I problemi in campo cyber security non sono legati solo alla maggiore o minore capacità dei singoli produttori di creare oggetti hardware o software "sicuri", ma proprio al modo con cui interi settori di mercato affrontano la questione sicurezza sin dalle prime fasi dello sviluppo dei prodotti. La sicurezza dovrebbe essere "by design", raramente lo è.

Le normative qui hanno un ruolo chiave, perché senza obblighi di legge molte aziende non hanno abbastanza motivi per puntare a una sicurezza intrinseca. Ecco perché la Commissione Europea ha definito il nuovo Cyber Resilience Act. Una norma che, si spiega, "introduce requisiti obbligatori di cyber sicurezza per i prodotti che hanno componenti digitali, lungo tutto il loro ciclo di vita".

Cyber Resilience Act: il senso della normativa

Il Cyber Resilience Act nasce da una constatazione precisa: gli attacchi informatici cavalcano sempre più spesso vulnerabilità presenti nele piattaforme software e nella parte software di prodotti fisici. Ad aggravare la situazione, i consumatori e le imprese non hanno abbastanza informazioni e indicazioni per poter scegliere un prodotto che sia "garantito" per la sua sicurezza. Manca il "marchio CE" per la cyber security, ed è quello che la nuova norma introduce.

Il Cyber Resilience Act non reiventa la ruota, quando questa c'è e funziona. Non sostituisce cioè le normative europee già esistenti sulla sicurezza cyber. E, anzi, i prodotti che sono già stati certificati conformi a norme UE preesistenti legate alla cyber security si considereranno "validi" anche per il nuovo Cyber Resilience Act. Tra l'altro, sottolinea la Commissione, la nuova norma non riguarda i prodotti con componenti digitali che sono già coperti da norme specifiche per il software embedded, i dispositivi medicali e diagnostici, l'aviazione civile, i veicoli, l'ambito militare.

La norma inoltre non tocca i servizi "puri" - ad esempio le applicazioni SaaS - tranne quando questi servono per l'elaborazione dei dati relativi a un oggetto o un macchinario connesso. In sostanza, il Cyber Resilience Act non andrà a sindacare sul funzionamento della nostra piattaforma di email, ma toccherà ad esempio i moduli che gestiscono le immagini raccolte da una videocamera di sicurezza o controllano da remoto una linea di produzione.

Cyber Resilience Act: gli obblighi

In estrema sintesi, il Cyber Resilience Act impone che nell'Unione Europa possano essere commercializzati solo prodotti a marchio CE digitalmente sicuri, i cui produttori si comportino in modo tale da mantenerli sicuri lungo tutto il loro ciclo di vita.

Per la norma, un prodotto è "sicuro" se - tra l'altro - è progettato e realizzato in modo da avere un livello di sicurezza appropriato ai rischi cyber che il suo uso comporta, non ha vulnerabilità note al momento in cui viene venduto, ha una configurazione sicura di default, è protetto da connessioni illecite, tutela i dati che raccoglie, prevede l'eliminazione di vulnerabilità attraverso aggiornamenti software.

Da parte sua, un produttore è considerato affidabile se - tra l'altro - rende disponibili le "bill of materials" dei componenti software dei suoi prodotti, emette rapidamente patch gratuite in caso di nuove vulnerabilità, rende pubbliche e dettaglia le vulnerabilità che rileva e risolve, testa regolarmente la "solidità" dei prodotti che commercializza. Queste e le altre attività imposte dal Cyber Resilience Act vanno svolte per tutta la vita di un prodotto, o almeno per cinque anni dalla sua immissione sul mercato.

Le caratteristiche di cyber security di un prodotto vengono auto-certificate dal produttore o ratificate da una terza parte (lo spieghiamo meglio più avanti), mentre l'affidabilità del produttore viene validata costantemente. La nuova norma prevede infatti una regolare attività di sorveglianza che ogni Stato membro UE porterà avanti, affidandola a una authority nazionale.

Se questa sorveglianza rileva che un prodotto non è (più) sicuro come dichiarato, la sua commercializzazione può essere bloccata nella nazione che si è "allertata". Il blocco in una nazione viene valutato a livello UE e, se giustificato, viene esteso a più nazioni e l'agenzia europea per la sicurezza (ENISA) può scendere in campo per valutare in dettaglio il prodotto segnalato. All'opposto, le valutazioni indipendenti di ENISA possono portare in qualsiasi momento al blocco comunitario della commercializzazione di un prodotto.

Le sanzioni previste dal Cyber Resilience Act sono pesanti. La non-compliance con i requisiti essenziali di cyber security di un prodotto comporta una multa che può arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell'anno fiscale precedente (vale la cifra più elevata). Non osservare un qualsiasi altro obbligo della norma comporta una sanzione fino a 10 milioni di euro o al 2% del fatturato. Fornendo informazioni non corrette, incomplete o ingannevoli agli organismi di certificazione o alle authority di sorveglianza si rischia una sanzione sino a 5 milioni di euro al 1% del fatturato.

Vari gradi di sicurezza

Il Cyber Resilience Act agisce in maniera proporzionale al rischio cyber presentato da un prodotto o da un software. Il 90% di essi, ritiene la Commissione Europea, può rientrare in una categoria di default per cui ci si può fidare di una auto-valutazione del produttore, come già accade per altri tipi di certificazione legati al marchio CE.

Per questo tipo di prodotti, in sostanza, il produttore deve eseguire una auto-valutazione della loro cyber security secondo le linee guida della normativa. Sotto la propria responsabilità il produttore presenta una specifica documentazione che dichiara l'affidabilità del prodotto, per poi poter apporre il marchio CE. Se il prodotto o software viene modificato in modo rilevante, la procedura va ripetuta.

Il restante 10% dei prodotti e software a rischio cyber richiede, secondo la Commissione Europea, una maggiore attenzione. Sono i cosiddetti "prodotti critici con elementi digitali", critici perché una loro falla o violazione può portare, in cascata, ad altre pericolose e più estese violazioni della sicurezza. Prevedibilmente, e ovviamente, in questa categoria rientrano innanzitutto i prodotti che "fanno" in vario modo cyber security e i componenti di base dell'IT e dell'OT.

L'elenco è ampio e diviso in una Classe I di prodotti a relativamente minor rischio e una Classe II di prodotti più critici. Nella Classe I troviamo ad esempio web browser, password manager, antimalware, piattaforme di network management e monitoring, SIEM, firewall, IPS, router, switch, microprocessori, microcontroller, ASIC, sistemi di automazione industriale, sistemi OT, moduli IoT.

Nella Classe II troviamo tra l'altro sistemi operativi, piattaforme di virtualizzazione, firewall e IPS industriali, chip di sicurezza, router e switch industriali, piattaforme di cifratura, sistemi di controllo e automazione industriale progettati per servizi essenziali e critici, soluzioni di Industrial IoT, smart meter, componenti robotici.

Per i prodotti di Classe I non bastano le autocertificazioni di base. Un produttore può ancora auto-certificarsi, ma solo se dichiara di aver seguito precisi standard di mercato, specifiche di sicurezza o certificazioni di cyber security già previste dalla UE. In alternativa, può far certificare il suo prodotto da una terza parte, tipicamente un ente di certificazione accreditato. Quest'ultima strada - il coinvolgimento di una terza parte - è l'unica possibile per i prodotti di Classe II.

Cyber Resilience Act: i prossimi passi

Il Cyber Resilience Act non è ancora una norma ratificata ma solo una dettagliata bozza proposta dalla Comissione. Ora la bozza va esaminata dal Consiglio e dal Parlamento Europeo, per eventuali modifiche. Alla fine di questa valutazione potrà entrare davvero in vigore. Da quel momento le aziende avranno due anni per adattarsi alla norma. Fa eccezione l'obbligo per un produttore di notificare immediatamente gli incidenti di sicurezza legati ai suoi prodotti e lo sfruttamento attivo delle loro vulerabilità. Questo obbligo entrerà in vigore già un anno dopo la ratificazione del Cyber Resilience Act.

L'impatto maggiore della norma si avrà nel mercato consumer, in cui oggetti connessi e software più o meno noti mostrano quasi quotidianamente falle preoccupanti per come sono progettati, funzionano, gestiscono dati. D'altronde è proprio in questo ambito che il Cyber Resilience Act vuole mettere ordine. Il che interessa però anche quelle aziende o quei dipartimenti che hanno vissuto di recente una "consumerizzazione" magari poco controllata della loro IT. Non va demonizzata ma, quantomeno, guidata con attenzione.