Le regole potrebbero ridurre il costo degli incidenti informatici per le aziende fino a 290 miliardi di euro (289,8 miliardi di dollari) all’anno contro i costi di conformità di circa 29 miliardi di euro.
Bruxelles ha presentato il nuovo regolamento per la cybersicurezza per gli oggetti connessi dell’Internet of Things (IoT) e per i software in commercio. Il Cyber Resilience Act prevede, in sostanza, la cybersecurity by default negli oggetti connessi e software che compreremo.
La nuova normativa, proposta dal commissario del Mercato Interno Thierry Breton, vuole porre dei “criteri essenziali” a produttori e distributori in materia di cybersicurezza di tutti gli oggetti connessi, IoT (hardware) o software. Sarà quindi vietato immettere sul mercato degli oggetti che comportano delle vulnerabilità conosciute. Gli oggetti che no rispetteranno queste norme saranno passibili di ammenda o potranno essere ritirati dal mercato.
Le regole potrebbero ridurre il costo degli incidenti fino a 290 miliardi di euro
Le regole potrebbero ridurre il costo degli incidenti informatici per le aziende fino a 290 miliardi di euro (289,8 miliardi di dollari) all’anno contro i costi di conformità di circa 29 miliardi di euro.
Si tratta di auto, giochi, elettrodomestici, smartphone. Tutti oggetti connessi che finora non avevano obblighi dal punto di vista della cybersicurezza. Ma che dopo l’entrata in vigore del regolamento, ci vorranno un paio d’anni, dovranno avere un marchio di garanzia in materia di cyber.
Tutti i prodotti che hanno una componente digitale saranno soggetti al regolamento sia che si tratti di hardware, sia che si tratti di software installato. Quindi anche pc portatili, gli oggetti ed elettrodomestici intelligenti di casa, gli smartphone, le apparecchiature di rete e ancora i microchip. Tutto, anche i sistemi operativi, i sistemi di trattamento testuale, le app mobili, le componenti software. Il frigo intelligente e tutti i dispositivi elettronici connessi, dai modem ai router.
Esclusi invece i software open source, che non sono in commercio. Escluse anche, come detto, le apparecchiature mediche e certe parti del settore automobilistico e aereo, che già dispongono di dispositivi di cybersicurezza regolamentati ed efficienti.
I prodotti che rispettano i criteri fissati otterranno un marchio di qualità CE. Per i trasgressori invece è prevista una multa fino a 15 milioni di euro o del 2,5% del giro d’affari se più elevato, oppure saranno ritirati. Un oggetto giudicato non conforme può non ottenere il via libera ad entrare sul mercato.
La consultazione pubblica già avvenuta ha mostrato che il 50% delle aziende partecipanti era già conforme alle richieste.
Una normativa che completerà la NIS
Garantirà che i prodotti digitali, wireless, cablati o software, siano più sicuri per i consumatori nell’Ue. I produttori saranno obbligati a fornire supporto per la sicurezza e aggiornamenti software, garantendo ai consumatori informazioni sulla sicurezza informatica di ciò che acquistano.
“Meritiamo di sentirci al sicuro con i prodotti che acquistiamo nel mercato unico – afferma la vicepresidente esecutiva della Commissione Margrethe Vestager – Il Cyber Resilience Act garantirà che gli oggetti e i software connessi che acquistiamo rispettino solide misure di sicurezza informatica. Metterà la responsabilità al suo posto, con coloro che immettono i prodotti sul mercato”.
Le misure proposte dall’esecutivo europeo stabiliranno sui prodotti con elementi digitali: criteri per l’immissione sul mercato, per garantirne la sicurezza informatica; massima estensione della superficie protetta; proteggere gli oggetti da tutti gli accessi indesiderati; requisiti essenziali per progettazione, sviluppo e produzione, e obblighi per gli operatori economici; requisiti essenziali per i processi di gestione della vulnerabilità per i produttori a garanzia della cybersicurezza dei prodotti durante l’intero ciclo di vita dei prodotti, con obblighi per gli operatori economici; norme sulla vigilanza del mercato. Protezione dei dati sensibili, aggiornamenti dei sistemi dei livelli di sicurezza.
Questa normativa completa la direttiva NIS, destinata alle infrastrutture critiche ma non agli oggetti appunto. Ci saranno eccezioni su alcuni prodotti come dispositivi medici, aviazione o automobili dove sono già previsti dei requisiti di sicurezza informatica. Una volta adottata la legge, gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarsi.
Notifiche degli incidenti all’ENISA entro 24 ore
I produttori dovranno valutare i rischi per la sicurezza informatica dei loro prodotti e adottare procedure adeguate per risolvere i problemi. Le società dovranno notificare gli incidenti all’agenzia dell’UE per la sicurezza informatica ENISA entro 24 ore una volta che saranno a conoscenza dei problemi e adottare misure per affrontarli.
Gli importatori e i distributori dovranno verificare che i prodotti siano conformi alle norme dell’UE. Se le aziende non si conformano, le autorità di sorveglianza nazionali possono “proibire o limitare la messa a disposizione di quel prodotto sul mercato nazionale, ritirarlo da quel mercato o richiamarlo”, afferma il documento.
