La legge sulla cyber resilienza dei prodotti e componenti digitali ha ottenuto larga approvazione dalla Commissione del Parlamento UE e dal Coreper. I benefici attesi e i nodi da sciogliere.

La Cyber Resilience Act ha compiuto un primo, importante passo: la Commissione per l’industria, la ricerca e l’energia del Parlamento Europeo ha approvato il progetto di legge sulla resilienza informatica. Ottenuta un’ampia adesione pressoché bipartisan (61 voti favorevoli, 1 contrario e 10 astensioni), i deputati della Commissione hanno anche votato per l’apertura dei negoziati con il Consiglio europeo, anche in questo caso a larghissima maggioranza, per arrivare a una decisione condivisa e approvata dall’Assemblea al completo in una prossima sessione plenaria.

In questi giorni anche i rappresentanti degli Stati membri (Coreper) hanno raggiunto una posizione comune sulla legislazione proposta riguardante i requisiti orizzontali di cybersecurity per i prodotti con elementi digitali. L’accordo raggiunto in seno al Consiglio conferma la volontà comune europea di arrivare quanto prima all’approvazione di una legge cruciale per la tutela dei prodotti digitali e, soprattutto, dei consumatori.

Videocamere connesse, frigoriferi smart, tv ma anche assistenti vocali o giocattoli sono solo alcuni dei prodotti interessati, il cui mercato ha un impatto notevole sia in termini di ricavi e di consumatori. Il solo comparto smart home nel 2030 varrà quasi 450 miliardi di dollari.

Takeaway

La Cyber Resilience Act ha incassato i primi ok in Unione Europea. Nasce per garantire la sicurezza d’impiego dei prodotti e componenti digitali e la cybersecurity dei consumatori.
Arrivare alla sua definitiva approvazione comporterà benefici in tema di cyber sicurezza, tema assai delicato se si pensa ai miliardi di dispositivi connessi e al fatto che entro il 2031 ci sarà un nuovo attacco contro un consumatore o un’azienda ogni due secondi.
La proposta di legge, approvata dalla Commissione per l’industria, la ricerca e l’energia del Parlamento Europeo, coordinata dall’eurodeputato italiano Nicola Danti, ha diversi punti forti, ma ha raccolto critiche dagli sviluppatori di software open source.

Cosa richiede la Cyber Resilience Act

Cyber Resilience Act intende garantire che i prodotti con caratteristiche e componenti digitali siano sicuri da usare, resistenti alle minacce informatiche e forniscano informazioni sufficienti sulle loro proprietà di sicurezza.

Perché è importante arrivare quanto prima ad approvare questa legge è presto detto. Se si considerano i dispositivi IoT, il loro numero passerà da 14,6 miliardi nel 2022 a 30,2 miliardi entro il 2030. Inoltre, il numero di dispositivi connessi a reti IP sarà più di tre volte la popolazione globale entro il 2023, ricorda il Parlamento Europeo.

I difetti di sicurezza informatica nei prodotti connessi presentano un conto pesante. La Commissione Europea, nel report “Cybersecurity, our Digital Anchor”, ha evidenziato come gli attacchi ransomware colpiscano enti e imprese ogni 11 secondi in tutto il mondo. Si prevede che entro il 2031 ci sarà un nuovo attacco contro un consumatore o un’azienda ogni due secondi, con un costo per le vittime di circa 251 miliardi di euro all’anno. A ciò si può aggiungere che ogni mese vengono rubati 10 terabyte di dati, secondo quanto riferisce l’ultimo rapporto dell’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) sul panorama delle minacce nell’UE.

Urge quindi un provvedimento che possa garantire che i prodotti con caratteristiche digitali, per esempio telefoni o giocattoli, siano sicuri da usare, resistenti alle minacce informatiche e forniscano informazioni sufficienti sulle loro proprietà di sicurezza.

«Noi viviamo un’emergenza in tema cybersecurity, che è esplosa negli ultimi anni», spiega Nicola Danti, deputato e relatore del Cyber Resilience Act per il Parlamento Europeo. «Sappiamo che il costo del cybercrime si aggira sui 5500 miliardi di euro. Dobbiamo quindi arrivare, nei prossimi tre anni quando la Cyber Resilience Act entrerà completamente in vigore, a contare su prodotti più sicuri e dotati di resilienza IT, e dall’altra parte dovremo disporre di un sistema di gestione delle emergenze più efficace».

Nicola Danti, deputato e relatore del Cyber Resilience Act per il Parlamento Europeo [credit: https://www.europarl.europa.eu/portal/en - EP Plenary session - Revised Industrial Strategy for Europe]
Nicola Danti, deputato e relatore del Cyber Resilience Act per il Parlamento Europeo [credit: https://www.europarl.europa.eu/portal/en – EP Plenary session – Revised Industrial Strategy for Europe]

In particolare, Danti sottolinea il valore dell’aggiornamento della sicurezza più ampio. Significa che i consumatori potranno vedere specificato tra le caratteristiche prodotto per quanto tempo il produttore garantisce aggiornamenti software di cyber sicurezza.

I punti forti della legge

Quali sono poi gli elementi basilari della Cyber Resilience Act per garantire la sicurezza dei prodotti e del consumatore?

Come specificato dallo stesso Parlamento Europeo, il progetto di legge intende porre definizioni più precise, tempi fattibili e una più equa distribuzione delle responsabilità. I prodotti verranno inseriti in elenchi diversi in base alla loro criticità e al livello di rischio che rappresentano in termini di cybersecurity. I deputati, tra l’altro, hanno suggerito di ampliare l’elenco con prodotti quali software per sistemi di gestione delle identità, password manager, lettori biometrici, smart assistant, orologi “intelligenti” e telecamere di sicurezza private. I prodotti dovrebbero anche avere aggiornamenti di sicurezza installati automaticamente e in maniera separata da quelli funzionali.

«Un primo elemento chiave riguarda il tema degli aggiornamenti. Si deve poter contare su prodotti che non solo vengano venduti e garantiti come cyber resilienti dal sistema produttivo, ma anche dotati di aggiornamenti durante tutto il loro ciclo di vita – specifica il relatore della proposta di legge –. Un altro elemento importante riguarda gli aggiornamenti di sicurezza, riguardanti la sicurezza del prodotto: essi devono poter essere installati automaticamente, senza dover passare dal consenso personale».

Su che cosa verterà la Cyber Resilience Act? Essa riguarderà tutti i prodotti connessi e connettibili.

«La legge si applicherà ai prodotti e ai componenti: per esempio, schede madri, microprocessori, app e software. C’è poi una lista di prodotti critici, i software per la gestione delle password, le smart card, i router, i modem che hanno requisiti più stringenti. Su questi ultimi c’è bisogno di una valutazione di terze parti: saranno, infatti, gli enti certificatori a verificare che gli standard richiesti in questi prodotti siano pienamente rispettati».

Il quadro normativo in cui si innesta la futura legge sulla cyber resilienza

Cyber Resilience Act varrà su tutti i prodotti realizzati in UE, ma anche quelli importati e venduti in Unione Europea. L’ambizione dell’Unione europea con questo regolamento, dopo opportuna verifica con altri partner globali a partire dagli Stati Uniti, è di vederlo esteso a standard globale.

A livello normativo, considerate anche il Cybersecurity Act e l’Artificial Intelligence Act, CRA sarà un ulteriore tassello di una strategia europea sulla sicurezza IT.

«Partendo dalla NIS1 e NIS2, che vanno a considerare le infrastrutture critiche e dei sistemi dedicati, il Cybersecurity Act attiene agli schemi di certificazione e conferisce un mandato permanente a ENISA, oltre a maggiori risorse e nuovi compiti, assicurando all’Agenzia europea un ruolo chiave nell’istituzione e nel mantenimento del quadro europeo di certificazione della cybersecurity. Resta da vedere se questo ruolo verrà confermato anche dal Consiglio Europeo nel Cyber Resilience Act».

Cyber Resilience Act, la questione aperta sull’open source

Cyber Resilience Act ha ottenuto un ampio consenso, come detto, dalla Commissione industria del Parlamento UE, ma ha anche ricevuto critiche dagli sviluppatori di software open source. Essi chiedono una modifica del testo di legge che permetta di salvaguardare il futuro del software open source. Secondo loro, non fa al momento distinzioni, non introduce alcuna esenzione per gli sviluppatori open source e si limita a stabilire che il software deve essere sicuro.

«Noi ci siamo trovati di fronte a una chiara volontà di garantire il ruolo dell’open source, che riteniamo essenziale, in termini di sviluppo di software e di ricerca e innovazione. Tuttavia, pur garantendo una tutela, abbiamo dovuto anche fissare regole necessarie per l’ambito cybersecurity dei prodotti. Per questo abbiamo posto una chiara divisione tra ciò che è un’attività di carattere commerciale da ciò che non lo è: a quest’ultimo ambito rientrano le attività di ricerca. Quando un’attività assume carattere commerciale, e i relativi prodotti vengono immessi nel mercato e acquisiscono un valore commerciale e genera ricchezza è giusto che vengano normati con CRA».

La Commissione per l’industria, la ricerca e l’energia del Parlamento Europeo si rende conto che l’attuazione del Cyber Resilience Act avrà impatti significativi sul mondo produttivo, industriale e commerciale. «Siamo consapevoli che stiamo chiedendo agli operatori del settore uno sforzo significativo. Per questo riteniamo opportuno l’attuazione di misure di supporto per l’adeguamento alla legge. C’è poi un altro tema sensibile: oggi non ci sono le competenze necessarie sul mercato per poter far fronte a questo regolamento. Occorre quindi provvedere a far fronte a questa situazione e organizzarsi in modo adeguato. Parlo del sistema produttivo, ma anche di tutto l’ambito istituzionale, di ricerca e di formazione che possa supportare questa trasformazione».

Riproduzione riservata © (Articolo protetto da diritto d’autore)
Scritto da:

Andrea Ballocchi

Giornalista Leggi articoli Guarda il profilo Linkedin