I CEO di Siemens, Ericsson, Bosch, Schneider Electric, Nokia ed ESET, in collaborazione con l’associazione DigitalEurope, hanno espresso le loro preoccupazioni riguardo al Cyber Resilience Act europeo. In una lettera indirizzata all’Europa mettono in guardia: le nuove regole proposte dall’UE potrebbero interrompere le supply chain su una scala simile a quella sperimentata durante la pandemia da Covid-19 e propongono modifiche chiave.
“A nome di DigitalEurope, vi scriviamo per esprimere le nostre preoccupazioni riguardo alle attuali negoziazioni per un Cyber resilience act (Cra) e offrire le nostre soluzioni mentre entriamo in questa fase finale cruciale delle trattative”, si legge nella lettera. “Siamo da tempo favorevoli a regole orizzontali sulla cybersicurezza per i prodotti connessi, al posto di regole diverse per settore. Tuttavia, la legge così com’è rischia di creare ostacoli che interromperanno il mercato unico, influenzando milioni di prodotti – dalle lavatrici ai giocattoli, dai prodotti di sicurezza informatica ai componenti vitali per pompe di calore, macchine refrigeranti e produzione ad alta tecnologia”.
Il Cyber Resilience Act, proposto dalla Commissione Europea lo scorso anno, richiede ai produttori requisiti obbligatori di sicurezza informatica per i prodotti con elementi digitali, durante tutto il loro ciclo di vita. Sono inclusi tutti i dispositivi con una connessione diretta o indiretta a un altro dispositivo o alla rete, fissa o mobile, come Pc, smartphone, prodotti per la smart home, cuffie wireless, software. Lo scorso luglio il Consiglio Ue ha dato il via libera alla propria posizione negoziale su Cyber Resilience Act.
Le preoccupazioni per la sicurezza informatica sono aumentate a seguito di una serie di episodi di alto profilo di hacker che hanno danneggiato aziende e chiesto ingenti riscatti. Le interruzioni potrebbero colpire milioni di prodotti, dalle lavatrici ai giocattoli, ai prodotti di cybersecurity, così come i componenti vitali per le pompe di calore, le macchine di raffreddamento e la produzione high-tech. I ritardi potrebbero essere dovuti alla carenza di esperti indipendenti per condurre le valutazioni e alla burocrazia.
Altre preoccupazioni riguardano la segnalazione. A giugno, insieme a un ampio gruppo di associazioni industriali, DigitalEurope ha lanciato l’allarme sui pericoli della segnalazione di vulnerabilità non risolte, preoccupazioni che sono state anche riprese dalla società civile e da esperti di sicurezza. L’associazione teme “che il volume delle segnalazioni sia troppo elevato per le autorità pubbliche da gestire, considerando la carenza di 300.000 specialisti in sicurezza informatica in Europa”.
Se i co-legislatori insisteranno nel mantenere nell’ambito della legge le vulnerabilità attivamente sfruttate, secondo DigitalEurope sono essenziali alcune salvaguardie come, per esempio, la possibilità ai produttori di dare la priorità alle patch rispetto alla segnalazione immediata, basandosi su motivazioni giustificate legate alla sicurezza informatica (come evitare un’ulteriore diffusione del software dannoso). Nella pratica, questo potrebbe essere ottenuto modificando l’Art. 11(1) proposto dal Consiglio.
Inoltre, come nel Nis2, la segnalazione dovrebbe essere limitata a incidenti e vulnerabilità che rappresentano un significativo rischio per la sicurezza informatica. “Per evitare duplicazioni di sforzi, chiediamo anche il rispetto del principio un incidente-una segnalazione”, si legge nella lettera.
Infine, DigitalEurope sostiene la definizione di “vulnerabilità attivamente sfruttata” proposta dal Parlamento, secondo la quale deve esserci una prova affidabile di un attacco riuscito, piuttosto che solo un tentativo, e la precisazione che le vulnerabilità scoperte senza intenti maligni non dovrebbero essere soggette a notifiche obbligatorie.
La lettera precede i negoziati dell’8 novembre tra i Paesi dell’UE e i legislatori europei per definire i dettagli del progetto di legge prima che possa essere adottato.