Il cyber resilience act proposto dalla Commissione e in discussione al Parlamento Europeo ricorda una scena di inseguimento tra automobili in un film d’azione. L’inseguito svolta improvvisamente a tutta velocità compiendo una manovra ad angolo retto in controsterzo e si infila in un percorso che neanche vediamo, attualmente, noi seduti nella vettura degli inseguitori.
Stavamo giusto parlando di certificazioni di cyber security per i prodotti, ne parliamo da anni e seguiamo con grande attenzione l’evolversi degli standard europei, numerosi, complessi e solo parzialmente arrivati alla nascita. Seguiamo anche con grande attenzione gli standard italiani, legati al CVCN che tutti sappiamo sta lavorando per rendere pubbliche le regole con le quali si potrà procedere ad acquisti di tecnologia ICT per servizi interni al Perimetro di sicurezza nazionale cibernetica e per servizi inerenti a cloud e 5G.
Certificazioni cybersecurity, il nuovo decreto ACN: ecco l’impatto sul sistema Paese
Anzi, dobbiamo dire che molte grandi e piccole aziende sono “alla mossa”, come nel palio di Siena, in attesa delle linee guida di certificazione che consentiranno di effettuare acquisti duraturi e “impiegabili” in ambito ICT per i prossimi anni. Questo è un tema prettamente italiano, certamente, stante il momento normativo di attesa degli standard del CVCN.
Tuttavia, adesso tutti i partecipanti a questo grande “momentum” in stile paliesco si sono voltati a gomito, attratti dalla svolta in corsa della Commissione Europea verso la dichiarazione di conformità che troviamo nel cyber resilience act.
La dichiarazione di conformità del cyber resilience act
Dunque? Proviamo a riassumere. Tutti prodotti che andranno sul mercato in suolo europeo e che contengono ICT in senso generale, cioè elementi digitali, dovranno rispettare requisiti obbligatori di sicurezza informatica, durante tutto il loro ciclo di vita. Sono inclusi tutti i dispositivi con una connessione diretta o indiretta a un altro dispositivo o alla rete, fissa o mobile, come Pc, smartphone, prodotti per la smart home, cuffie wireless, software.
Il Cyber resilience act li costringe a fornire supporto sulle funzionalità di sicurezza e aggiornamenti software per risolvere le vulnerabilità note per cinque anni dalla immissione sul mercato. Sono esclusi i prodotti già coperti da requisiti di sicurezza informatica, come i dispositivi medici, le automobili e i dispositivi pertinenti all’industria dell’aviazione. La lista dei dispositivi coinvolti dal provvedimento è comunque molto ampia, coinvolge hardware e software e non lascia adito a dubbi: la cyber security di prodotto deve diventare un requisito da richiedere e da verificare all’atto dell’acquisto di qualsiasi oggetto. Diciamo che il cambio di mentalità pensato dall’UE non è solo per i produttori, ma prima di tutto è per i consumatori che devono iniziare a chiedere (e prima ancora a capire) la sicurezza cibernetica nei prodotti che usano e che comprano. Quindi un cambio di passo sia B che C, ossia nei clienti sia consumer che business.
Inoltre, scatterà già dopo un anno l’obbligo per i produttori di segnalare le vulnerabilità e gli incidenti sfruttati attivamente sui loro prodotti. Nella bozza presentata al Parlamento pare ci siano anche dettagli sulle sanzioni. In particolare, se un dispositivo non soddisfa i nuovi standard, le autorità di regolamentazione nazionali (o la Commissione Europea in certi casi) potranno ritirarlo dal mercato nell’Ue.
Le sanzioni
Le sanzioni per le violazioni più gravi potranno raggiungere i 15 milioni di euro o il 2,5% del fatturato annuo mondiale di un’azienda, a seconda di quale sia il valore più alto. Inoltre, un’azienda che fornisca informazioni “errate, incomplete o fuorvianti” potrebbe essere multata di 5 milioni di euro, oppure fino all’1% del fatturato annuo.
La messa a terra delle nuove norme
Sorge una lunga serie di domande relative, per esempio, agli organismi di notifica, alle sanzioni e ai controlli, ai rapporti di fornitura delle supply chain, e così via. Domande alle quali risponderemo con il tempo e con l’azione, ossia con la messa a terra della nuova norma che, come sottolineato da esponenti dell’Unione, è assolutamente nuova e innovativa nel suo genere e farà scuola, un po’ come le due Seveso di anni fa per la safety dei prodotti e dei processi.
Cinque anni di patch hanno incuriosito molti, ma forse perché ancora non hanno fatto in tempo a chiedersi, per esempio, come combiniamo la conformità con gli schemi certificativi? Gli organismi di controllo sono gli stessi? Viene spontaneo immaginare di sì. Dunque, in Italia come ci muoviamo?
Stiamo inserendo sempre più numerose norme sui prodotti ICT, spinti da una consapevolezza che ormai si è lasciata alle spalle, e di molto, la miccia originante, ossia il 5G e i famosi produttori di Paesi non alleati, miccia che ha portato i politici europei e chiedere una “capacità di decisione di tipo tecnico in merito a prodotti e produttori” e quindi ha acceso i riflettori europei e mondiali sulla certificazione di sicurezza cibernetica di prodotto.
Tutto il prossimo decennio sarà dedicato a sistematizzare la disciplina e delle certificazioni di prodotto. Tuttavia, nel frattempo, dobbiamo continuare a comprare e produrre e a lavorare. Ben venga la notifica di conformità (anche se dobbiamo capire bene conformità “a che”) e con essa anche qualsiasi certificato di sicurezza purché ci sia un momento di avvio di questo nuovo processo ad alta complessità. Altrimenti nell’attesa forse staremo lavorando in un mondo nuovo.
