Per cercare di arginare il fenomeno dilagante delle minacce informatiche e degli attacchi cyber sempre più massici, la Commissione Europea ha definito il nuovo Cyber Resilience Act, un regolamento che introduce requisiti obbligatori di cyber sicurezza per i prodotti che hanno componenti digitali, lungo tutto il loro ciclo di vita.
La proposta di legge prevede anche sanzioni per i produttori, che potranno arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente per un prodotto che non rispetti i requisiti essenziali di cybersecurity.
Prodotti digitali sicuri by design
“l’Unione Europea imporrà l’obbligo di commercializzazione solamente a quei prodotti tecnologici, software e hardware, connessi a un dispositivo o a una rete digitale, che siano digitalmente sicuri”, commenta Andrea Marchi, Information Security Officer di Rödl & Partner.
“E con sicuri si intende che siano progettati e realizzati in modo che abbiano un livello di sicurezza appropriato ai rischi cyber, senza vulnerabilità note al momento della vendita, protetti da connessioni illecite, che tutelino i dati raccolti nonché che prevedano l'eliminazione di vulnerabilità future attraverso aggiornamenti del software da parte del produttore”.
Le sanzioni per i produttori
Il nuovo regolamento europeo coinvolge direttamente i produttori. “Per essere considerato affidabile, un produttore deve rendere disponibili la lista dei componenti software dei suoi prodotti, nonché qualora ci sia l’evidenza di nuove vulnerabilità rendere disponibili velocemente patch gratuite e testare regolarmente i prodotti commercializzati che siano ancora sicuri”, sottolinea Marchi.
Queste norme di certificazione, inoltre, valgono anche per distributori e importatori che non possono commercializzare prodotti che non siano a norma e sono obbligati ad agire, anche ritirando dal mercato, il prodotto che non dovesse più rispettare le nuove normative.
Ogni Stato membro dell’UE dovrà affidare a un’authority nazionale il rispetto del regolamento, mentre i produttori dovranno comunicare le eventuali vulnerabilità riscontrate nei prodotti all’Agenzia Enisa (l’Agenzia europea per la cybersicurezza) che a sua volta li comunicherà al Csirt (Computer Security Incident Response Team) secondo la Direttiva NIS2.
“Per chi non dovesse rispettare le norme imposte dal regolamento, le sanzioni potranno arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente per un prodotto che non rispetti i requisiti essenziali di cyber security, per gli altri obblighi, invece, fino 10 milioni o al 2% del fatturato, mentre potranno arrivare fino a 5 milioni o 1% del fatturato per la comunicazione di informazioni non corrette, insufficienti o fraudolente agli organismi di controllo o vigilanza”, precisa l’esperto di Rödl & Partner.