Scenario
Secondo Statista, il costo stimato della criminalità informatica nel mercato della cybersecurity è in crescita da undici anni e tra il 2023 e il 2028 raggiungerà i 13,82 trilioni di dollari.
Il rapporto annuale Censis del 2022, con riferimento all’Italia, evidenzia una crescita notevole degli attacchi informatici che si calcola attorno al +138% rispetto all’anno precedente.
Questi dati sono sufficienti a mettere in evidenza come sia sempre più necessario intervenire sul tema della cyber sicurezza.
In particolare, la Commissione Europea fa notare che, nel mondo interconnesso odierno, un singolo incidente di cybersicurezza relativo a un prodotto può mettere a rischio non solo un’intera organizzazione, ma anche l’intera catena di approvvigionamento. Questi incidenti possono diffondersi rapidamente, oltrepassando le frontiere dei mercati interni in pochi minuti e causando gravi perturbazioni nelle attività economiche e sociali.
La diffusione sempre più ampia di prodotti hardware e software connessi a Internet, sempre secondo la Commissione, introduce due problemi principali, che generano costi sia per gli utenti che per la società in generale.
- Primo, esiste un livello generale di cybersicurezza piuttosto basso, come evidenziato dalle numerose vulnerabilità e dalla fornitura inadeguata di aggiornamenti di sicurezza.
- Secondo, gli utenti spesso non comprendono a sufficienza le informazioni di sicurezza, né hanno facile accesso a queste informazioni. Questo impedisce loro di scegliere prodotti con adeguate caratteristiche o di utilizzarli in maniera sicura.
Per rafforzare le attuali norme in tema di cyber sicurezza in modo da garantire che siano progettati e commercializzati prodotti più sicuri, anche alla luce della sempre più ampia diffusione di prodotti basati sull’Intelligenza Artificiale, nasce la proposta di regolamento europeo che prende il nome di Cyber Resilience Act. Ma di cosa si tratta?
Cyber Resilience Act: che cos’è
Proposto dalla Commissione Europea nel settembre 2022, il Cyber Resilience Act è un regolamento che nasce con lo scopo di garantire che ogni prodotto dotato di connessione a Internet sia al sicuro da attacchi informatici noti al momento della produzione e che siano possibili aggiornamenti in grado di rispondere a successive minacce informatiche.
L’attuale legislazione copre solo parte dei prodotti smart, mentre lascia senza tutela molti degli hardware e dei software che utilizziamo quotidianamente. Inoltre, ad oggi non è stato affrontato il tema del software “non incorporato” (software che non è integrato o pre-installato in un dispositivo hardware specifico), oggetto sempre più spesso di attacchi che comportano elevati costi di risoluzione.
Gli obiettivi del Cyber Resilience Act
Il Cyber Resilience Act si pone due obiettivi principali:
- creare le condizioni per uno sviluppo di prodotti che siano sicuri prevedendo un basso livello di vulnerabilità quando vengono messi in commercio e una garanzia di intervento a supporto da parte dei produttori durante tutto il ciclo di vita;
- alfabetizzare gli utenti sul tema della sicurezza informatica, in modo da renderli più consapevoli nella scelta di hardware e software.
A questi due macro-obiettivi, se ne aggiungono quattro specifici:
- garantire che i produttori prestino attenzione al tema della sicurezza a partire dalla fase di progettazione e durante tutto il ciclo di vita dei prodotti;
- creare un quadro chiaro sul tema della cyber sicurezza, per facilitare i produttori in ambito di conformità;
- incrementare il livello di trasparenza sulla sicurezza dei prodotti;
- consentire ad aziende e utenti di utilizzare i prodotti in modo sicuro.
Ambito di applicazione
Il Cyber Resilience Act determina ed indica i requisiti minimi di cybersecurity per i prodotti digitali e prevede l’obbligo di produrre una valutazione di conformità che ne attesti il rispetto.
Nell’articolo 2 viene specificato che i prodotti digitali sono “tutti i prodotti con elementi digitali il cui uso previsto o ragionevolmente prevedibile includa una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete”.
In particolare, i prodotti sono classificati in due gruppi:
- prodotti ad alto rischio, quando il grado di vulnerabilità e criticità informatica è alto, come ad esempio sistemi operativi, hardware, smartcard e microprocessori;
- prodotti a rischio inferiore, che presentano potenziali criticità inferiori al gruppo precedente, come ad esempio gestori di password, gestori e configuratori di rete, software di accesso e condivisione da remoto.
Il regolamento si applica a diverse categorie di soggetti, individuate in maniera piuttosto ampia. Tra questi, particolare rilevanza hanno il fabbricante, cui spetta l’obbligo di produrre la valutazione di conformità e i distributori che hanno l’onere di immettere in commercio solo prodotti conformi.
A che punto siamo?
Lo scorso 19 luglio, la Commissione per l’Industria del Parlamento Europeo ha dato il via libera al Cyber Resilience Act con alcune modifiche.
Rimangono saldi alcuni punti cardine:
- le regole sulla responsabilità dei produttori che devono garantire la conformità dei prodotti e che per questo sono obbligati a fare valutazioni del rischio di attacchi cyber, a dichiarare la conformità dei propri prodotti e a collaborare con le autorità in caso di attacco informatico;
- i requisiti fondamentali per i processi di gestione della vulnerabilità che valgono per i produttori e per gli attori che mettono in commercio i prodotti (importatori, distributori, ecc.);
- le misure finalizzare a rendere il tema della cyber sicurezza più trasparente per i consumatori.
Rispetto alla prima proposta, sono state effettuate alcune modifiche e integrazioni, in particolare:
- una dettagliata analisi sull’ambito di applicazione, sull’elenco quindi dei prodotti soggetti a questo regolamento;
- l’obbligo delle segnalazioni di vulnerabilità alle autorità competenti a livello di singola nazione, e non all’agenzia europea per la sicurezza informatica come ipotizzato inizialmente;
- definizione degli elementi utili a determinare la durata del ciclo di vita dei prodotti;
- misure di conformità semplificata a sostegno delle piccole imprese.
Grazie all’accordo raggiunto a luglio 2023, il Consiglio ha ottenuto il mandato per iniziare le negoziazioni con il Parlamento Europeo per arrivare a un testo unico e condiviso.
La strada da percorrere per arrivare al testo unico è ancora lunga e la negoziazione in Parlamento è appena iniziata. Sicuramente ci sono alcuni punti di attenzione che andranno approfonditi:
- la possibilità che le certificazioni di conformità siano effettuate da enti terzi rispetto al produttore e al distributore;
- l’impatto che questo regolamento può avere sul software open source.
Le critiche da parte della comunità open source
In merito all’ultimo punto indicato sopra, la comunità open source, in rappresentanza di oltre una dozzina di associazioni e organizzazioni, ha inviato lo scorso aprile una lettera al Parlamento Europeo in cui evidenzia i potenziali effetti sulla produzione di software open source e sottolinea di non essere stata coinvolta a sufficienza nelle discussioni inerenti il Cyber Resilience Act.
In particolare, la comunità ha espresso preoccupazioni per il fatto che l’applicazione delle disposizioni del Cyber Resilience Act a chiunque sviluppi software potrebbe disincentivare la partecipazione a progetti open source. Si teme che tale situazione possa rappresentare un ostacolo all’innovazione, in quanto gli sviluppatori potrebbero essere meno propensi a contribuire.
La versione approvata a luglio 2023 ha messo una toppa a questo problema, identificando come oggetto delle regole solo i prodotti che vengono immessi sul mercato europeo per generare guadagni, soluzione apprezzata dalla comunità ma che lascia ancora troppo adito a interpretazioni distinte.
Continua ad approfondire, leggi altri articoli Skilla!