Il mercato dell’Internet of Things (IoT) è sicuramente un ambito cruciale nello sviluppo della cybersecurity: nel 2030, infatti, si prevede che il numero di dispositivi IoT connessi in tutto il mondo passerà dai 9,7 miliardi del 2020 agli oltre 29 miliardi nel 2030 (fonte: Statista). Questi inevitabilmente dovranno essere il più sicuri possibile, per non diventare bersaglio dell’azione del cyber crime. Ecco perché la Commissione Europea ha presentato il Cyber Resilience Act, una nuova proposta di regolamento che definisce nuovi e più alti standard di sicurezza informatica dei dispositivi IoT immessi nel mercato europeo e dei servizi ad essi correlati, stabilendo obblighi più rigorosi per i loro produttori.
Il provvedimento si applica al software e all’hardware dei dispositivi connessi e alle relative soluzioni di elaborazione dati a distanza, qualora queste siano essenziali per il loro funzionamento. I prodotti inclusi (art 2) sono quelli con elementi digitali che prevedono (o possano farlo) una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete. L’efficacia delle norme si estende all’intero ciclo di vita dei prodotti, dalla progettazione e fino all’obsolescenza.
Il provvedimento non si applica agli oggetti connessi già soggetti a normative di settore (per esempio i dispositivi medici o quelli in uso nell’aviazione civile).
Cyber Resilience Act: da dove nasce?
L’esigenza di un intervento legislativo sulla sicurezza dei dispositivi IoT nasce dalla constatazione della crescita del mercato. L’interconnessione tra sempre più dispositivi IoT aumenterà il flusso dei dati scambiati, che vengono trattati anche da organizzazioni diverse da quelle operative all’interno dell’Unione Europea. Tra le conseguenze di questo assetto c’è anche l’incremento dei costi per contrastare il crimine informatico.
Il Cyber Resilience Act prevede che i produttori gestiscano il tema della sicurezza delle informazioni e delle vulnerabilità tecniche dei dispositivi applicando ai processi produttivi il principio di “privacy-by-design”.
Lo stesso provvedimento definisce i prodotti con elementi digitali, riferendoli a qualunque tipologia di prodotto software o hardware e alle relative soluzioni per l’elaborazione remota dei dati, compresi gli elementi correlati a tali prodotti (anche se vengono immessi sul mercato separatamente). La definizione è generica e viene specificata dagli allegati al testo di legge. Va precisato che il Cyber Resilience Act coinvolge anche gli importatori di prodotti digitali, obbligandoli a diffondere sul mercato elementi che soddisfino i requisiti essenziali per scongiurare i rischi di vulnerabilità.
Cosa sono tenuti a fare i produttori
I produttori sono tenuti a verificare e a dichiarare che i prodotti con elementi digitali dispongano di un marchio di conformità UE (previsto all’art. 20 del Cyber Resilience Act); per i distributori, invece, sussiste soltanto l’onere di mettere sul mercato esclusivamente i prodotti che risultino conformi alla normativa. Il provvedimento estende questi obblighi anche alle modifiche sostanziali che intervengono nel tempo (aggiornamenti, riparazioni del software, manutenzione fisica), stabilendo una valutazione di valutare se queste modifiche influiscano sulla conformità del prodotto alle norme.
I tempi di attuazione del Cyber Resilience Act
Per quanto riguarda i tempi di attuazione del Cyber Resilience Act, sono previste due fasi. La prima si dovrebbe svolgere entro 12 mesi dalla sua adozione, durante i quali i produttori e gli sviluppatori dovranno segnalare eventuali vulnerabilità e violazioni dei prodotti; nella seconda fase, della durata di 24 mesi, gli Stati membri e le imprese interessate sono tenute a rendere effettiva la compliance alle nuove regole.
Sulla segnalazione delle vulnerabilità aleggia ancora dell’incertezza. La proposta della Commissione Europea prevede che sia l’ENISA a raccogliere le segnalazioni di tutte le vulnerabilità attivamente sfruttate; tuttavia, si teme che il carico di lavoro dell’Agenzia potrebbe non essere sostenibile. Pertanto, la notifica delle vulnerabilità è stata affidata ai CSIRT nazionali, promuovendo la collaborazione tra le parti interessate. Se quindi un soggetto terzo segnala a un CSIRT una vulnerabilità attivamente sfruttata su un prodotto IoT, il CSIRT medesimo deve informare immediatamente il produttore interessato. Se è il produttore stesso a produrre gli aggiornamenti di sicurezza per risolvere le vulnerabilità, è tenuto anche a condividere il codice corrispondente con l’ente responsabile del componente.
Il Cyber Resilience Act rappresenta quindi un provvedimento prezioso e necessario, che dimostra la piena consapevolezza del legislatore europeo sull’importanza del patrimonio digitale rappresentato dai dati personali, pilastro su cui si fonda la strategia politica dell’Unione Europea: porre la sicurezza informatica e la protezione dei cittadini al centro della propria azione di governo.
A cura di Stefano Brusaferro, Sales & Marketing Director di HWG