I CEO di Siemens, Ericsson, Bosch, Schneider Electric, Nokia ed ESET, in collaborazione con DigitalEurope, hanno espresso preoccupazioni riguardo al Cyber Resilience Act. In una lettera inviata all’Europa mettono in guardia sulle interruzioni delle catene di approvvigionamento simili a quelle causate dalla pandemia da Covid-19 e propongono modifiche chiave. Scarica la lettera.
I produttori di elettronica Siemens, Ericsson, Bosch, Schneider Electric, Nokia ed ESET, insieme al gruppo industriale DigitalEurope, hanno annunciato che le nuove regole proposte dall’UE, che riguardano i rischi di cybersicurezza dei dispositivi intelligenti, potrebbero interrompere le catene di approvvigionamento su una scala simile a quella della pandemia.
Proposto dalla Commissione Europea lo scorso anno, il Cyber Resilience Act richiede ai produttori di valutare i rischi di cybersecurity dei loro prodotti e di adottare misure per risolvere i problemi per un periodo di cinque anni o per tutta la durata di vita prevista dei prodotti.
Le regole proposte si applicherebbero anche agli importatori e ai distributori di dispositivi connessi a Internet. Le preoccupazioni per la sicurezza informatica sono aumentate a seguito di una serie di episodi di alto profilo di hacker che hanno danneggiato aziende e chiesto enormi riscatti.
Le aziende hanno detto che le interruzioni potrebbero colpire milioni di prodotti, dalle lavatrici ai giocattoli, ai prodotti di cybersecurity, così come i componenti vitali per le pompe di calore, le macchine di raffreddamento e la produzione high-tech. I ritardi potrebbero essere dovuti alla carenza di esperti indipendenti per condurre le valutazioni e alla burocrazia.
“Rischiamo di creare un blocco in stile Covid nelle catene di approvvigionamento europee, interrompendo il mercato unico e danneggiando la nostra competitività”, hanno affermato le aziende.
Le aziende hanno affermato che l’elenco dei prodotti ad alto rischio soggetti alla regola dovrebbe essere notevolmente ridimensionato e che i produttori dovrebbero essere autorizzati a correggere i rischi di vulnerabilità noti, anziché effettuare prima delle valutazioni e chiedono inoltre una maggiore flessibilità per l’autovalutazione dei rischi di cybersecurity.
La lettera precede i negoziati dell’8 novembre tra i Paesi dell’UE e i legislatori europei per definire i dettagli del progetto di legge prima che possa essere adottato.
La lettera contro le nuove regole del Cyber Resilience AcT
“Caro Vicepresidente Schinas, Vicepresidente Věra Jourová, al Commissario per il Mercato Unico Thierry Breton, al Segretario di Stato Carme Artigas, Onorevole Nicola Danti.
A nome di DIGITALEUROPE, vi scriviamo per esprimere le nostre preoccupazioni riguardo alle attuali negoziazioni per un Cyber Resilience Act e offrire le nostre soluzioni mentre entriamo in questa cruciale fase finale delle trattative. Come sapete, siamo da tempo favorevoli a regole orizzontali sulla cybersecurity per i prodotti connessi anziché a una serie di regole diverse per settore. Tuttavia, la legge così com’è rischia di creare ostacoli che interromperanno il mercato unico, influenzando milioni di prodotti – dalle lavatrici ai giocattoli, dai prodotti di sicurezza informatica ai componenti vitali per pompe di calore, macchine refrigeranti e produzione ad alta tecnologia.
Date l’ampio campo di applicazione del Cyber Resilience Act e la mancanza di capacità, ci troviamo di fronte a una situazione in cui i prodotti sicuri non possono essere immessi sul mercato e saranno bloccati per i clienti dell’UE. Attualmente l’Europa non può offrire così tante valutazioni di conformità, creando ostacoli poiché i produttori devono dimostrare la conformità attraverso enti di certificazione terzi per i prodotti elencati nell’Allegato III. Ciò avrà un’enorme influenza sulle catene di approvvigionamento più ampie, in quanto molti di questi componenti sono input cruciali per l’economia europea e la transizione verde. Rischiamo di creare un blocco simile a quello causato dalla COVID nelle catene di approvvigionamento europee, interrompendo il mercato unico e danneggiando la nostra competitività.
Per risolvere questo problema, proponiamo le seguenti modifiche:
- Massimizzare la possibilità di autovalutazione, come abbiamo visto nell’AI Act.
- Un periodo di attuazione di almeno 48 mesi per consentire lo sviluppo di standard armonizzati.
- Ridurre significativamente l’elenco dei prodotti ad alto rischio nell’Allegato III, come nella posizione del Consiglio.
Un secondo gruppo di preoccupazioni riguarda la segnalazione. A giugno, insieme a un ampio gruppo di associazioni industriali, abbiamo lanciato l’allarme sui pericoli della segnalazione di vulnerabilità non corrette, preoccupazioni che sono state espresse anche dalla società civile ed esperti di sicurezza. Inoltre, siamo preoccupati che il volume delle segnalazioni sia troppo elevato per le autorità pubbliche da gestire, dato il divario di 300.000 esperti di cybersecurity in Europa.
Se i co-legislatori insistono nel mantenere le vulnerabilità attivamente sfruttate nell’ambito di applicazione, chiediamo alcune salvaguardie chiave:
- Ai produttori dovrebbe essere consentito fare una valutazione per privilegiare l’applicazione delle patch rispetto alla segnalazione immediata sulla base di giustificate ragioni legate alla cybersecurity. Ad esempio, se la segnalazione della vulnerabilità non corretta rischia di diffondere software maligno
- Inoltre, non tutti i casi sono uguali. Nella pratica, ciò potrebbe essere riflessa modificando l’Art. 11(1) proposto dal Consiglio – si prega di consultare la nostra proposta in allegato.
- Come nel NIS2, la segnalazione dovrebbe limitarsi a incidenti e vulnerabilità che rappresentano un significativo rischio per la cybersecurity. Per evitare duplicazioni di sforzi, chiediamo anche il rispetto del principio “un incidente-una segnalazione”.
- Inoltre, sosteniamo la definizione di “vulnerabilità attivamente sfruttata” proposta dal Parlamento, secondo cui deve esserci una prova affidabile di un hack riuscito, piuttosto che solo un tentativo, e la precisazione che le vulnerabilità scoperte senza intenti maliziosi non dovrebbero essere soggette a notifiche obbligatorie.
Che cosa propone la legge europea sulla cyber-resilienza
La proposta della Commissione relativa a una nuova legge sulla resilienza informatica (CRA) mira a salvaguardare i consumatori e le imprese che acquistano o utilizzano prodotti o software con una componente digitale. La legge vedrebbe caratteristiche di sicurezza inadeguate diventare un ricordo del passato con l’introduzione di requisiti di cibersicurezza obbligatori per i produttori e i rivenditori di tali prodotti, con questa protezione che si estende per tutto il ciclo di vita del prodotto.
Il problema affrontato dalla proposta di regolamento è duplice. Il primo è il livello inadeguato di sicurezza informatica inerente a molti prodotti, o gli aggiornamenti di sicurezza inadeguati di tali prodotti e software. La seconda è l’incapacità dei consumatori e delle imprese di determinare attualmente quali prodotti sono cibersicuri o di configurarli in modo da garantire che la loro sicurezza informatica sia protetta.
La proposta di legge sulla resilienza informatica garantirebbe:
- norme armonizzate per l’immissione sul mercato di prodotti o software dotati di una componente digitale;
- un quadro di requisiti di cibersicurezza che disciplinano la pianificazione, la progettazione, lo sviluppo e la manutenzione di tali prodotti, con obblighi da rispettare in ogni fase della catena del valore;
- l’obbligo di fornire il dovere di diligenza per l’intero ciclo di vita di tali prodotti.
Con l’entrata in vigore del regolamento proposto, i software e i prodotti connessi a Internet recano la marcatura CE per indicare che sono conformi alle nuove norme. Richiedendo ai produttori e ai rivenditori di dare priorità alla sicurezza informatica, i clienti e le imprese avrebbero il potere di fare scelte meglio informate, fiduciosi delle credenziali di sicurezza informatica dei prodotti con marchio CE.
La proposta di regolamento annunciata nella strategia dell’UE per la cibersicurezza 2020 integrerebbe la legislazione esistente, in particolare il quadro NIS2. Si applicherebbe a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o rete, ad eccezione di esclusioni specifiche quali software o servizi open source già disciplinati dalle norme esistenti, come nel caso dei dispositivi medici, dell’aviazione e delle automobili.
Il Parlamento europeo e il Consiglio deliberano ora sulla proposta di legge sulla resilienza informatica. All’entrata in vigore, le parti interessate avranno 24 mesi di tempo per adattarsi ai nuovi requisiti, ad eccezione di un periodo di tolleranza di 12 mesi più limitato in relazione all’obbligo di comunicazione per i fabbricanti.