Resilienza informatica: l’UE chiede standard su cybersicurezza su produzione hardware e software

La criminalità informatica ha un costo annuo globale stimato a 5,5 miliardi di euro nel 2021: proprio per questo motivo, per la Commissione è importante improntare lo sviluppo futuro dell'Eurozona improntato sulla resilienza informatica

Nel prossimo futuro probabilmente sentiremo parlare spesso di resilienza informatica. La Commissione Europea, infatti, ha proposto in queste ore una nuova legge sulla resilienza informatica per proteggere i consumatori e le imprese da prodotti inadeguati sotto il profilo della sicurezza e della cybersicurezza.

Il concetto di resilienza informatica così entra per la prima volta nella legislazione europea: come sottolinea la Commissione è la prima volta che si parla di una legge che potrebbe obbligare i produttori di articoli con elementi digitali e/o informatici a rispettare determinati requisiti per la protezione dei prodotti stessi, sia nel design che nello sviluppo fisico.

Perché si parla di resilienza informatica

Le parole d’ordine che accompagnano la resilienza informatica sono: resistere, combattere, evitare. Secondo le stime portate dall’esecutivo europeo, gli attacchi ransomware colpiscono un’organizzazione ogni 11 secondi in tutto il mondo. La criminalità informatica ha un costo annuo globale stimato a 5,5 miliardi di euro nel 2021: proprio per questo motivo, per la Commissione è importante improntare lo sviluppo futuro dell’Eurozona improntato sulla resilienza informatica, per garantire un elevato livello di cybersicurezza e ridurre le vulnerabilità nei prodotti digitali, uno dei principali motivi del successo di tali attacchi.

Per il vicepresidente della Commissione Margaritis Schinas, questa legge “è la nostra risposta alle moderne minacce alla sicurezza, ora onnipresenti in tutta la società digitale. L’Unione Europea ha svolto un ruolo pionieristico creando un ecosistema della cybersicurezza con norme sulle infrastrutture critiche, la preparazione e la risposta in materia di cybersicurezza e la certificazione dei prodotti. Oggi stiamo completando questo ecosistema con una legge che porta sicurezza in tutte le nostre case, in tutte le nostre imprese e in tutti i prodotti interconnessi. La cybersicurezza è una questione sociale e non più industriale”.

Secondo l’Europa, infatti, con la maggiore diffusione dei prodotti intelligenti e connessi, un incidente in un prodotto può avere un impatto sull’intera catena di approvvigionamento, con possibili gravi perturbazioni delle attività economiche e sociali nel mercato interno, può compromettere la sicurezza o, talora, avere conseguenze potenzialmente letali.

Il piano contro gli attacchi informatici

Si ravvisa come necessario, allora, puntare tutto sulla resilienza informatica. Attualmente, il costo degli attacchi informatici ricade principalmente sui clienti, privati o aziende, cosa che limita l’incentivo per i produttori ad occuparsi anche della sicurezza informatica.

Il regolamento sulla resilienza informatica dovrebbe garantire ai consumatori europei una maggiore sicurezza dei prodotti digitali come software e prodotti con e senza fili: oltre ad aumentare la responsabilità dei fabbricanti obbligandoli a fornire assistenza in materia di sicurezza e aggiornamenti del software per affrontare le vulnerabilità, consentirà ai consumatori di disporre di informazioni sufficienti sulla cybersicurezza dei prodotti che acquistano.

Per il commissario al Mercato Interno Thierry Breton, “la forza dell’Europa è solo pari a quella del suo anello più debole: sia esso uno Stato membro vulnerabile o un prodotto non sicuro nella catena di approvvigionamento. Computer, telefoni, elettrodomestici, dispositivi di assistenza virtuale, automobili, giocattoli… ciascuno di questi prodotti connessi, che sono centinaia di milioni, è un potenziale punto di accesso per gli attacchi informatici. Eppure, ancora oggi la maggior parte dei prodotti hardware e software non è soggetta ad alcun obbligo in materia di cybersicurezza. Introducendo la cybersicurezza fin dalla progettazione, questa legge contribuirà a proteggere l’economia europea e la nostra sicurezza collettiva”.

Resilienza informatica: e poi?

Le misure proposte nel piano per la resilienza informatica stabiliranno norme per l’immissione sul mercato di prodotti con elementi digitali, per garantirne la cybersicurezza. I fabbricanti dovranno inoltre segnalare le vulnerabilità attivamente sfruttate e gli incidenti; sono incluse anche norme in materia di vigilanza del mercato e applicazione.

Le misure proposte oggi si basano sul nuovo quadro legislativo per la legislazione dell’UE sui prodotti e stabiliranno:

a) norme per l’immissione sul mercato di prodotti con elementi digitali al fine di garantirne la cibersicurezza;

b) requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti;

c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I fabbricanti dovranno inoltre segnalare le vulnerabilità attivamente sfruttate e gli incidenti;

d) norme in materia di vigilanza del mercato e applicazione.

Con le nuove norme sulla resilienza informatica la responsabilità spetterà ai fabbricanti, che dovranno garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’Unione Europea. Ne trarranno beneficio i consumatori e i cittadini, oltre alle imprese che utilizzano prodotti digitali, grazie ad una maggiore trasparenza delle caratteristiche di sicurezza; sarà inoltre garantita una migliore protezione di diritti fondamentali come la privacy e la protezione dei dati.

Il regolamento si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o alla rete. Sono previste alcune eccezioni per prodotti i cui requisiti di cybersicurezza sono già stabiliti nelle norme dell’Ue vigenti, come i dispositivi medici, i prodotti per l’aviazione o le automobili. Il Parlamento Europeo e il Consiglio dovranno esaminare il progetto di legge. Dopo l’adozione dei nuovi requisiti gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarsi. 

Exit mobile version