La sicurezza informatica dell’Europa è tanto forte quanto lo è l’anello più debole della catena: dobbiamo assolutamente mettere la cibersicurezza al centro della nostra economia. Ha ragione Ferruccio De Bortoli quando scrive: «Un virus informatico è come un virus sanitario. Cambia la prevenzione, non la sostanza. C’è anche una igiene cibernetica».
Il costo, materiale e immateriale, della criminalità informatica è in costante aumento, valutabile intorno ai 5,5 trilioni di euro nel 2021. Non passa giorno senza che vengano segnalati attacchi, vulnerabilità, ransomware o simili. Per questo il voto della Commissione Industria, Ricerca ed Energia del Parlamento europeo sul Cyber Resilience Act (CRA), di cui sono relatore, segna una tappa importante per la cibersicurezza del nostro continente.
Con questo atto, vogliamo stabilire requisiti orizzontali di sicurezza informatica per i prodotti hardware e software, per garantire che i produttori migliorino la sicurezza durante la fase di progettazione e sviluppo, che le catene di fornitura siano più sicure dal punto di vista informatico e che gli aggiornamenti di sicurezza siano forniti costantemente agli utenti. Solo se rispetterà questi requisiti un prodotto potrà avere il marchio CE e circolare liberamente nel mercato unico.
I prodotti connessi dovranno quindi essere progettati tra l’altro per ridurre le potenziali superfici di attacco e con meccanismi atti a garantire la protezione da accessi non autorizzati o la riservatezza e l’integrità dei dati. È fatto obbligo poi alle aziende di assicurare la regolare gestione delle vulnerabilità trovate nei prodotti durante il ciclo vita, attraverso tra l’altro l’installazione automatica di aggiornamenti di sicurezza (pur preservando il diritto dell’utente a disattivare questa funzione).
Abbiamo stilato poi una lista di prodotti ad alto rischio che dovranno sottostare a obblighi più stringenti: quando si parla di cryptoprocessor (microprocessore progettato per gestire le chiavi di crittografia), firewalls per usi industriali, sistemi operativi, non basterà una auto valutazione di conformità del prodotto. Si dovrà passare per società terze, i cosiddetti organismi di valutazione della conformità, specializzate nell’esecuzione di audit e che forniranno maggiori rassicurazioni a chi di quei prodotti si servirà.
Infine, abbiamo anche cercato di dare una risposta equilibra sul tema del software open-source, esentando in maniera chiara dagli obblighi chi contribuisce a progetti senza scopo di lucro, ma al contempo responsabilizzando fondazioni e aziende che stanno al centro dell’ecosistema open-source e hanno le capacità – economiche e tecniche – per garantire prodotti più sicuri.
Insomma, affrontare la sicurezza informatica fin dall’inizio del processo produttivo non solo proteggerà l’economia e gli interessi finanziari dell’Europa, ma darà anche alle nostre aziende un vantaggio competitivo rispetto ai nostri concorrenti internazionali.
La cybersicurezza è un tema che riguarda tutti, stati, imprese e cittadini, perché come ricorda De Bortoli: «Anche la piccola azienda, persino il dipendente che lavora da casa in Smart working possono essere la porta di ingresso di intrusioni criminali che prendono in ostaggio dati sensibili».Con il CRA, l’Europa si sta attrezzando.