“La proposta di legge presentata dalla Commissione europea” osserva Pierluigi Paganini, amministratore di una società attiva nella sicurezza informatica, “rappresenta un passaggio fondamentale per l’adozione di standard di sicurezza che garantiscono una maggiore resilienza di prodotti e servizi utilizzati nell’ambito dell’Unione europea”.
Il Cyber Resilience Act vuole dunque rispondere alle esigenze di tutela della privacy e della protezione dei dati. I dispositivi coperti dalla proposta di legge sono computer fissi o mobili, smartphone, software e servizi, cuffie wireless, dispositivi per smart home. Device dotati di una connessione, diretta o meno, a un altro dispositivo o alla rete fissa o mobile.
Annunciata un anno fa, la proposta di legge introduce un nuovo quadro legislativo per l’Unione europea mettendo al centro norme, requisiti per i developer e regole di vigilanza del mercato e di esecuzione. Le norme permetteranno di lanciare sul mercato prodotti in grado di garantire la sicurezza informatica. I requisiti saranno invece cruciali per progettare, sviluppare e produrre i device connessi.
Gli oneri a carico dei vendori di dispositivi connessi
I vendor dovranno, inoltre, segnalare falle esposte a rischio exploit, sfruttamenti attivi delle vulnerabilità e incidenti accaduti. Le eccezioni riguarderanno dispositivi medici, per l’aviazione o automobili dove valgono i requisiti di sicurezza informatica già previsti.
Le sanzioni previste
L’adozione della legge prevede, infine, che gli operatori di mercato e gli Stati membri dovranno adeguarsi entro due anni. Si rischieranno sanzioni fino a 15 milioni di euro o fino al 2,5% del loro fatturato globale.
Le autorità di vigilanza nazionali potranno mettere al bando o porre limiti a prodotti sul mercato nazionale.
Gli obiettivi normativi
“Il Cyber Resilience Act mira”, sottolinea Paganini, “a proteggere i consumatori dai prodotti che possono essere compromessi perché progettati senza rispettare requisiti minimi di sicurezza informatica o che potrebbero essere affetti da vulnerabilità che possono essere sfruttate da attaccanti di varia natura”.
Bruxelles vuole che i produttori, che progettano e mettono sul mercato i device digitali, devono sviluppare prodotti più sicuri per i consumatori e le aziende in tutta l’Unione europea. La responsabilità della tutela da attacchi hacker e furti di dati è in capo ai produttori. “Abbiamo diritto a sentirci sicuri sui prodotti che compriamo nel mercato unico”, ha dichiarato Margrethe Vestager, vice presidente esecutivo di Europe fit for the digital age. “Esattamente come ci fidiamo di un giocattolo o di un frigorifero col marchio CE, così il Cyber resilience act assicurerà che gli oggetti connessi e il software che compriamo rispettino forti requisiti di cybersecurity. Metterà la responsabilità dove deve stare: negli operatori che mettono i prodotti sul mercato”.
“Ciascun servizio o prodotto che utilizziamo potrebbe essere attaccato per colpire noi stessi oppure infrastrutture di terze parti”, mette in guardia Paganini. Infatti, “siamo tutti nodi di una rete globale e la sicurezza complessiva è funzione dei requisiti implementati da sistemi e software che quotidianamente utilizziamo”.
“Per questo motivo questa legge assume un’importanza cruciale”, conclude Paganini, “così come sarà importante disporre di centri in grado di effettuare una qualifica hardware e software dei sistemi che utilizzeremo”.