Come anticipato dal Financial Times all’inizio del mese, la Commissione europea ha presentato una proposta di legge che prevede il rispetto di una serie di regole per garantire la sicurezza dei prodotti (hardware e software) durante l’interno ciclo di vita. Anche se non esplicitamente indicato, il Cyber Resilience Act è soprattutto rivolto ai cosiddetti dispositivi IoT (Internet of Things).
Sicurezza per design e patch per 5 anni
La proposta di legge introduce una serie di obblighi per produttori e sviluppatori di prodotti con “elementi digitali”, ovvero dispositivi hardware con software dedicato. Sono pertanto esclusi i software forniti come parte di un servizio (ad esempio Microsoft 365, ndr). La Commissione europea evidenzia che il costo annuo globale della criminalità informatica supera i 5,5 miliardi di euro, quindi è importante garantire un elevato livello di cibersicurezza e ridurre le vulnerabilità nei prodotti digitali.
Con la maggiore diffusione dei prodotti intelligenti e connessi, un incidente di cibersicurezza in un prodotto può avere un impatto sull’intera catena di approvvigionamento, con possibili gravi perturbazioni delle attività economiche e sociali nel mercato interno che possono compromettere la sicurezza o addirittura avere conseguenze potenzialmente letali.
Gli obblighi principali per i produttori sono:
- Considerare la sicurezza durante la progettazione, lo sviluppo e la fabbricazione di prodotti
- Documentare tutti i rischi di sicurezza
- Segnalare gli incidenti di sicurezza
- Fornire istruzioni chiare agli utenti
- Rilasciare aggiornamenti di sicurezza per almeno 5 anni
I prodotti potranno essere venduti solo se rispettano i requisiti di sicurezza. Le autorità dei singoli paesi vigileranno sul rispetto nelle norme. Il prodotto potrà eventualmente essere ritirato dal mercato. In caso di violazione della legge, il produttore potrebbe ricevere una multa fino a 15 milioni di euro o il 2,5% delle entrate annuali mondiali.
Il Parlamento e il Consiglio dovranno esaminare e approvare la proposta di legge. Quando entrerà in vigore, i produttori dovranno rispettare gli obblighi entro i due anni successivi (un anno per le segnalazioni delle vulnerabilità).