La Commissione europea ha presentato una proposta di legge sulla cyber resilienza che mira a proteggere consumatori e aziende da prodotti con caratteristiche di sicurezza inadeguate. Un tema quanto mai caldo in un periodo dove al cybercrimine si associano le minacce informatiche provenienti da attori di governi ostili sempre più agguerriti, letteralmente.

Se l’iniziativa venisse confermata da Parlamento e Consiglio, sarebbe la prima norma di questo tipo a essere introdotta sul mercato Europeo, e porterebbe ogni azienda che commercializza prodotti informatici ed elettronici nell’Unione a garantire una certificazione di sicurezza su ogni dispositivo venduto, un po’ come accade con il marchio CE per ogni materia prima o prodotto a cui è associato un rischio (dai giocattoli ai cosmetici, alle sostanze chimiche e ai materiali elettrici e da costruzione).

Cyber Resilience Act: contesto e norme

Preannunciata dalla presidente Ursula von der Leyen nel suo discorso sullo stato dell’Unione del 14 settembre, la norma si innesta sulla strategia dell’UE per la cibersicurezza del 2020, e integreranno il quadro dell’UE in materia di cibersicurezza composto dalla direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS), la direttiva relativa a misure per un livello comune cibersicurezza nell’Unione (direttiva NIS 2), recentemente approvata dal Parlamento europeo e dal Consiglio, e il regolamento dell’UE sulla cibersicurezza.

La presidente della Commissione Europea Ursula von der Leyen durante il discorso sullo Stato dell’Unione Europea (credit: Commissione europea)

La presidente della Commissione Europea Ursula von der Leyen durante il discorso sullo Stato dell’Unione Europea (credit: Commissione europea)

Il Cyber Resilience Act contiene norme su diversi aspetti:

  1. a) norme per l’immissione sul mercato di prodotti con elementi digitali al fine di garantirne la cibersicurezza;
  2. b) requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti;
  3. c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I fabbricanti dovranno inoltre segnalare le vulnerabilità attivamente sfruttate e gli incidenti;
  4. d) norme in materia di vigilanza del mercato e applicazione.

Un impatto potenzialmente dirompente sul mercato IoT

Se tutto sommato i primi due punti comportano vincoli a cui è relativamente facile sottostare in fase di progettazione, il terzo punto – quello relativo alla gestione del ciclo di vita e aggiornamento del prodotto – rischia di avere ripercussioni importanti per i soggetti europei che importano e commercializzano dispositivi IoT per il mercato consumer e small business.

Tra lampadine, termostati, interruttori smart, videocamere di sorveglianza, giocattoli e dispositivi audio/video, sono milioni i dispositivi a basso costo prodotti in Cina ed estremo Oriente e venduti ogni anno sul territorio europeo. Accanto ad aziende che stanno dimostrando una certa stabilità sul mercato e sensibilità nel rilascio di patch di sicurezza, ce ne sono moltissime che nascono e muoiono nel giro di pochi anni, se non addirittura mesi. Alcuni marchi nascono per commercializzare un singolo prodotto, talvolta addirittura contraffatto.

In tutti questi casi, la garanzia sulla rispondenza ai requisiti minimi di sicurezza e il rilascio di patch e aggiornamenti ricadrebbe su chi li commercializza in Europa. Un compito estremamente gravoso per importatori e distributori che potrebbero non avere né le risorse, né il know how adeguato.

Non bisogna però credere che il problema riguardi solo i fornitori orientali. Negli scorsi anni, le lampade smart Hue prodotte dall’olandesissima Philips sono state molto discusse per la presenza di vulnerabilità a lungo non risolte nonostante il rilascio di patch correttive.

Che accadrà ora?

Se arriverà in questa forma alla fine dell’iter legistlativo, dopo l’approvazione del Cyber Resilience Act gli operatori economici avranno due anni di tempo per adeguarsi, ma l’obbligo per i costruttori di comunicare pubblicamente le vulnerabilità attivamente sfruttate e gli incidenti di sicurezza scatterà già dopo un anno dall’entrata in vigore.