Cosa prevede la nuova normativa UE sulla cyber security obbligatoria
Il nuovo Cyber Security Act rende i produttori di dispositivi digitali e gli sviluppatori software più responsabili: dovranno segnalare vulnerabilità e attacchi e tentare di prevenirli meglio
La Commissione europea ha presentato una nuova proposta relativa al Cyber Resilience Act. Il vecchio regolamento è stato approvato nel giugno 2019 ed è entrato in vigore nel settembre dello stesso anno, ma già occorrono nuovi strumenti per garantire la sicurezza informatica di imprese e consumatori.
Con l’introduzione di un nuovo quadro normativo al Cyber Resilience Act, l’Europa intende far sì che le aziende che forniscono prodotti digitali li progettino in maniera più sicura. Inoltre, i produttori saranno obbligati a fornire supporto per la sicurezza e aggiornamenti software per affrontare le vulnerabilità.
Dall’altro lato, ai consumatori saranno offerte maggiori informazioni sulla sicurezza informatica dei prodotti che andranno a acquistare, così da renderli maggiormente consapevoli in fase di acquisto.
La ragione di questo intervento, che va a normare in maniera più dettagliata le responsabilità dei produttori, si basa sul volume sempre crescente di attacchi ransomware che nel solo 2021 sono stati pari a 1 attacco ogni 11 secondi e danni complessivi stimati in 5,5 miliardi di euro in tutto il mondo.
Nuovo Cyber Resilience Act : cosa cambia per produttori e consumatori
Il nuovo Cyber Resilience Act , così com’è stato presentato (e a meno di modifiche in sede di discussione tra Consiglio e Parlamento Europeo) porta a carico dei produttori maggiori responsabilità che riguardano la progettazione dei dispositivi hardware, ma anche del software.
Nel dettaglio sono quattro i punti che vanno a affrontare nello specifico la cybersicurezza:
- Un pacchetto di norme relative alla cybersicurezza che regoleranno l’immissione sul mercato dei nuovi prodotti digitali
- Introduzione di un pacchetto di norme in cui sono descritti i requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione e in cui vengono definiti gli obblighi di aziende e venditori
- Definizione dei requisiti essenziali e degli obblighi adottati dai produttori di prodotti digitali per gestire le vulnerabilità durante l’intero ciclo di vita. Spetterà, inoltre, ai fabbricanti segnalare le vulnerabilità che sono state oggetto di attacchi e che tipo di incidenti ci sono stati
- Pacchetto di norme e loro applicazione sulla vigilanza del mercato
In buona sostanza, e in estrema sintesi, se passa il nuovo regolamento i produttori di dispositivi e gli sviluppatori di app, sistemi operativi e software di ogni tipo dovranno garantire di aver ideato il prodotto o il servizio in modo che sia intrinsecamente sicuro e, inoltre, dovranno garantire continui aggiornamenti di sicurezza.
Dovranno anche garantire di avere una struttura in grado di gestire e risolvere eventuali problemi e bug che dovessero saltar fuori dopo la pubblicazione del software o la commercializzazione dell’hardware (le cosiddette vulnerabilità “zero-day“).
Cyber Resilience Act: cosa cambia per i consumatori
Con l’individuazione e l’assegnazione delle responsabilità a carico dei produttori della buona progettazione di dispositivi elettronici e software sono garantiti a consumatori e aziende, almeno in teoria, sia una migliore protezione dei dati e della Privacy, sia una maggiore trasparenza relativa alle caratteristiche di sicurezza dei prodotti digitali.
Inoltre, poiché i produttori dovranno fornire informazioni su cosa hanno fatto per rendere sicuro il prodotto (o il servizio, o il software), teoricamente i consumatori dovrebbero poter scegliere tra un prodotto/servizio/software più sicuro e uno meno sicuro e tra uno con migliori o peggiori garanzie di assistenza in caso dovesse avvenire un attacco hacker.
Cyber Resilience Act: quando entrerà in vigore
Il nuovo pacchetto di leggi Cyber Resilience Act sarà discusso sia dal Parlamento europeo che dal Consiglio. Dopodiché quando approvato, il nuovo Cyber Resilience Act sarà adottato dagli Stati membri e i produttori avranno due anni di tempo per mettersi a norma.
Per i produttori, invece, ci sarà solo un anno di tempo per l’adozione dell’obbligo di comunicazione delle vulnerabilità attivamente sfruttate e gli incidenti.
