Il proposto Cyber-resilience act europeo rischia di paralizzare la supply chain, con un non voluto effetto simile a quello sperimentato durante il Covid-19. Occorrerebbe restringere il numero di prodotti considerati ad alto rischio ed estendere il periodo di attuazione. Lo scrivono i ceo di Siemens, Ericsson, Bosch, Schneider Electric, Nokia ed Eset che, in collaborazione con l’associazione DigitalEurope, hanno espresso le loro preoccupazioni in una lettera indirizzata ai vicepresidenti della Commissione europea Margaritis Schinas e Vera Jourová, al commissario Thierry Breton, alla segretaria di Stato spagnola Carme Artigas e all’europarlamentare Nicola Danti (Renew).
“A nome di DigitalEurope, vi scriviamo per esprimere le nostre preoccupazioni riguardo alle attuali negoziazioni per un Cyber resilience act (Cra) e offrire le nostre soluzioni mentre entriamo in questa fase finale cruciale delle trattative”, si legge nella lettera (SCARICA QUI IL DOCUMENTO COMPLETO). “Siamo da tempo favorevoli a regole orizzontali sulla cybersicurezza per i prodotti connessi, al posto di regole diverse per settore. Tuttavia, la legge così com’è rischia di creare ostacoli che interromperanno il mercato unico, influenzando milioni di prodotti – dalle lavatrici ai giocattoli, dai prodotti di sicurezza informatica ai componenti vitali per pompe di calore, macchine refrigeranti e produzione ad alta tecnologia”.
Cyber resilience act, approvvigionamenti a rischio?
Lo scorso luglio il Consiglio Ue ha dato il via libera alla propria posizione negoziale su Cyber resilience act, il sistema di norme che hanno l’obiettivo di garantire che i prodotti con caratteristiche digitali, dai telefoni o giocattoli, siano sicuri da usare, resistenti alle minacce informatiche e forniscano informazioni sufficienti sulle loro proprietà di sicurezza.
Dato l’ampio campo di applicazione del Cra, sostiene la lettera, il rischio è che anche i prodotti sicuri non possano essere messi sul mercato e saranno bloccati per i clienti dell’Ue. Attualmente l’Europa non è in grado di offrire così tante valutazioni di conformità e questo rappresenta un ostacolo e un rallentamento lungo la catena di distribuzione, perché “i produttori devono dimostrare la conformità attraverso organismi di certificazione terzi per i prodotti elencati nell’Allegato III. Ciò avrà un enorme effetto sulle catene di approvvigionamento più ampie, poiché molti di questi componenti sono cruciali per l’economia europea e la transizione verde. Rischiamo di creare un blocco delle catene di approvvigionamento europee simile a quello causato dalla Covid-19, interrompendo il mercato unico e danneggiando la nostra competitività”.
Questi gli emendamenti proposti per mitigare gli impatti sulla supply chain: massimizzare la possibilità di autovalutazione (self-assessment), come già fatto nell’Ai Act; garantire un periodo di attuazione di almeno 48 mesi per consentire lo sviluppo di standard armonizzati; ridurre significativamente l’elenco dei prodotti ad alto rischio nell’Allegato III, come nella posizione del Consiglio.
Le segnalazioni delle vulnerabilità: i nodi
Un secondo gruppo di preoccupazioni riguarda la segnalazione. A giugno, insieme a un ampio gruppo di associazioni industriali, DigitalEurope ha lanciato l’allarme sui pericoli della segnalazione di vulnerabilità non risolte, preoccupazioni che sono state anche riprese dalla società civile e da esperti di sicurezza. L’associazione teme “che il volume delle segnalazioni sia troppo elevato per le autorità pubbliche da gestire, considerando la carenza di 300.000 specialisti in sicurezza informatica in Europa”.
Se i co-legislatori insisteranno nel mantenere nell’ambito della legge le vulnerabilità attivamente sfruttate, DigitalEurope chiede alcune salvaguardie. Per esempio, ai produttori dovrebbe essere consentito di dare la priorità alle patch rispetto alla segnalazione immediata, basandosi su motivazioni giustificate legate alla sicurezza informatica (come evitare un’ulteriore diffusione del software dannoso). Nella pratica, questo potrebbe essere ottenuto modificando l’Art. 11(1) proposto dal Consiglio.
Inoltre, come nel Nis2, la segnalazione dovrebbe essere limitata a incidenti e vulnerabilità che rappresentano un significativo rischio per la sicurezza informatica. “Per evitare duplicazioni di sforzi, chiediamo anche il rispetto del principio un incidente-una segnalazione“, si legge nella lettera.
L’associazione sostiene, infine, la definizione di “vulnerabilità attivamente sfruttata” proposta dal Parlamento, secondo la quale deve esserci una prova affidabile di un attacco riuscito, piuttosto che solo un tentativo, e la precisazione che le vulnerabilità scoperte senza intenti maligni non dovrebbero essere soggette a notifiche obbligatorie.
I firmatari della lettera sono Cecilia Bonefeld-Dahl, direttrice generale di DigitalEurope, Roland Busch, presidente e ceo di Siemens, Börje Ekholm, presidente e ceo di Ericsson, Stefan Hartung, presidente del board of management di Robert Bosch, Peter Herweck, ceo di Schneider Electric, Pekka Lundmark, presidente e ceo di Nokia, Richard Marko, ceo di Eset.
DigitalEurope è l’associazione che rappresenta le industrie europee attive nella trasformazione digitale, associazioni di settore nazionali e anche investitori.
Che cosa propone la legge europea sulla cyber-resilienza
La Commissione Ue ha presentato la proposta per il Cyber resilience act a settembre del 2022. La legge introduce requisiti obbligatori di sicurezza informatica per i prodotti con elementi digitali, durante tutto il loro ciclo di vita. Sono inclusi tutti i dispositivi con una connessione diretta o indiretta a un altro dispositivo o alla rete, fissa o mobile, come Pc, smartphone, prodotti per la smart home, cuffie wireless, software.
Bruxelles vuole prodotti più sicuri per consumatori e imprese in tutta l’Unione e afferma di aver riportato la responsabilità della protezione da hacker e furti di dati laddove deve risiedere, ovvero nei produttori, che sviluppano e mettono i dispositivi digitali sul mercato. Il Cyber resilience act li costringe a fornire supporto sulle funzionalità di sicurezza e aggiornamenti software per risolvere le vulnerabilità note.
Il Cyber resilience act, annunciato dalla presidente della Commissione Ursula von der Leyen nel 2021, esclude i prodotti già coperti da requisiti di sicurezza informatica, come i dispositivi medici, le automobili e quelli pertinenti all’industria dell’aviazione.
La proposta di legge prevede innanzitutto norme per l’immissione sul mercato di prodotti con elementi digitali al fine di garantire la loro sicurezza informatica. Il secondo elemento del framework normativo include requisiti essenziali che andranno seguiti per la progettazione, lo sviluppo e la produzione dei dispositivi con elementi digitali e obblighi per gli operatori economici in relazione a tali dispositivi digitali.
Vengono, inoltre, proposti requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai produttori per garantire la sicurezza informatica dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I produttori dovranno anche segnalare vulnerabilità e incidenti sfruttati attivamente.
La Commissione ha infine inserito norme sulla vigilanza e l’applicazione delle regole sul mercato.