L’atto stabilisce le linee guida per i produttori che vogliono commercializzare i loro prodotti in Ue, con un elenco di requisiti sulla progettazione, lo sviluppo e la produzione. Più, questo il fulcro del pacchetto, quelli relativi ai processi di gestione delle vulnerabilità. Bruxelles vuole imporre alle imprese di settore di segnalare i “buchi” software sfruttati da malintenzionati e gli incidenti informatici
“La responsabilità sarà di chi immette i prodotti sul mercato”. Con il Cyber Resilience Act, il nuovo pacchetto-legge proposto dalla Commissione europea giovedì mattina, Bruxelles intende alzare il livello della sicurezza informatica di tutti i dispositivi connessi alla rete – rendendo i produttori responsabili dei loro prodotti per la durata del loro ciclo di vita.
“Così come possiamo fidarci di un giocattolo o di un frigorifero con il marchio CE, la legge sulla resilienza informatica garantirà che gli oggetti e i software connessi che acquistiamo siano conformi a solide garanzie di sicurezza informatica”, ha spiegato Margrethe Vestager, vicepresidente e commissaria alla concorrenza della Commissione.
L’atto stabilisce le linee guida per i produttori che vogliono commercializzare i loro prodotti in Ue, con un elenco di requisiti sulla progettazione, lo sviluppo e la produzione, più – questo il fulcro del pacchetto – quelli relativi ai processi di gestione delle vulnerabilità. Bruxelles vuole imporre ai produttori di segnalare i “buchi” software sfruttati da malintenzionati e gli incidenti informatici, e spingerli a fornire aggiornamenti e supporto per la sicurezza per risolvere le criticità identificate durante l’intero ciclo di vita del dispositivo.
La legge riguarderà i “prodotti con elementi digitali”, ossia tutti i prodotti che sono collegati direttamente o indirettamente a un altro dispositivo o rete. È prevista anche un’autorità, nazionale o terza, per i “prodotti critici” – quelli che presentano un rischio significativo per la sicurezza informatica –, mentre per il restante 90% sarà sufficiente un’autovalutazione.
Si vuole anche “garantire un quadro coerente di cybersecurity, facilitando la conformità dei produttori di hardware e software”, spiega il sito della Commissione. Le multe in caso di inadempienza possono arrivare a 15 milioni di euro o al 2,5% del fatturato mondiale, se superiore.
Con la transizione digitale in corso, e gli attacchi informatici in aumento, l’Ue intende rendere più rigorosi i protocolli di sicurezza. Oggi la maggior parte dei prodotti hardware e software non p soggetta ad alcun obbligo relativo alla sicurezza. La criticità è già evidente: la Commissione ha evidenziato che in tutto il mondo un’organizzazione diventa vittima di un attacco ransomware ogni 11 secondi, e che la criminalità informatica ha provocato circa 5,5 mila miliardi di euro di danni nel solo 2021.
“Quando si parla di sicurezza informatica, l’Europa è forte quanto il suo anello più debole, che si tratti di uno Stato membro vulnerabile o di un prodotto non sicuro lungo la catena di approvvigionamento”, ha detto il commissario al mercato interno Thierry Breton. “Computer, telefoni, elettrodomestici, dispositivi di assistenza virtuale, automobili, giocattoli… ognuno di questi centinaia di milioni di prodotti connessi è un potenziale punto di ingresso per un attacco informatico.”
Dopo aver regolamentato servizi software e mercati digitali con il Digital Services Act e il Digital Markets Act – che entreranno in vigore nel 2023 –, il passaggio ai dispositivi fisici faceva parte della progressione naturale di questa spinta regolatoria. Ora si apre il dialogo con il Parlamento e il Consiglio dell’Ue – composto dagli esecutivi dei Ventisette Stati membri – per definire i dettagli del pacchetto-legge, che finora è stato accolto con calore.
Tuttavia non mancano le perplessità, concretizzate nei commenti fatti a Forbes dall’eurodeputato tedesco, nonché attivista digitale, Patrick Breyer. “Da un lato, manca un chiaro obbligo per i produttori commerciali di correggere immediatamente le lacune di sicurezza note […] Dall’altro, lo sviluppo volontario del software libero è minacciato perché si vogliono imporre gli stessi requisiti ai produttori commerciali e ai volontari. Questa proposta è immatura e deve essere rivista”.
Immagine: © European Union, 2022
