“L’unico computer davvero sicuro è quello spento, incementato e sigillato in una stanza piombata con delle guardie armate – ma anche in questo caso avrei dei dubbi”. Così si esprimeva sulla vulnerabilità dei sistemi informatici già alla fine degli anni ‘90 il noto prof. Eugene Howard Spafford, riconosciuto come uno dei massimi esperti di sicurezza informatica.
Da allora gli attacchi informatici sono cresciuti, per quantità e sofisticazione, proporzionalmente al crescere del livello di digitalizzazione e interconnessione globale di sistemi e processi pubblici e privati (già nel 2025 si stimano oltre 25 miliardi di connessioni IoT).
Solo per citarne alcuni, si pensi a WannaCry il worm ransomware, che ha sfruttato una vulnerabilità di Windows infettando nel 2017 200.000 computer in 150 paesi, o l’attacco alla catena di fornitura Kaseya Vsa, che ha utilizzato il software di amministrazione di rete di Kaseya per attaccare oltre 1.000 aziende e costringere una catena di supermercati a chiudere tutti i suoi 500 negozi in Svezia.
Nel 2019 il numero di cyber attacchi riportati è di circa 700 milioni. Naturalmente, gli attacchi informatici non solo minano la fiducia di cittadini e operatori economici, ma rappresentano anche un costo per i settori pubblico e privato. Si stima che il costo annuale del cyber crimine nel 2020 si attesti in 5500 miliardi, quasi il doppio rispetto al 2015.
La cyber sicurezza, dunque, rappresenta e rappresenterà per la comunità internazionale una delle sfide più complesse dell’era digitale.
Ebbene, in ambito europeo il percorso verso la transizione al digitale e all’innovazione, come chiave di volta della ripresa economica, è stato impresso nell’ambito del Piano Next Generation Eu.
Questo processo, accelerato dalla pandemia, ha fatto emergere ancora più chiaramente tutti i rischi legati alla cyber sicurezza soprattutto in settori critici quali trasporti, energia, sanità o finanza che dipendono sempre di più dalle tecnologie digitali.
Per questo, l’Unione europea punta a raggiungere un elevato livello di sicurezza in tutti i Paesi europei attraverso innovazione, cooperazione e sostegno agli attori pubblici e privati.
La Commissione Ue e il Cyber resilience act
A tal fine, la Commissione Ue ha presentato la nuova strategia per la cyber sicurezza come componente essenziale della transizione digitale, del piano per la ripresa europea e della strategia per l’Unione della sicurezza.
Il 15 settembre ha, infatti, ufficializzato una nuova proposta legislativa per il Regolamento sui requisiti «orizzontali» di cyber sicurezza dei prodotti con elementi digitali (cosiddetto «Cyber resilience act»).
Cos’è il Cyber resilience act
Il Cyber resilience act è una novità assoluta per la normativa europea sui servizi digitali, poiché per la prima volta sono introdotte norme comuni sulla cyber sicurezza per i produttori e gli sviluppatori di hardware e software con elementi digitali.
Difatti, mentre la legislazione esistente si applica ad alcuni prodotti con elementi digitali, la maggior parte dei prodotti hardware e software non sono attualmente coperti da alcuna legislazione dell’Ue che affronta la loro sicurezza informatica.
Il Regolamento si propone di realizzare due principali obiettivi.
In primo luogo, si intende incrementare la cyber sicurezza dei prodotti con elementi digitali, imponendo che tali prodotti siano prodotti e immessi nel mercato con un adeguato livello di protezione contro gli attacchi informatici.
In secondo luogo, il Regolamento mira a fornire ad utenti e consumatori informazioni sul livello di cyber sicurezza dei prodotti che utilizzano, così da permettergli di effettuare scelte consapevoli.
Le novità del Cyber resilience act
Ecco le principali novità della proposta legislativa.
L’ambito di applicazione copre prodotti con elementi digitali per il cui utilizzo è prevista una connessione diretta o indiretta di dati ad un altro dispositivo o alla rete fissa o mobile. Ai sensi del Regolamento, per prodotti con elementi digitali si intendono tutti i prodotti software e hardware e le loro soluzioni remote di trattamento dei dati, inclusi i loro componenti software e hardware che sono immessi nel mercato separatamente.
Per quanto riguarda i requisiti di cyber sicurezza, il Regolamento prevede che i prodotti con elementi digitali possono essere messi in commercio solo se, da un lato, rispettano i requisiti essenziali di sicurezza elencati nella prima sezione dell’Allegato I al Regolamento e, dall’altro, i processi seguiti per la loro fabbricazione sono conformi ai requisiti essenziali contenuti nella seconda sezione dell’Allegato I. Pertanto, il Regolamento richiede non solo che i prodotti rispettino determinate caratteristiche tecniche, ma anche che i relativi processi di fabbricazione si svolgano con modalità tali da permettere di identificare con precisione le vulnerabilità dei prodotti e le soluzioni tecniche da implementare per attenuarle.
Cosa succede in caso di prodotti con elementi digitali definiti critici»?
Norme parzialmente differenti sono previste per i prodotti con elementi digitali definiti «critici», elencati nell’Allegato III al Regolamento. Questi prodotti sono stati identificati come critici sulla base dei più alti rischi di cyber sicurezza che presentano e sono suddivisi in due classi, con la seconda classe contenente i prodotti a maggior rischio.
La differenza di disciplina, tra i prodotti critici e gli altri prodotti disciplinati dal Regolamento, risiede nelle modalità con cui il produttore deve certificare la loro conformità ai requisiti di cyber sicurezza del Regolamento.
Per i prodotti non critici è sufficiente un’autovalutazione svolta dal produttore stesso.
Per i prodotti critici, dipende dalla loro classe di appartenenza. Per i prodotti di classe I, se la conformità non è dimostrata con standard armonizzati, specificazioni comuni o schemi di certificazione europei, la valutazione di conformità deve essere svolta da una parte terza. Per i prodotti di classe II, è sempre prevista la valutazione di conformità di una parte terza.
Gli obblighi informativi
Per quanto riguarda gli obblighi informativi, i produttori devono assicurare che i prodotti siano sempre accompagnati dalle informazioni di cui all’Allegato II al Regolamento. La lista dell’Allegato II contiene informazioni sul produttore, sulle caratteristiche tecniche dei prodotti, sugli specifici rischi di cyber sicurezza legati ai prodotti, e sull’assistenza tecnica offerta dal produttore in relazione alla sicurezza dei prodotti. Queste informazioni devono essere fornite in un linguaggio chiaro e facilmente comprensibile per gli utenti. Gli stessi obblighi informativi sono previsti per gli importatori di prodotti con elementi digitali a cui è apposto il nome o il marchio di una persona fisica o giuridica stabilita fuori dall’Unione.
Il ruolo di Enisa
Un’altra importante novità riguarda la segnalazione all’Agenzia dell’Unione europea per la cyber sicurezza (Enisa) di incidenti con i prodotti. Il Regolamento richiede ai produttori di notificare ad Enisa eventuali attacchi informatici, o altri incidenti che possano avere un impatto per la sicurezza informatica del prodotto, entro un termine di 24 ore dal momento in cui ne sono venuti a conoscenza. La notifica deve anche indicare i provvedimenti intrapresi per mitigare i rischi posti dall’incidente.
Le autorità nazionali saranno responsabili per l’attuazione del Regolamento e potranno imporre sanzioni, richiedere agli operatori di rimediare alla violazione, proibire o limitare il commercio di un prodotto, o ordinare che il prodotto sia ritirato dal mercato.
Il Cyber resilience act introdurrà, se approvato, un nuovo corpo di norme a cui dovranno conformarsi gli operatori del mercato. Non si tratta di un’iniziativa isolata, ma ben coordinata con le altre proposte legislative della Commissione sulla sicurezza dei sistemi informatici. Il nuovo Regolamento è stato lodato per il suo approccio rispettoso del principio di proporzionalità, che distingue tra prodotti con bassi ed alti rischi di cyber sicurezza. Per quanto riguarda i prossimi passi, la proposta sarà esaminata dal Parlamento europeo e dal Consiglio, e resta da vedere se saranno apportate significative modifiche.
(Articolo scritto in collaborazione con Andrea Palumbo, associate De Berti Jacchia Franchini Forlani)
