Cyber Resilience Act, estesa la responsabilità delle aziende software per l’intero ciclo di vita del prodotto
di Andrea Boscaro* Il Sole 24 Ore , Estratto da “Norme&Tributi Plus Diritto”, 28 aprile 2023
Obiettivo della Proposta è offrire regole comuni alle aziende - produttrici, importatrici ed imprese impegnate sul fronte dello sviluppo software - affinché i beni che presentano una connessione in Rete siano improntati al rispetto della cyber-security e quindi alla sicurezza per i cittadini del continente e per le organizzazioni che vi operano.
È in corso un cambiamento di scenario mondiale per cui i confini digitali stanno diventando rilevanti quanto quelli fisici. Lo ha affermato il vice segretario generale della NATO, Mircea Geoana, e lo confermano i dati registrati da Check Point Research secondo cui nel 2022 vi è stata a livello globale una crescita del 40% degli attacchi informatici. In un contesto simile, imprese e privati sono coinvolti in prima persona perché esposti a criticità che rendono necessarie strategie di difesa finalizzate a garantire la sicurezza e la continuità operativa. La natura di tale rivoluzione è profondamente geopolitica: proprio per la labilità dei confini digitali, diventa sempre più centrale la protezione di aziende e cittadini anche quando non si trovano nei Paesi più vicini al conflitto in Ucraina. A livello pubblico, è esemplare la deliberazione del governo lettone di spostare parte delle sue risorse in cloud su server localizzati in Lussemburgo.
In questa situazione va letta l’introduzione del Cyber Resilience Act, la proposta di riforma della Commissione Europea che lo scorso 15 marzo ha avuto un importante aggiornamento nel documento rilasciato successivamente alla sua discussione in seno al Gruppo Cyber, organo tecnico del Consiglio Europeo. Il provvedimento si pone il compito di offrire regole comuni alle aziende - produttrici, importatrici ed imprese impegnate sul fronte dello sviluppo software - affinché i beni che presentano una connessione in Rete siano improntati al rispetto della cyber-security e quindi alla sicurezza per i cittadini del continente e per le organizzazioni che vi operano.
Uno degli aspetti centrali della riforma, che abbraccia non solo i dispositivi di comunicazione digitale, ma anche tutti i beni connessi in Rete e improntati al modello dell’Internet of Things, è l’impegno richiesto alle aziende fornitrici ad accrescere il contrasto alla vulnerabilità dei beni agli attacchi informatici lungo tutto il ciclo di vita del prodotto: i soggetti coinvolti saranno pertanto chiamati non solo a fornire inizialmente una dichiarazione di conformità e una valutazione dei rischi, ma a mettere periodicamente a disposizione manuali di istruzione e aggiornamenti continui dei software che ne gestiscono la connessione online, volti a preservare nel tempo gli aspetti di sicurezza in relazione ai rischi noti. L’ultima versione della proposta prevede in particolare che le imprese impostino l’installazione dell’aggiornamento necessario a preservare un elevato livello di sicurezza come opzione predefinita “con un meccanismo di opt-out chiaro e facile da usare”.
Il Cyber Resilience Act, un provvedimento che incrocia proposte al momento in discussione come l’AI Act o norme complesse come il GDPR, muove dalla consapevolezza secondo la quale - per usare le parole della Presidente della Commissione Europea Ursula von der Leyen - “se tutti gli oggetti sono connessi, allora ogni oggetto può essere oggetto di hacking”.
Per questo motivo le categorie di imprese coinvolte dal provvedimento, pur escludendo coloro che gestiscono siti web o servizi in cloud non collegati con beni fisici, sono numerose e vanno dai produttori di dispositivi digitali a chi produce sensori, da chi crea o importa sistemi di telecomunicazione a chi ne sviluppa o integra il software e si pone il compito di superare le molteplici normative nazionali per definire standard validi in tutto il mercato comune e per attribuire la responsabilità del loro rispetto non sono nella fase di commercializzazione, ma nelle successive fasi di uso e aggiornamento, senza il limite dei cinque anni che era stato inizialmente inserito in sede di proposta.
La profondità della riforma si inserisce poi in una vera e propria strategia di resilienza digitale che l’Europa ha deciso di intraprendere e che non può avere nelle aziende non coinvolte dalla norma dei soggetti esclusivamente passivi.
Il fatto che ben il 28% delle PMI europee abbiano subito nel 2022 secondo Eurobarometer almeno un attacco informatico, comporta che una cultura della cyber-security debba essere promossa in modo capillare: proteggersi da attacchi informatici come il phishing, i malware e i ransomware e difendersi dalle campagne di disinformazione e dalle tecniche di social engineering che possono avere luogo via mail e sui social media invocano una responsabilità che non può che essere diffusa lungo tutti i processi aziendali e consolidarsi nella sensibilità di ogni lavoratore.
Se pensiamo che la password più diffusa al mondo sia “123456” e che, fra i primi posti, si colloca il termine “password”, risulta chiaro che nessuna norma sarà efficace se non sarà affiancata dalla diffusa consapevolezza dei danni finanziari, di reputazione che la vulnerabilità delle infrastrutture e il rischio della perdita di dati può produrre.
In quest’ottica, una strategia di resilienza digitale deve includere l’accrescimento di competenze e la maturazione del ruolo che le 60 mila imprese europee impegnate nella cyber-security possono rivestire nella società e nell’economia europee.
Tale strategia, la cui governance coinvolge la fitta rete di agenzie europee e nazionali che si occupano di cyber-security così da facilitarne la collaborazione, rientra nel più vasto raggio di iniziative che vanno dagli investimenti necessari ad accrescere le risorse e le competenze necessarie alla produzione di chip in Europa alle scelte improntate alla sovranità digitale dei dati dei cittadini europei, del loro accesso e del loro trattamento che tanta parte hanno fra le norme più discusse a livello europeo.
Il conflitto in Ucraina ha rappresentato un fattore di accelerazione di queste scelte non solo perché la guerra ha avuto fin dall’inizio una connotazione ibrida, ma anche perché non secondario è il ruolo svolto dalle piattaforme digitali per preservare, proteggere e permettere la continuità delle imprese e delle organizzazioni ucraine di fronte agli attacchi russi. Il fatto infine che, grazie alla collaborazione di attori pubblici e privati, sono stati conservati online i documenti e le immagini che testimonieranno i crimini di guerra alla fine del conflitto permette di capire che il digitale non ha a che fare solo con la sicurezza, ma anche con la giustizia.
*A cura dell’Avv. Andrea Boscaro, partner di The Vortex
Opmerkingen