Solo nel 2021 ogni 11 secondi una organizzazione in tutto il mondo è stata colpita da attacchi ransomware e il costo annuale globale della criminalità informatica ha raggiunto i 5,5 miliardi di euro.
É questa la ragione che ha spinto la Commissione europea a presentare una nuova proposta legislativa al Cyber Resilience Act che mira a normare in maniera più consistente le responsabilità dei produttori per garantire la sicurezza informatica by design dei prodotti digitali.
Computer, telefoni, elettrodomestici, dispositivi di assistenza virtuale, automobili, giocattoli...ognuno di queste centinaia di milioni di prodotti connessi è un potenziale punto di ingresso per un attacco informatico.
Con la nuova legge sulla resilienza informatica, così com’è stato presentata (e a meno di modifiche in sede di discussione tra Consiglio e Parlamento europeo), l’Europa obbliga i produttori a ideare prodotti intrinsecamente sicuri e a garantire continui aggiornamenti software, come una struttura in grado di gestire e risolvere eventuali bug dopo la pubblicazione del software o la commercializzazione dell’hardware (vulnerabilità "zero-day").
Al contempo, offre a consumatori e imprese informazioni trasparenti sulla sicurezza informatica dei prodotti che andranno a acquistare, così da renderli maggiormente consapevoli e protetti in termini didati e privacy.
Il nuovo quadro legislativo in materia di cybersicurezza stabilirà:
Spetta ora al Consiglio e al Parlamento europeo esaminare il progetto di legge sulla resilienza informatica. Una volta approvato, gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarsi ai nuovi requisiti.
Un'eccezione a questa regola è l'obbligo di segnalazione, a carico dei produttori, di vulnerabilità e incidenti sfruttati attivamente, che si applicherebbe già a un anno dalla data di entrata in vigore, poiché richiedono un minor numero di adeguamenti organizzativi rispetto agli altri nuovi obblighi.
La Commissione esaminerà regolarmente la legge sulla resilienza informatica e riferirà sul suo funzionamento.
Il regolamento proposto si applicherà a tutti i prodotti collegati, direttamente o indirettamente, a un altro dispositivo o rete. Esistono alcune eccezioni per i prodotti vincolati ai requisiti di cybersicurezza già stabiliti nelle norme UE esistenti, ad esempio dispositivi medici, aviazione o automobili.