L’esperto: “Provvedimento necessario, soprattutto per l’Italia maglia nera mondiale in cybersicurezza”
Per cercare di arginare un fenomeno che ormai coinvolge sistematicamente privati, professionisti, così come PMI e fino ad arrivare alle grandi aziende e multinazionali, la Commissione Europea ha definito il nuovo Cyber Resilience Act, un regolamento che “introduce requisiti obbligatori di cyber sicurezza per i prodotti che hanno componenti digitali, lungo tutto il loro ciclo di vita”.
“Così facendo – commenta Andrea Marchi, Information Security Officer di Rödl & Partner, multinazionale della consulenza presente in 48 paesi tra cui l’Italia – l’Unione Europea imporrà l’obbligo di commercializzazione solamente a quei prodotti tecnologici, software e hardware, connessi a un dispositivo o a una rete digitale, che siano digitalmente sicuri. E con sicuri si intende che siano progettati e realizzati in modo che abbiano un livello di sicurezza appropriato ai rischi cyber, senza vulnerabilità note al momento della vendita, dotati delle necessarie misure volte a prevenire connessioni e accessi di natura illecita, che tutelino i dati raccolti nonché che prevedano l’eliminazione di vulnerabilità future attraverso aggiornamenti del software da parte del produttore, secondo il principio di “security by design”.
E sono proprio i produttori ad essere coinvolti in prima persona nelle attività imposte dal Cyber Resilience Act, che dovranno essere garantite dagli stessi per tutto il ciclo di vita di un prodotto o almeno per cinque anni dalla sua immissione sul mercato.
“Un produttore per essere considerato affidabile – sottolinea Andrea Marchi di Rödl & Partner – deve rendere disponibili la lista dei componenti software dei suoi prodotti, consentire ai clienti di poter essere adeguatamente informati in merito alla loro sicurezza, nonché qualora ci sia l’evidenza di nuove vulnerabilità rendere disponibili velocemente patch gratuite e testare regolarmente i prodotti commercializzati che siano ancora sicuri. Queste norme di certificazione, inoltre, valgono anche per distributori e importatori che non possono commercializzare prodotti che non siano a norma e sono obbligati ad agire, anche ritirando dal mercato, il prodotto che non dovesse più rispettare le nuove normative.”
Ogni Stato membro dell’UE dovrà affidare a un’authority nazionale il rispetto del regolamento, mentre i produttori dovranno comunicare le eventuali vulnerabilità riscontrate nei prodotti all’Agenzia ENISA (l’Agenzia europea per la cybersicurezza) che a sua volta li comunicherà al CSIRT (Computer Security Incident Response Team) secondo la Direttiva NIS2.
“Per chi non dovesse rispettare le norme imposte dal regolamento – specifica l’esperto di Rödl & Partner – le sanzioni potranno arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente per un prodotto che non rispetti i requisiti essenziali di cyber security, per gli altri obblighi, invece, fino 10 milioni o al 2% del fatturato, mentre potranno arrivare fino a 5 milioni o 1% del fatturato per la comunicazione di informazioni non corrette, insufficienti o fraudolente agli organismi di controllo o vigilanza.”
“Un provvedimento necessario – continua Marchi di Rödl & Partner – e che dà una mano al nostro Paese che in materia di cybersicurezza deve velocemente fare un balzo in avanti, visto che l’Italia, secondo l’European Union Agency for Cybersecurity, nella classifica mondiale, è attualmente uno dei Paesi più a rischio, dopo Stati Uniti, Germania e Francia per quanto riguarda le minacce da attacchi cyber.”
Il 2022, infatti, in fatto di sicurezza informatica descrive numeri poco incoraggianti per gli italiani. Sono stati oltre 780.000, infatti, i dati personali rubati e resi disponibili al miglior offerente sul dark web nella prima parte dell’anno, in aumento del 44% rispetto al semestre precedente (dati osservatorio cyber CRIF). E come se non bastasse secondo l’ultimo rapporto Censis, al 64,6% di cittadini e imprese è capitato di essere raggiunto da e-mail ingannevoli per estorcere dati sensibili.
