La Commissione Europea ha battezzato Cyber Resilience Act la legge a cui lavorava da mesi, ora ufficialmente presentata. Il testo fissa alcuni principi tesi a garantire una maggiore sicurezza e privacy agli utenti (o aziende) che si affidano a soluzioni informatiche, siano esse di tipo hardware, software o servizi.
È un passo fondamentale per aumentare la consapevolezza dell’importanza della cyber security in tutti gli aspetti del ciclo di vita di un prodotto: dalla fase di Concept, alla fase di Design, poi di Implementazione, infine di Testing. A seguire saranno anche interessate le fasi di Post-sviluppo e Produzione.
Ora il Cyber Resilience Act introduce alcuni requisiti di cybersicurezza obbligatori per qualsiasi prodotto che preveda almeno una componente digitale e che, anche solo potenzialmente, si connetta a Internet. Oltre a server, firewall, sistemi Nas, modem, router, switch, Pc, smartphone e tablet, dunque, la normativa copre quindi anche l’ampia pletora dei dispositivi Internet of Things come gli smartwatch, gli auricolari Bluetooth, le webcam o videocamere di sorveglianza e gli apparati di domotica (dai frigoriferi alle lavatrici smart).
Sono interessati dal nuovo regolamento, inoltre, anche i componenti semiconduttori come i processori e i software critici per la sicurezza, come gli antivirus, i gestori di password o i programmi per la condivisione di file.
I principali obiettivi di questa direttiva prevedono che: i produttori migliorino la sicurezza dei prodotti con elementi digitali sin dalla progettazione e fase di sviluppo e durante l’intero ciclo di vita; che è necessario garantire un framework di cyber security, facilitando la conformità per i produttori di hardware e software; che è necessario migliorare la trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali; che è necessario consentire alle imprese e ai consumatori di utilizzare i prodotti con elementi digitali in modo sicuro.
Il Cyber Resilience Act interessa non soltanto i produttori ma anche i distributori di prodotti digitali, anch’essi soggetti all’obbligo di certificazione. Trasgredire costa: chi produce o vende prodotti non conformi rischia multe che, a seconda della gravità della mancanza, potranno arrivare a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente alla sanzione.
