“Se tutto è connesso, tutto può essere piratato”. Lo aveva detto la presidente della Commissione Ue Ursula von der Leyen un anno fa, mentre chiedeva a gran voce che fosse istituito un regolamento continentale di cybersicurezza per gli oggetti. Le cose sono andate avanti, con una proposta di regolamento del commissario del Mercato Interno Thierry Breton, che Bruxelles presenta questa settimana. La nuova normativa vuole porre dei “criteri essenziali” a produttori e distributori in materia di cybersicurezza di tutti gli oggetti connessi, IoT (hardware) o software. Sarà quindi vietato immettere sul mercato degli oggetti che comportano delle vulnerabilità conosciute.
Gli oggetti che no rispetteranno queste norme saranno passibili di ammenda o potranno essere ritirati dal mercato.
Le regole potrebbero ridurre il costo degli incidenti informatici per le aziende fino a 290 miliardi di euro (289,8 miliardi di dollari) all’anno contro i costi di conformità di circa 29 miliardi di euro.
Valore trasversale e trans settoriale
Si tratta di auto, giochi, elettrodomestici, smartphone. Tutti oggetti connessi che finora non avevano obblighi dal punto di vista della cybersicurezza. Ma che dopo l’entrata in vigore del regolamento, ci vorranno un paio d’anni, dovranno avere un marchio di garanzia in materia di cyber.
Tutti i prodotti che hanno una componente digitale saranno soggetti al regolamento sia che si tratti di hardware, sia che si tratti di software installato. Quindi anche pc portatili, gli oggetti ed elettrodomestici intelligenti di casa, gli smartphone, le apparecchiature di rete e ancora i microchip. Tutto, anche i sistemi operativi, i sistemi di trattamento testuale, le app mobili, le componenti software. Il frigo intelligente e tutti i dispositivi elettronici connessi, dai modem ai router.
Esclusi invece i software open source, che non sono in commercio. Escluse anche, come detto, le apparecchiature mediche e certe parti del settore automobilistico e aereo, che già dispongono di dispositivi di cybersicurezza regolamentati ed efficienti.
I prodotti che rispettano i criteri fissati otterranno un marchio di qualità CE. Per i trasgressori invece è prevista una multa fino a 15 milioni di euro o del 2,5% del giro d’affari se più elevato, oppure saranno ritirati. Un oggetto giudicato non conforme può non ottenere il via libera ad entrare sul mercato.
La consultazione pubblica già avvenuta ha mostrato che il 50% delle aziende partecipanti era già conforme alle richieste.
Minacce crescenti
E che ce ne sia bisogno lo dimostrano attacchi cyber diventati famosi come Wannacry, Kaseya VSA o ancora SolarWind che ha mostrato con quale rapidità e potenza può diffondersi un malware.
Ora, con 75 miliardi di oggetti connessi a livello globale di qui al 2025, è evidente che il rischio di attacchi hacker aumenta in maniera esponenziale.
Le propone la Commissione europea annunciando una nuova legge sulla resilienza informatica, il ‘Cyber Resilience Act’, che introdurrà requisiti di sicurezza informatica obbligatori per i prodotti con elementi digitali, durante l’intero ciclo di vita.
Più sicurezza per i cittadini Ue
Garantirà che i prodotti digitali, wireless, cablati o software, siano più sicuri per i consumatori nell’Ue. I produttori saranno obbligati a fornire supporto per la sicurezza e aggiornamenti software, garantendo ai consumatori informazioni sulla sicurezza informatica di ciò che acquistano.
“Meritiamo di sentirci al sicuro con i prodotti che acquistiamo nel mercato unico – afferma la vicepresidente esecutiva della Commissione Margrethe Vestager – Il Cyber Resilience Act garantirà che gli oggetti e i software connessi che acquistiamo rispettino solide misure di sicurezza informatica. Metterà la responsabilità al suo posto, con coloro che immettono i prodotti sul mercato”.
I criteri
Le misure proposte dall’esecutivo europeo stabiliranno sui prodotti con elementi digitali: criteri per l’immissione sul mercato, per garantirne la sicurezza informatica; massima estensione della superficie protetta; proteggere gli oggetti da tutti gli accessi indesiderati; requisiti essenziali per progettazione, sviluppo e produzione, e obblighi per gli operatori economici; requisiti essenziali per i processi di gestione della vulnerabilità per i produttori a garanzia della cybersicurezza dei prodotti durante l’intero ciclo di vita dei prodotti, con obblighi per gli operatori economici; norme sulla vigilanza del mercato. Protezione dei dati sensibili, aggiornamenti dei sistemi dei livelli di sicurezza.
Questa normativa completa la direttiva NIS, destinata alle infrastrutture critiche ma non agli oggetti appunto. Ci saranno eccezioni su alcuni prodotti come dispositivi medici, aviazione o automobili dove sono già previsti dei requisiti di sicurezza informatica. Una volta adottata la legge, gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarsi.
Come comportarsi in caso di attacchi ad oggetti
I produttori dovranno valutare i rischi per la sicurezza informatica dei loro prodotti e adottare procedure adeguate per risolvere i problemi. Le società dovranno notificare gli incidenti all’agenzia dell’UE per la sicurezza informatica ENISA entro 24 ore una volta che saranno a conoscenza dei problemi e adottare misure per affrontarli.
Gli importatori e i distributori dovranno verificare che i prodotti siano conformi alle norme dell’UE. Se le aziende non si conformano, le autorità di sorveglianza nazionali possono “proibire o limitare la messa a disposizione di quel prodotto sul mercato nazionale, ritirarlo da quel mercato o richiamarlo”, afferma il documento.
