo di sicurezza informatica”. Lo scenario è ancora più preoccupante se si considera che ogni 11 secondi un’organizzazione in tutto il mondo viene colpita da un attacco ransomware, che il costo annuale globale stimato solo di questi attacchi è stato quantificato nel 2021 attorno ai 20 miliardi di euro e che il peso economico globale della criminalità informatica ha raggiunto i 5,5 trilioni di euro lo scorso anno.

Ecco perché per la Commissione Ue è prioritario garantire un elevato livello di sicurezza informatica e ridurre le vulnerabilità dei prodotti digitali: “Con l’aumento dei prodotti intelligenti e connessi, un incidente di cybersecurity in un prodotto può avere un impatto sull’intera catena di fornitura, portando a gravi perturbazioni delle attività economiche e sociali nel Mercato interno, minando la sicurezza o addirittura diventando pericoloso per la vita”, si legge nel testo della proposta dell’esecutivo comunitario.

Cyber Resilience Act: gli obblighi per i produttori

Le nuove misure proposte dal Cyber Resilience Act stabiliscono regole più stringenti per l’immissione sul mercato, requisiti per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali, così come per i processi di gestione delle vulnerabilità durante il ciclo di vita. I produttori dovranno inoltre segnalare le vulnerabilità e gli incidenti “sfruttati attivamente”, e saranno poste norme sulla sorveglianza del mercato.

Nel dettaglio sono quattro i punti che vanno a affrontare nello specifico la cybersicurezza:

  • un pacchetto di norme relative alla cybersicurezza che regoleranno l’immissione sul mercato dei nuovi prodotti digitali;
  • introduzione di un pacchetto di norme in cui sono descritti i requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione e in cui vengono definiti gli obblighi di aziende e venditori;
  • definizione dei requisiti essenziali e degli obblighi adottati dai produttori di prodotti digitali per gestire le vulnerabilità durante l’intero ciclo di vita. Spetterà, inoltre, ai fabbricanti segnalare le vulnerabilità che sono state oggetto di attacchi e che tipo di incidenti ci sono stati;
  • un pacchetto di norme e loro applicazione sulla vigilanza del mercato.

In buona sostanza, se passa il nuovo regolamento i produttori di dispositivi e gli sviluppatori di app, sistemi operativi e software di ogni tipo dovranno garantire di aver ideato il prodotto o il servizio in modo che sia intrinsecamente sicuro e, inoltre, dovranno garantire continui aggiornamenti di sicurezza.

Dovranno anche garantire di avere una struttura in grado di gestire e risolvere eventuali problemi e bug che dovessero saltar fuori dopo la pubblicazione del software o la commercializzazione dell’hardware (le cosiddette vulnerabilità “zero-day“).

Cyber Relience Act: cosa cambia per i consumatori

Con l’individuazione e l’assegnazione delle responsabilità a carico dei produttori della buona progettazione di dispositivi elettronici e software sono garantiti a consumatori e aziende, almeno in teoria, sia una migliore protezione dei dati e della privacy, sia una maggiore trasparenza relativa alle caratteristiche di sicurezza dei prodotti digitali.

Inoltre, poiché i produttori dovranno fornire informazioni su cosa hanno fatto per rendere sicuro il prodotto (o il servizio, o il software), teoricamente i consumatori dovrebbero poter scegliere tra un prodotto/servizio/software più sicuro e uno meno sicuro e tra uno con migliori o peggiori garanzie di assistenza in caso dovesse avvenire un attacco hacker.

Cyber Resilience Act: le classi di certificazione

Fatte le premesse di cui sopra, come verranno certificati i prodotti?

Le caratteristiche di cybersecurity di un prodotto verrano auto-certificate dal produttore o ratificate da una terza parte. Il Cyber Resilience Act prevede una macro-categoria di prodotti e software “normali” per i quali ci si può fidare di una auto-valutazione del produttore, come già accade per altri tipi di certificazione da marchio CE. Il 90% dei prodotti sul mercato rientra in questa categoria, secondo la Commissione Europea.

Per questo tipo di prodotti, il produttore deve eseguire una auto-valutazione della loro cyber security secondo le linee guida della normativa. Sotto la propria responsabilità il produttore presenta una specifica documentazione che dichiara l’affidabilità del prodotto, per poi poter apporre il marchio CE. Se il prodotto o software viene modificato in modo rilevante, la procedura va ripetuta.

Il restante 10% dei prodotti e software a rischio cyber richiede, secondo la Commissione Europea, una maggiore attenzione. Sono i cosiddetti “prodotti critici con elementi digitali”, critici perché una loro falla o violazione può portare, in cascata, ad altre pericolose e più estese violazioni della sicurezza. Prevedibilmente, e ovviamente, in questa categoria rientrano innanzitutto i prodotti che “fanno” in vario modo cyber security e i componenti di base dell’IT e dell’OT.

L’elenco è ampio e diviso in:

  • Classe I, sono i prodotti a relativamente minor rischio come ad esempio password manager, antimalware, piattaforme di network management e monitoring, SIEM, firewall, IPS, router, switch;
  • Classe II, sono i prodotti più critici dove troviamo tra l’altro tra l’altro sistemi operativi, piattaforme di virtualizzazione, firewall e IPS industriali, chip di sicurezza, piattaforme di cifratura, sistemi di controllo e automazione progettati per servizi essenziali e critici, soluzioni di Industrial IoT, smart meter, componenti robotici.

Per i prodotti di Classe I non bastano le autocertificazioni di base. Un produttore può ancora auto-certificarsi, ma solo se dichiara di aver seguito precisi standard di mercato, specifiche di sicurezza o certificazioni di cyber security già previste dalla UE. In alternativa, può far certificare il suo prodotto da una terza parte, tipicamente un ente di certificazione accreditato. Quest’ultima strada – il coinvolgimento di una terza parte – è l’unica possibile per i prodotti di Classe II.

Cyber Resilience Act: le sanzioni

I vari Stati membri UE attiveranno una sorvegliaza costante del mercato per verificare l’affidabilità cyber di prodotti e produttori (ma anche di importatori e distributori). Se si rileva che un prodotto non è sicuro come dichiarato, o non lo è più, la sua commercializzazione può essere bloccata nella nazione che si è “allertata”. È previsto un meccanismo di escalation: il blocco in una nazione viene valutato a livello UE e, se giustificato, viene esteso a più nazioni e l’agenzia europea per la sicurezza (ENISA) può scendere in campo per valutare in dettaglio il prodotto segnalato.

Le sanzioni previste dal Cyber Resilience Act sono pesanti. La non-compliance con i requisiti essenziali di cyber security di un prodotto comporta una multa che può arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente (vale la cifra più elevata). Non osservare un qualsiasi altro obbligo della norma comporta una sanzione fino a 10 milioni di euro o al 2% del fatturato. Fornendo informazioni non corrette, incomplete o ingannevoli agli organismi di certificazione o alle authority di sorveglianza si rischia una sanzione sino a 5 milioni di euro al 1% del fatturato.

Cyber Resilence Act: i prossimi passi

Il progetto di legge presentato dalla Commissione dovrà ora essere esaminato dai co-legislatori del Parlamento e del Consiglio dell’Ue e, una volta adottato, gli operatori di mercato e gli Stati membri avranno due anni di tempo per adeguarsi ai nuovi requisiti. Un’eccezione riguarda invece l’obbligo di segnalazione ai produttori delle vulnerabilità e degli incidenti sfruttati attivamente, che si applicherà già un anno dopo la data di entrata in vigore della legge.

Previeni intrusioni nella tua rete, monitora l’accesso agli account, mantieni il controllo sulla tua infrastruttura, ottieni la garanzia di conformità normativa e senza investimenti. Scopri le soluzioni di cybersecurity Intrusa e richiedi una demo.

Tags:
, , , , , ,
Successivo CRM: quali sono le regole per essere conformi al GDPR
Torna al Magazine
Precedente Accesso da remoto: i rischi alla sicurezza e come prevenirli