L’Unione Europea ha presentato nuove regole per la sicurezza di tutti i prodotti connessi a Internet che vengano prodotti e venduti all’interno dell’UE. Il Cyber Resilience Act – che attende ora di terminare l’iter di approvazione – vuole creare un equilibrio di mercato che responsabilizzi i produttori da un lato e rassicuri imprese e consumatori nei propri diritti. Un miglioramento in termini di fiducia e trasparenza, attenzione alla sicurezza, alla privacy e alla protezione dei dati è quanto auspica questo intervento regolatorio.

Il Cyber ​​Resilience Act, che sarà vincolante entro due anni dalla sua approvazione, mira inoltre a diventare un punto di riferimento anche al di fuori dei confini europei, sui mercati globali. La cybersecurity dei prodotti a contenuto digitale, connessi direttamente o indirettamente a dispositivi o a una rete, è di fatto una priorità sentita in tutto il mondo. I costi dei cyber attacchi hanno superato, nel mondo, i 5 trilioni nel 2021.

In un presente in cui applicazioni hardware, software, prodotti wireless, sviluppo IoT e strumenti ad alto contenuto tecnologico – basati sulle reti – sono sempre più presenti, la sicurezza diviene l’unico pilastro in grado di consentire uno sviluppo futuro del mercato digitale europeo e non solo. Essa deve essere parte integrante dell’intera filiera, una “sicurezza by-design”, sul modello già adottato dal GDPR per la privacy, che introduce requisiti obbligatori per i prodotti a contenuto digitale, durante l’intero ciclo di vita.

Per alcune tipologie (dispositivi medici, automobili, aviazione) esistono già norme vincolanti sotto questo profilo, per tutti gli altri produttori il primo step – a un anno dall’approvazione – sarà quello di dover segnalare vulnerabilità o incidenti, come avviene in materia di dati personali con il data breach.

Il nuovo Cyber ​​Resilience Act si integrerà, quindi, nella più ampia visione strategica di Cyber security da tempo perseguita dall’UE, che ha portano alle direttive NIS e NIS 2.

Cosa significa per i produttori?

È indubbio che essi avranno maggiori responsabilità, sarà fatto obbligo, ad esempio, di fornire supporto sul tema sicurezza nonché provvedere agli aggiornamenti necessari per ovviare ad eventuali vulnerabilità che vengano identificate durante l’intero ciclo di vita del prodotto. Una sorta di marchio CE sui prodotti digitali e connessi che sia a garanzia e tutela di consumatori consumer, realtà business e PA.

Torna, anche sul fronte sicurezza e non solo data protection, il tema della compliance. Anche in questo caso la linea tracciata ripercorre la medesima logica introdotta dal GDPR. Non è più sufficiente correre ai ripari in caso di attacco, quello che serve è una progettazione, a monte, che ruoti intorno ai principi di sicurezza e tutela, nel lungo periodo.

Cosa conterrà il nuovo regolamento?

La stessa Commissione europea riassume in questo modo i contenuti:

a) norme per l’immissione sul mercato di prodotti con elementi digitali per garantirne la sicurezza informatica;

(b) i requisiti essenziali per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali e gli obblighi per gli operatori economici in relazione a tali prodotti;

c) requisiti essenziali per i processi di gestione della vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I produttori dovranno inoltre segnalare vulnerabilità e incidenti sfruttati attivamente;

(d) norme sulla vigilanza del mercato e sull’esecuzione.

Cosa accade alle aziende che non si adegueranno?

Abbiamo già visto come – a legge approvata – i tempi saranno di un anno per creare flussi organizzativi che permettano di rendere note le vulnerabilità che hanno portato a incidenti accaduti e anni per ridefinire i propri processi in ottica security by design.

L’impianto sanzionatorio per ora previsto, salvo modifiche successive, sottolinea l’urgenza che l’UE avverte sul tema sicurezza.

In caso di non conformità, le autorità di vigilanza del mercato potranno agire in modi diversi a seconda, si intuisce, della gravità dell’inadeguatezza. Si va dall’obbligo, per l’operatore, di porre fine alla non conformità eliminando quindi il rischio, alla limitazione della messa a disposizione sul mercato del prodotto / servizio, fino al suo ritiro completo. Negli ultimi due casi non occorre sottolineare il danno materiale e reputazionale al quale l’operatore andrebbe incontro.

Alle autorità nazionali spetterà, inoltre, comminare sanzioni amministrative che potranno raggiungere i 15 milioni di euro o fino al 2,5% del fatturato globale.

Si tratta di un intervento, potenzialmente dirompente che, pur introducendo nuovi obblighi restrittivi, sarà una ulteriore occasione per le imprese produttrici di ripensare i processi di filiera e di armonizzarli con altre normative (come la privacy) che già hanno dato, in molte realtà, un impulso positivo in termini di consapevolezza e crescita.