Cerca
Close this search box.
Informazioni generiche
Commissione Europea, DGUV, ENISA

Il Cybersecurity Act: La nuova bozza della Commissione Europea sarà una risposta efficace al problema della sicurezza informatica?

Tabella dei contenuti

La rapida evoluzione della tecnologia digitale manifestata dalla diffusione del cloud computing, l’IoT (Internet of Thinks) e l’intelligenza artificiale dimostra quanto sia importante adeguare tale crescita all’affermazione di nuove misure di sicurezza atte a sviluppare modelli di protezione via web perché le minacce informatiche sono in continuo aumento, destando molta preoccupazione per le aziende. Cos’è il Cybersecurity Act? In virtù di tale scenario cosa propone la Commissione UE? E quali sono le implicazioni dell’aumento di tali minacce in un contesto professionale per le aziende che si avvalgono di software, hardware e strumenti digitali per organizzare il proprio lavoro?

In questo nuovo contenuto con IngegnoSi esamineremo la proposta della Commissione Europea in materia di cyber-sicurezza, analizzeremo cosa comporta per le aziende, in quali contesti sarà applicata tale normative ed infine individueremo le criticità di tale misura e cercheremo di chiarire quali ulteriori miglioramenti si potranno apportare al fine di garantire una migliore protezione e sicurezza informatica. Tuttavia, prima di addentrarci nel cuore del contenuto e del Cybersecurity Act, un cenno sarà dato a tutto il percorso legislativo della Commissione Europea su tale materia.

cybersecurity act

Cosa è stato già fatto e cosa farà la Commissione Europea per la sicurezza informatica?

Il Parlamento Europeo ha già approvato la nuova direttiva macchine 2023. Si tratta di un regolamento che intende far recepire subito i vincoli imposti dalla norma, introducendo tante novità che si estendono dal definire i campi di applicazione di tale normativa sino a stabilire quali interventi delle macchine si definiscono sostanziali e un cenno particolare sarà dedicato alla sicurezza e alla cybersicurezza. Aspetti che ancora non rispondono a un pieno soddisfacimento a livello di sicurezza, tanti sono i punti interrogativi e per questo si continua sulla strada delle proposte anche da parte della Commissione Europea.

Ciò che preoccupa maggiormente in materia di sicurezza informatica sono gli attacchi ransmoware, ovvero virus che bloccano l’accesso ai dati della vittima e il cui sblocco si verifica dietro il riscatto e il pagamento di una somma di denaro. In merito a tale problema la Commissione Europea ha mosso alcuni passi che si sono tradotti nel dare esecuzione ad alcune proposte legislative quali il Cybersecurity Act del 2019 e l’emendamento recente della direttiva sulla sicurezza delle reti e delle informazioni (NIS2).

Tuttavia, la Commissione non reputa ancora efficace la portata di tali misure sicché a settembre 2022 ha dato il via libera alla bozza di una legge sulla ciberresilienza, meglio nota come il Cyberresilience Act (CRA). Questa legge mira a garantire che i prodotti “con elementi digitali,” come hardware e software, siano introdotti sul mercato con un minor numero di vulnerabilità. Con il CRA cosa dovrebbe cambiare rispetto a prima? Scopriamolo.

Cosa prevede il Cybersecurity Act? Un’introduzione

Il Cybersecurity Act incide maggiormente sulla comunicazione della vulnerabilità promettendo interventi mirati e veloci in caso di minaccia o pericolo. Inoltre, questa bozza punta molto sull’inclusività andando a coprire ogni tipo di prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, componenti compresi. Un focus particolare verrà posto sull’Internet delle cose e sui piccoli router (“plaste-router”) che, a causa delle loro numerose falle di sicurezza, spesso risultano vulnerabili.

Una mossa pensata per proteggere il nostro mondo sempre più connesso. Un altro aspetto interessante è che il regolamento non si applicherà a prodotti sviluppati esclusivamente per scopi di sicurezza nazionale o militare, né a quelli progettati specificamente per trattare informazioni classificate. Lo stesso vale per settori già regolamentati, come l’aviazione, i dispositivi medici o le auto, che già devono rispettare requisiti specifici.

Inoltre, la portata del Cybersecurity Act in materia di sicurezza informatica va ben oltre la copertura che intende soddisfare la Commissione Europea per tali prodotti in termini di sicurezza. Difatti la novità più importante per i produttori di tali apparecchiature tecnologiche riguarda l’obbligo di soddisfare i requisiti essenziali di cibersicurezza prima di immettere un prodotto sul mercato. Inoltre, sarà necessario monitorare le vulnerabilità del medesimo apparecchio per l’intera durata del ciclo di vita dell’apparecchio.

sicurezza informatica

Tale monitoraggio si manifesterà riportando aggiornamenti costanti, automatici e gratuiti ai fruitori di tali dispositivi. Inoltre, saranno tenuti a segnalare eventuali incidenti che influenzano la sicurezza di hardware o software entro appena 24 ore all’Agenzia dell’Unione europea per la cibersicurezza (ENISA). Tutto questo contribuirà a creare una linea coordinata per la divulgazione delle vulnerabilità.

Il cuore del Cybersecurity Act

La cibersicurezza è un tema di grande rilevanza in un mondo sempre più interconnesso. Basta pensare ai danni immediati che possono verificarsi in pochi minuti, come nel caso del malware “WannaCry“, con impatti sociali ed economici significativi, addirittura mettendo a rischio intere economie e la vita stessa. In risposta a questa sfida, la Commissione Europea ha elaborato una bozza per limitare le vulnerabilità degli apparecchi digitali e minimizzare le conseguenze degli incidenti.

Alla luce di ciò il Cybersecurity Act sarà un passo importante verso la protezione sociale e economica delle aziende? La normativa proposta richiede ai prodotti interessati di garantire la riservatezza dei dati, ad esempio attraverso la crittografia. Inoltre, sarà obbligatorio proteggere l’integrità e l’elaborazione di informazioni e valori essenziali per il corretto funzionamento di tali dispositivi.

La classificazione di rischio secondo la Commissione Europea

La Commissione, nel suo impegno a garantire la massima sicurezza digitale, con il Cybersecurity Act identifica specifici settori critici ad alto rischio. Per affrontare questa sfida, ha suddiviso i prodotti in due classi, ognuna delle quali sarà sottoposta a una procedura di conformità mirata.

Nella classe I, troviamo prodotti essenziali come sistemi di gestione dell’identità, browser, gestori di password, programmi antivirus, firewall, VPN, sistemi di gestione della rete, sistemi IT di ampia portata, interfacce di rete fisiche, router e chip. Ad aggiungersi a questa lista ci sono sistemi operativi per smartphone o desktop, microprocessori e dispositivi IoT aziendali, considerati meno sensibili.

commissione europea

Invece, la classe di rischio più elevata (classe II), include dispositivi come desktop e mobili, sistemi operativi virtualizzati, e componenti integrati in macchinari. Non solo, ma anche emittenti di certificati digitali, microprocessori di uso generale, lettori di carte, sensori per robot e contatori intelligenti sono nella stessa categoria. Aggiungiamo a questo elenco gli apparecchi IoT, router e firewall per l’industria, considerati “ambienti sensibili”. L’interconnessione sempre crescente tra macchinari e impianti rende la sicurezza IT cruciale, poiché le falle in questo settore possono avere impatti significativi sulla prevenzione.

Il ruolo dei produttori nel Cyberresilience Act

I produttori con il Cybersecurity Act sono chiamati a valutare la conformità dei loro prodotti attraverso una procedura interna dedicata o tramite l’esame da parte di enti riconosciuti. Se un produttore segue le norme armonizzate o possiede già un certificato all’interno di un sistema europeo di certificazione della cibersicurezza, è possibile ritenere che il suo hardware o software sia conforme al regolamento. Gli importatori e i distributori devono verificare il rispetto delle procedure previste dal produttore e la marcatura CE dell’apparecchio. Per i prodotti di bassa criticità, i fabbricanti possono compilare autonomamente una dichiarazione di conformità.

Tuttavia, per la classe di rischio II, sarà necessaria una valutazione da parte di terzi. La Commissione intende promuovere un approccio responsabile alla sicurezza informatica, coinvolgendo anche i produttori nel garantire che i loro prodotti soddisfino le norme più elevate. Ma tutto questo riuscirà a rappresentare un passo fondamentale nel creare un ambiente digitale sicuro e affidabile per tutti noi? Quali sono le criticità sollevate dal Deutsche Gesetzliche Unfallversicherung? (DGUV), ente tedesco di assicurazione obbligatoria contro gli infortuni.

La nuova bozza di regolamento tra critiche e prese di posizioni

La nuova bozza di regolamento prevista dalla Commissione Europea ha suscitato critiche e perplessità da parte di molti enti tra cui quello di assicurazione tedesco (DGUV). Nonostante le critiche sollevate c’è chi già ha preso delle posizioni in merito a tale bozza. Il Consiglio dei Ministri dell’UE sostiene la necessità di sviluppare un compromesso finale tra le diverse criticità emerse che vede maggior sostegno per le piccole imprese in quest’ambito, maggior chiarimento della durata di vita dei prodotti e una dichiarazione di conformità semplificata che possa valere per tutti gli Stati Membri.

Inoltre, gli Stati Membri fanno notare l’obbligo di segnalare le vulnerabilità di sistema sfruttate dai criminali informatici alle autorità nazionali competenti e non all’ENISA. Invece, il Parlamento si concentra punta su una maggior trasparenza delle minacce osservabili e nella gestione di tali pericoli chiede una ripartizione più equa delle responsabilità e spingono affinché anche altri dispositivi per case intelligenti, quali smart watch, telecamere di sicurezza private non siano estranee alla classificazione ad alto rischio. Oltre la diatriba tra governi e parlamento, cosa solleva in particolare il DGUV?

Le critiche mosse dal DGUV.

L’ente tedesco di assicurazione obbligatoria contro gli infortuni (DGUV) solleva cinque questioni fondamentali:

  • Chiarezza di significato: il concetto di cibersicurezza non viene definito dal Cyberresilience Act in modo chiaro perché tendente a indicare principalmente un’attività o un prodotto ma tralasciando gli attacchi via radio o tramite interfacce USB.
  • Tempistiche di segnalazione: secondo la DGUV la segnalazione in 24 ore di dettagli delle falle di sicurezza sarebbe una tempistica irrealistica, perché tale attività richiederebbe tempi molto più lunghi.
  • Divulgazione dei dati: sempre secondo tale ente non è necessario divulgare i dettagli di un attacco ma solamente i dati di cui le autorità hanno davvero bisogno per avvertire circa un prodotto sotto minaccia o quantomeno stimarne gli effetti di una vulnerabilità.
  • Conformità: Il tempo dato dal Cybersecurity Act per conformare i produttori ai nuovi requisiti di sicurezza è due anni e questo tempo non è sufficiente soprattutto per i produttori che devono attendere una valutazione della conformità.
  • Problema degli accertamenti sui sistemi operativi: ciò che evidenzia l’ente è che gli accertamenti non si possono fare di continuo perché essi evolvono di continuo essendo open source sono soggetti e costanti modifiche. Inoltre, per conformarsi alla CE sono richiesti ingenti risorse finanziarie al punto tale che molti progetti debbano essere completamente sospesi.
cyberresilience act

Considerazioni finali sul Cybersecurity Act.

Il progetto della Commissione Europea con il Cybersecurity Act è molto ambizioso e questo si deduce dall’impegno e la volontà di includere tutti i prodotti digitali delle aziende oggetto di potenziali minacce informatiche sotto tale tutela legislativa. Tuttavia, tale ambizione e la portata di tale disegno legislativo ancora non riesce a cogliere tutte le specificità di tale settore e le criticità che possono emergere in merito a determinate categorie di produttori.

Infatti, il Cybersecurity Act non considera quanto sia complicato conformarsi a queste norme UE generando problemi per molti produttori che prima di adottare le dovute compliance dovrebbero attendere la valutazione della conformità. Pensare di fare tutto in 24h è davvero anacronistico secondo gli esperti del settore e ciò significa che la Commissione Europea non coglie appieno ciò che sta dietro il settore della tecnologia digitale.

Inoltre, la Commissione non considera quanto sia costoso agire e ripristinare le falle di sicurezza oltre alle tempistiche perché i sistemi di sicurezza si evolvono di continuo visto che sono open source e l’adeguamento normativo non risulterebbe alieno da tali costi al che molti progetti non vedrebbero neanche la luce perché potrebbero essere sospesi.

Sebbene il Parlamento Europeo punti a una maggiore inclusività dei dispositivi informatici tale da abbracciare anche la nostra sfera privata, quali telecamere di sicurezza e smart watch ancora non sappiamo rispondere alla domanda se il Cybersecurity Act riuscirà a rappresentare un passo significativo nel gettare le basi per un futuro digitale più sicuro e scevro da minacce informatiche.

L’unica cosa che ci sentiamo di dirti noi di IngegnoSi è di continuare a seguirci per come si svilupperà la vicenda sul Cybersecurity Act e come si evolverà la bozza anche in virtù delle problematiche sopra menzionate. Inoltre, potrai sempre contare sul team di IngegnoSi perché Sicuringengeria è pronta a fornirti l’aiuto di cui hai bisogno per conformarti anche a livello di sicurezza informatica senza temere gli impedimenti burocratici che potrebbero rallentare il tuo processo produttivo. Scopri di più di noi qui e a presto con un nuovo contenuto.

Richiedi una consulenza!
Supportiamo la tua azienda nell'attuazione della normativa cogente in materia di salute e sicurezza dei luoghi di lavoro al fine di evitare sanzioni e costi aggiuntivi derivanti dai mancati adempimenti.

Tabella dei contenuti

Richiedi una consulenza!
Supportiamo la tua azienda nell'attuazione della normativa cogente in materia di salute e sicurezza dei luoghi di lavoro al fine di evitare sanzioni e costi aggiuntivi derivanti dai mancati adempimenti.
Articoli utili

Consulenza gratuita

Compila il form e richiedi la tua consulenza gratuita

Informazioni di contatto
Informazioni aziendali
Data ed ora più comode per la consulenza