Marchi (Rodl & Partner): “Il Cyber Resilience Act è necessario: Italia maglia nera”
“Per chi non dovesse rispettare le norme imposte dal regolamento – specifica l’esperto di Rödl & Partner – le sanzioni potranno arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente per un prodotto che non rispetti i requisiti essenziali di cyber security, per gli altri obblighi, invece, fino 10 milioni o al 2% del fatturato, mentre potranno arrivare fino a 5 milioni o 1% del fatturato per la comunicazione di informazioni non corrette, insufficienti o fraudolente agli organismi di controllo o vigilanza.”
Nei giorni scorsi, avevamo già parlato della necessità di agire in direzione della resilienza informatica: è il Cyber Resilience Act sulla cybersicurezza, proposto dalla Commissione Europea per proteggere i consumatori e le imprese da prodotti inadeguati sotto il profilo della sicurezza e della cybersicurezza.
Quanto costa non essere protetti?
Secondo i dati della Commissione Europea, la criminalità informatica ha un costo annuo globale stimato a 5,5 miliardi di euro nel 2021: parliamo di una cifra spropositata, che fa scattare subito un campanello d’allarme sull’utilizzo – e sulla produzione – di strumenti informatici, hardware e software, che dovranno necessariamente adeguarsi. E, neanche a dirlo, diventare resilienti da un punto di vista informatico.
Il nuovo Cyber Resilience Act, infatti, è stato definito come un regolamento che “introduce requisiti obbligatori di cyber sicurezza per i prodotti che hanno componenti digitali, lungo tutto il loro ciclo di vita”.
Ma cosa vuol dire in termini pratici? A spiegarlo sulle pagine di F-Mag è Andrea Marchi, Information Security Officer di Rödl & Partner, multinazionale della consulenza presente in 48 paesi tra cui l’Italia. Che chiarisce:
“Così facendo l’Unione Europea imporrà l’obbligo di commercializzazione solamente a quei prodotti tecnologici, software e hardware, connessi a un dispositivo o a una rete digitale, che siano digitalmente sicuri. E con sicuri si intende che siano progettati e realizzati in modo che abbiano un livello di sicurezza appropriato ai rischi cyber, senza vulnerabilità note al momento della vendita, dotati delle necessarie misure volte a prevenire connessioni e accessi di natura illecita, che tutelino i dati raccolti nonché che prevedano l’eliminazione di vulnerabilità future attraverso aggiornamenti del software da parte del produttore, secondo il principio di “security by design”.
Cyber Resilience Act: che vuol dire produttori affidabili?
Sono proprio i produttori ad essere coinvolti in prima persona nelle attività imposte dal Cyber Resilience Act, che dovranno essere garantite dagli stessi per tutto il ciclo di vita di un prodotto o almeno per cinque anni dalla sua immissione sul mercato.
“Un produttore per essere considerato affidabile – sottolinea Andrea Marchi di Rödl & Partner – deve rendere disponibili la lista dei componenti software dei suoi prodotti, consentire ai clienti di poter essere adeguatamente informati in merito alla loro sicurezza, nonché qualora ci sia l’evidenza di nuove vulnerabilità rendere disponibili velocemente patch gratuite e testare regolarmente i prodotti commercializzati che siano ancora sicuri.
Queste norme di certificazione, inoltre, valgono anche per distributori e importatori che non possono commercializzare prodotti che non siano a norma e sono obbligati ad agire, anche ritirando dal mercato, il prodotto che non dovesse più rispettare le nuove normative.”
Ogni Stato membro dell’Unione Europea dovrà affidare a un’authority nazionale il rispetto del regolamento, mentre i produttori dovranno comunicare le eventuali vulnerabilità riscontrate nei prodotti all’Agenzia ENISA (l’Agenzia europea per la cybersicurezza) che a sua volta li comunicherà al CSIRT (Computer Security Incident Response Team) secondo la Direttiva NIS2.
Cosa rischia chi non si adegua al Cyber Resilience Act?
“Per chi non dovesse rispettare le norme imposte dal regolamento – specifica l’esperto di Rödl & Partner – le sanzioni potranno arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente per un prodotto che non rispetti i requisiti essenziali di cyber security, per gli altri obblighi, invece, fino 10 milioni o al 2% del fatturato, mentre potranno arrivare fino a 5 milioni o 1% del fatturato per la comunicazione di informazioni non corrette, insufficienti o fraudolente agli organismi di controllo o vigilanza.”
“Un provvedimento necessario – continua Marchi di Rödl & Partner – e che dà una mano al nostro Paese che in materia di cybersicurezza deve velocemente fare un balzo in avanti, visto che l’Italia, secondo l’European Union Agency for Cybersecurity, nella classifica mondiale, è attualmente uno dei Paesi più a rischio, dopo Stati Uniti, Germania e Francia per quanto riguarda le minacce da attacchi cyber.”
Il 2022, infatti, in fatto di sicurezza informatica descrive numeri poco incoraggianti per gli italiani. Sono stati oltre 780.000, infatti, i dati personali rubati e resi disponibili al miglior offerente sul dark web nella prima parte dell’anno, in aumento del 44% rispetto al semestre precedente (dati osservatorio cyber CRIF). E come se non bastasse secondo l’ultimo rapporto Censis, al 64,6% di cittadini e imprese è capitato di essere raggiunto da e-mail ingannevoli per estorcere dati sensibili.