Per ridurre al minimo i rischi di attacchi informatici, il capo dell’Enisa Juhan Lepassaar ha suggerito di concentrarsi sugli investimenti per combattere la carenza di lavoratori qualificati e di aumentare gli investimenti nei settori critici, citando in particolare la sanità.
“Con gli aggressori finanziati da enti statali che si concentrano maggiormente su attacchi ad alto impatto, mirando alle catene di approvvigionamento, le perdite legate ai ransomware potrebbero superare i 250 miliardi di euro entro il 2031”.
L’allarme viene lanciato da Juhan Lepassaar, direttore esecutivo dell’agenzia per la sicurezza informatica dell’Ue dell’ENISA, durante un’audizione parlamentare presso la commissione per l’industria, la ricerca e l’energia.
Juhan Lepassaar: “Le aziende non condividono le informazioni”
Un problema importante, secondo Lepassaar, è che in molti casi le organizzazioni colpite non segnalano gli attacchi alle autorità competenti. Nel 2021, gli Stati membri hanno segnalato zero casi di rilevanza transfrontaliera, anche se la maggior parte degli attacchi ha interessato più Paesi.
“Il motivo per cui non denunciano è che non ne sono consapevoli. Il motivo per cui non ne sono consapevoli è che non condividono le informazioni. Si tratta quindi di un circolo vizioso che dobbiamo in qualche modo spezzare a livello di Unione”, ha dichiarato Lepassaar.
Per ridurre al minimo i rischi di attacchi informatici, il capo dell’agenzia ha suggerito di concentrarsi sugli investimenti per combattere la carenza di lavoratori qualificati e di aumentare gli investimenti nei settori critici, citando in particolare la sanità.
Alla fine di ottobre, mese europeo della sicurezza informatica, l’ENISA pubblicherà il suo rapporto annuale sul panorama delle minacce nell’Ue per il 2022.
Le regole potrebbero ridurre il costo degli incidenti fino a 290 miliardi di euro
Il capo dell’ENISA ha inoltre sottolineato che l’Ue sta aumentando la sensibilizzazione nei confronti delle minacce e che sono in corso di elaborazione numerosi dossier legislativi e progetti volti a migliorare la sicurezza informatica.
Il 15 settembre la Commissione ha presentato il progetto di legge sulla resilienza informatica per affrontare le vulnerabilità dei dispositivi connessi attraverso un approccio “security-by-design”.
Le regole del Cyber Resilience Act potrebbero ridurre il costo degli incidenti informatici per le aziende fino a 290 miliardi di euro (289,8 miliardi di dollari) all’anno contro i costi di conformità di circa 29 miliardi di euro.
Si tratta di auto, giochi, elettrodomestici, smartphone. Tutti oggetti connessi che finora non avevano obblighi dal punto di vista della cybersicurezza. Ma che dopo l’entrata in vigore del regolamento, ci vorranno un paio d’anni, dovranno avere un marchio di garanzia in materia di cyber.
Dalla security by design alla certificazione EUCS: i piani dell’Ue
Tutti i prodotti che hanno una componente digitale saranno soggetti al regolamento sia che si tratti di hardware, sia che si tratti di software installato. Quindi anche pc portatili, gli oggetti ed elettrodomestici intelligenti di casa, gli smartphone, le apparecchiature di rete e ancora i microchip. Tutto, anche i sistemi operativi, i sistemi di trattamento testuale, le app mobili, le componenti software. Il frigo intelligente e tutti i dispositivi elettronici connessi, dai modem ai router.
Esclusi invece i software open source, che non sono in commercio. Escluse anche, come detto, le apparecchiature mediche e certe parti del settore automobilistico e aereo, che già dispongono di dispositivi di cybersicurezza regolamentati ed efficienti.
I prodotti che rispettano i criteri fissati otterranno un marchio di qualità CE. Per i trasgressori invece è prevista una multa fino a 15 milioni di euro o del 2,5% del giro d’affari se più elevato, oppure saranno ritirati. Un oggetto giudicato non conforme può non ottenere il via libera ad entrare sul mercato.
Inoltre, è in fase di avanzamento il sistema di certificazione della sicurezza informatica per i servizi cloud (EUCS), per il quale l’ENISA ha presentato quest’estate una bozza che ha suscitato una controversia in merito ai requisiti di sovranità sulla localizzazione dei dati europei e sull’immunità dalla legge straniera.
Mentre il mandato dell’ENISA è puramente tecnico, diversi Stati membri, tra cui Estonia, Paesi Bassi, Grecia – e ora anche la Germania – hanno chiesto una discussione politica e hanno criticato il fatto che i requisiti del sistema limiterebbero la concorrenza anche se le aziende non Ue potrebbero fornire livelli di sicurezza informatica uguali o addirittura superiori.
Nel frattempo, l’ENISA dovrebbe presentare una nuova bozza dello schema, sulla quale il Gruppo europeo di certificazione della cibersicurezza (ECCG), composto da rappresentanti delle autorità nazionali di certificazione della cibersicurezza, dovrà esprimere un parere. In questa sede, gli Stati membri avranno la possibilità di esprimere la propria opinione su questi requisiti.