L’Europa ha definito le proprie regole di resilienza digitale. Richiamando un termine molto in voga negli ultimi anni, la Commissione Europea ha battezzato Cyber Resilience Act la legge a cui lavorava da mesi, ora ufficialmente presentata. Il testo fissa alcuni principi tesi a garantire una maggiore sicurezza e privacy agli utenti (o aziende) che si affidano a soluzioni informatiche, siano esse di tipo hardware, software o servizi. Due, in particolare, i problemi affrontati: i rischi intrinseci delle tecnologie, dovuti a una cattiva progettazione o alle molte vulnerabilità che restano irrisolte per mesi o anni; e i le insidie della cattiva comunicazione o scarsa trasparenza, fattori che impediscono agli utenti di scegliere con consapevolezza le soluzioni più sicure.
Terminata la fase di consultazione pubblica, ora il Cyber Resilience Act ha un testo definito ma dovrà ancora essere approvato dalla Commissione e dal Parlamento prima di entrare ufficialmente in vigore. In quanto regolamento, dunque testo legislativo vincolante, dovrà poi essere recepito in tutte le sue parti dai Paesi membri dell’Unione Europea: avranno due anni di tempo per adeguarsi e per avviare procedure di controllo da parte di un’authority nazionale. Se tutti i principi di sicurezza e trasparenza saranno rispettati, il prodotto potrà fregiarsi del marchio CE.
Fino a ieri, per proteggere cittadini e aziende dai rischi della tecnologia esistevano legislazioni nazionali, mentre la maggior parte dei prodotti hardware e software non era regolata da alcuna legislazione europea. Ora il Cyber Resilience Act introduce alcuni requisiti di cybersicurezza obbligatori per qualsiasi prodotto che preveda almeno una componente digitale e che, anche solo potenzialmente, si connetta a Internet. Oltre a server, firewall, sistemi Nas, modem, router, switch, Pc, smartphone e tablet, dunque, la normativa copre quindi anche l’ampia pletora dei dispositivi Internet of Things come gli smartwatch, gli auricolari Bluetooth, le webcam o videocamere di sorveglianza e gli apparati di domotica (dai frigoriferi alle lavatrici smart). Sono interessati dal nuovo regolamento, inoltre, anche i componenti semiconduttori come i processori e i software critici per la sicurezza, come gli antivirus, i gestori di password o i programmi per la condivisione di file.
“Ci meritiamo di sentirci sicuri con i prodotti che acquistiamo nel mercato unico”, ha dichiarato Margrethe Vestager, commissaria europea per la Concorrenza ed executive vice president di Europe Fit for a Digital Age, “Così come possiamo fidarci di un giocattolo o un frigorifero se riporta il marchio CE, allo stesso modo il Cyber Resilience Act garantirà che gli oggetti connessi e i software che acquistiamo rispettino forti misure a tutela della cybersicurezza”. A detta della commissaria UE, il regolamento metterà la responsabilità sulle spalle di chi deve reggerla, ovvero le aziende produttrici e distributrici di prodotti digitali.
Margrethe Vestager, commissaria europea per la Concorrenza ed executive vice president di Europe Fit for a Digital Age
Sicurezza e trasparenza, i principi del Cyber Resilience Act
Quattro gli obiettivi dell’Europa: obbligare i produttori a potenziare la sicurezza intrinseca delle loro soluzioni digitali, dalla fase di progettazione al post vendita; creare un “framework di cybersicurezza” coerente per la compliance di dispositivi e software; potenziare la trasparenza sulle caratteristiche di cybersicurezza dei prodotti; permettere alle persone di utilizzare le soluzioni in modo sicuro, nella sfera privata e nel lavoro.
Sul primo punto, il regolamento specifica che i prodotti dovranno essere sufficientemente sicuri da molti punti di vista, nel modo in cui sono progettati e nel modo in cui funzionano. I produttori saranno considerati responsabili della corretta ideazione e realizzazione, ma anche delle configurazioni impostate nel prodotto al momento della vendita (problema spinoso soprattutto per molti dispositivi Internet of Things) e della privacy. Non sarà permesso, per esempio, raccogliere più dati di quelli necessari per il funzionamento dei prodotti e bisognerà rilasciare aggiornamenti software tempestivi e gratuiti per le vulnerabilità eventualmente emerse. Accanto alla sicurezza intrinseca c’è inoltre in gioco il valore della trasparenza: i produttori dovranno rendere disponibili i bill of materials dei componenti software utilizzati nelle proprie tecnologie. Il monitoraggio delle vulnerabilità e il rilascio delle patch dev’essere garantito per almeno cinque anni dall’immissione sul mercato.
Requisiti di compliance e multe per i trasgressori
Ma come si verifica la conformità a tutte le regole elencate? Per la maggior parte dei prodotti, il 90% circa di quelli interessati dal regolamento, sarà sufficiente un’autocertificazione da parte dell’azienda che li realizza e li vende. Il restante 10% rientra nella categoria dei prodotti “critici”, suddivisa nel sottogruppo “Classe I” (prodotti a rischio moderato, come password manager, antivirus, Intrusion Prevention System, software per il monitoraggio delle reti, sistemi Siem, firewall, router e switch) e nel sottogruppo “Classe II” (ad alto rischio, come chip di sicurezza, sistemi operativi, software per la virtualizzazione, sistemi per la crittografia, sistemi di controllo e automazione per servizi essenziali e critici, sistemi per l’Internet of Things industriale, smart meter, componenti di robotica). Chi rientra nella “Classe I” può optare per l’autocertificazione, vincolata però al rispetto di standard, oppure affidare la certificazione a un ente esterno, mentre per la “Classe II” vale solo quest’ultima opzione.
Il Cyber Resilience Act interessa non soltanto i produttori ma anche i distributori di prodotti digitali, anch’essi soggetti all’obbligo di certificazione. Trasgredire costa: chi produce o vende prodotti non conformi rischia multe che, a seconda della gravità della mancanza, potranno arrivare a 15 milioni di euro o al 2,5% del fatturato dell'anno fiscale precedente alla sanzione (tra le due alternative, verrà applicato l’importo maggiore); si arriva a un massimo di 5 milioni di euro o all’1% del fatturato, invece, se l’azienda è colpevole di aver fornito informazioni false o incomplete a un ente di certificazione o all’organismo di sorveglianza nazionale.