CYBER RESILIENCE ACT

Smartphone e pc, la stretta Ue: “Multe e ritiro dal mercato dei device hackerabili”

La proposta di legge in dirittura d’arrivo: nel pacchetto inclusi tutti i dispositivi elettronici connessi a Internet, i servizi digitali associati e i software. Intanto l’Icann si muove per la sicurezza dei nomi di dominio con un nuovo framework

Pubblicato il 08 Set 2022

cybersecurity

Tutti i prodotti e servizi connessi a Internet venduti nell’Unione europea dovranno soddisfare nuovi requisiti di cybersicurezza; i fornitori che non si adeguano potranno andare incontro a multe o addirittura al ritiro dal mercato dei loro prodotti. È quanto prevede la bozza del Cyber resilience act visionata da Bloomberg e che sarà pubblicata la prossima settimana. 

La proposta di legge della Commissione europea, annunciata dalla presidente Ursula von der Leyen un anno fa, intende stabilire delle norme comuni nel mercato unico per la sicurezza informatica di tutti i prodotti digitali e dei servizi associati, andando a includere anche quelli non ancora coperti da norme specifiche. Come ha indicato il commissario al Mercato interno Thierry Breton, serve “un approccio comune sugli standard della cybersecurity di prodotti e servizi” per affrontare i tanti e sofisticati cyber-attacchi.

I prodotti dovranno soddisfare una serie di standard informatici per ricevere un marchio di approvazione ed essere venduti nell’Unione europea. I dispositivi open-source saranno probabilmente esclusi da queste regole a meno che non siano commercializzati.

Sicurezza cyber per tutta la Internet of things

Gli elettrodomestici, le automobili, gli smartphone, i computer, gli orologi, i dispositivi medici e molti altri prodotti sono dotati di sensori e connessioni online. Questi oggetti della Internet of Things (o Internet of everything) possono avere “un basso livello di sicurezza informatica, riflesso da vulnerabilità diffuse e dalla fornitura insufficiente e incoerente di aggiornamenti di sicurezza per affrontarli”, secondo la bozza della legge visionata da Bloomberg, e fornire agli utenti informazioni “insufficienti” sul loro livello di protezione.

La nuova legge sulla cyber resilienza includerà tutti i dispositivi e le tecnologie connesse finora non iscritte nelle norme sulla sicurezza informatica (come la direttiva Nis e Nis2) in modo da coprire l’intero ciclo di vita dei prodotti digitali e dei servizi “ancillari”, come il software embedded, una delle aree maggiormente esposte agli attacchi informatici.

Fin dalla prima stesura della proposta legislativa, la Commissione ha sottolineato che, in un ambiente connesso “un incidente di sicurezza informatica in un prodotto può interessare un’intera organizzazione o un’intera catena di approvvigionamento, spesso propagandosi oltre i confini del mercato interno. Questo può portare a gravi interruzioni delle attività economiche e sociali o addirittura mettere in pericolo la vita di alcune persone”.

Multe fino al 2,5% del fatturato globale dell’azienda non conforme

I paesi dell’Ue – o l’Enisa, quando richiesto dalla Commissione – potranno indagare su qualsiasi dispositivo venduto nell’Unione per non conformità. Anche prodotti che rispettano le regole potrebbero ancora presentare “un rischio significativo per la sicurezza informatica”, mettere a rischio la salute e la sicurezza delle persone o non rispettare i diritti fondamentali e saranno oggetti di indagine.

L’Enisa creerà anche un database di vulnerabilità per aiutare a valutare gli attacchi transfrontalieri.

Se un dispositivo non soddisfa i nuovi standard, le autorità di regolamentazione nazionali ritirare un prodotto dal mercato nell’Ue. In circostanze eccezionali, anche la Commissione potrà farlo. Le sanzioni per le violazioni più gravi potranno raggiungere i 15 milioni di euro o il 2,5% del fatturato annuo mondiale di un’azienda, a seconda di quale sia il valore più alto. Violazioni meno gravi potrebbero portare a multe di 10 milioni di euro o del 2% delle vendite annuali globali.

Se un’azienda viene trovata a fornire informazioni “errate, incomplete o fuorvianti” potrebbe essere multata di 5 milioni di euro, ovvero fino all’1% del fatturato annuo.

L’Icann potenzia la sicurezza dei nomi di dominio Internet

Separatamente, ma sullo stesso fronte della sicurezza e resilienza di Internet, si è mossa anche l’Icann (Internet corporation for assigned names and numbers) con un’iniziativa per la sicurezza del Sistema dei nomi di dominio (Dns) chiamata Kindns (Knowledge-sharing and instantiating norms for Dns and Naming security).

Collaborando con una comunità globale di esperti tecnici, l’Icann sta sviluppando un quadro di best practice operative per la protezione del sistema Dns dagli attacchi informatici. Il risultato è un framework semplice ed efficace che gli operatori Dns grandi e piccoli possono seguire volontariamente.

Ad esempio, una buona pratica condivisa tramite Kindns mira a garantire che i server dei nomi di dominio siano geograficamente e topologicamente diversi (Kindns Practice-5 of Authoritative and recursive server operator). Un altro esempio consiste nell’incoraggiare gli operatori ad abilitare le estensioni di sicurezza dei nomi di dominio (Dnssec, Domain name system security extensions), sia tramite firme del server autorevoli che tramite il Resolver che convalida queste firme. Con questa tecnologia si cerca di assicurare che gli utenti di Internet raggiungano la destinazione online desiderata e di garantire l’origine dai dati e la loro integrità e non riservatezza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati