Tutti i prodotti e servizi connessi a Internet venduti nell’Unione europea dovranno soddisfare nuovi requisiti di cybersicurezza; i fornitori che non si adeguano potranno andare incontro a multe o addirittura al ritiro dal mercato dei loro prodotti. È quanto prevede la bozza del Cyber resilience act visionata da Bloomberg e che sarà pubblicata la prossima settimana.
La proposta di legge della Commissione europea, annunciata dalla presidente Ursula von der Leyen un anno fa, intende stabilire delle norme comuni nel mercato unico per la sicurezza informatica di tutti i prodotti digitali e dei servizi associati, andando a includere anche quelli non ancora coperti da norme specifiche. Come ha indicato il commissario al Mercato interno Thierry Breton, serve “un approccio comune sugli standard della cybersecurity di prodotti e servizi” per affrontare i tanti e sofisticati cyber-attacchi.
I prodotti dovranno soddisfare una serie di standard informatici per ricevere un marchio di approvazione ed essere venduti nell’Unione europea. I dispositivi open-source saranno probabilmente esclusi da queste regole a meno che non siano commercializzati.
Sicurezza cyber per tutta la Internet of things
Gli elettrodomestici, le automobili, gli smartphone, i computer, gli orologi, i dispositivi medici e molti altri prodotti sono dotati di sensori e connessioni online. Questi oggetti della Internet of Things (o Internet of everything) possono avere “un basso livello di sicurezza informatica, riflesso da vulnerabilità diffuse e dalla fornitura insufficiente e incoerente di aggiornamenti di sicurezza per affrontarli”, secondo la bozza della legge visionata da Bloomberg, e fornire agli utenti informazioni “insufficienti” sul loro livello di protezione.
La nuova legge sulla cyber resilienza includerà tutti i dispositivi e le tecnologie connesse finora non iscritte nelle norme sulla sicurezza informatica (come la direttiva Nis e Nis2) in modo da coprire l’intero ciclo di vita dei prodotti digitali e dei servizi “ancillari”, come il software embedded, una delle aree maggiormente esposte agli attacchi informatici.
Fin dalla prima stesura della proposta legislativa, la Commissione ha sottolineato che, in un ambiente connesso “un incidente di sicurezza informatica in un prodotto può interessare un’intera organizzazione o un’intera catena di approvvigionamento, spesso propagandosi oltre i confini del mercato interno. Questo può portare a gravi interruzioni delle attività economiche e sociali o addirittura mettere in pericolo la vita di alcune persone”.
Multe fino al 2,5% del fatturato globale dell’azienda non conforme
I paesi dell’Ue – o l’Enisa, quando richiesto dalla Commissione – potranno indagare su qualsiasi dispositivo venduto nell’Unione per non conformità. Anche prodotti che rispettano le regole potrebbero ancora presentare “un rischio significativo per la sicurezza informatica”, mettere a rischio la salute e la sicurezza delle persone o non rispettare i diritti fondamentali e saranno oggetti di indagine.
L’Enisa creerà anche un database di vulnerabilità per aiutare a valutare gli attacchi transfrontalieri.
Se un dispositivo non soddisfa i nuovi standard, le autorità di regolamentazione nazionali ritirare un prodotto dal mercato nell’Ue. In circostanze eccezionali, anche la Commissione potrà farlo. Le sanzioni per le violazioni più gravi potranno raggiungere i 15 milioni di euro o il 2,5% del fatturato annuo mondiale di un’azienda, a seconda di quale sia il valore più alto. Violazioni meno gravi potrebbero portare a multe di 10 milioni di euro o del 2% delle vendite annuali globali.
Se un’azienda viene trovata a fornire informazioni “errate, incomplete o fuorvianti” potrebbe essere multata di 5 milioni di euro, ovvero fino all’1% del fatturato annuo.
L’Icann potenzia la sicurezza dei nomi di dominio Internet
Separatamente, ma sullo stesso fronte della sicurezza e resilienza di Internet, si è mossa anche l’Icann (Internet corporation for assigned names and numbers) con un’iniziativa per la sicurezza del Sistema dei nomi di dominio (Dns) chiamata Kindns (Knowledge-sharing and instantiating norms for Dns and Naming security).
Collaborando con una comunità globale di esperti tecnici, l’Icann sta sviluppando un quadro di best practice operative per la protezione del sistema Dns dagli attacchi informatici. Il risultato è un framework semplice ed efficace che gli operatori Dns grandi e piccoli possono seguire volontariamente.
Ad esempio, una buona pratica condivisa tramite Kindns mira a garantire che i server dei nomi di dominio siano geograficamente e topologicamente diversi (Kindns Practice-5 of Authoritative and recursive server operator). Un altro esempio consiste nell’incoraggiare gli operatori ad abilitare le estensioni di sicurezza dei nomi di dominio (Dnssec, Domain name system security extensions), sia tramite firme del server autorevoli che tramite il Resolver che convalida queste firme. Con questa tecnologia si cerca di assicurare che gli utenti di Internet raggiungano la destinazione online desiderata e di garantire l’origine dai dati e la loro integrità e non riservatezza.