Il Cyber Resilience Act dell'UE è la prima legislazione di livello europeo che impone regole di cybersecurity ai produttori. Riguarderà sia l'hardware che il software e si applicherà ai produttori e agli sviluppatori, che diventeranno responsabili della sicurezza dei dispositivi connessi. La Commissione europea afferma che il regolamento affronterà due questioni: "il basso livello di sicurezza informatica di molti prodotti e, soprattutto, il fatto che molti produttori non forniscono gli aggiornamenti per risolvere le vulnerabilità."
Sarà fondamentale indagare bene ogni dettaglio nel corso dello sviluppo e rilascio dei requisiti. Prevediamo che, come per altre normative, saranno usati approcci non prescrittivi come "crittografare i dati sensibili", "i dispositivi devono poter essere aggiornati", "garantire l'integrità del software e del firmware", ecc. Tuttavia, per giustificare una sanzione, occorrono metodi misurabili. È probabile che vengano richiesti aggiornamenti regolari, visto che questo è uno degli aspetti critici sollevati dalla Commissione Europea. L'invio di aggiornamenti automatici a una vasta gamma di dispositivi è difficile senza una soluzione che renda fattibile e automatizzata questa operazione per i produttori. Inoltre, la Commissione Europea ha dichiarato che i consumatori dovranno avere maggiori informazioni per poter prendere decisioni di acquisto informate e per configurare i propri dispositivi in modo sicuro.
I produttori di dispositivi IoT potrebbero incorrere in multe e sanzioni ingenti in caso di mancata conformità alla bozza di legge europea sulla resilienza informatica. Questa è una delle prime legislazioni che prevede una sanzione pecuniaria in caso di mancata conformità. L'UE è chiara sul fatto che con questa proposta di legge l'onere finanziario dei dispositivi ricadrà sui produttori e sugli sviluppatori.
Inoltre, i prodotti che non soddisfano i requisiti "essenziali" di sicurezza informatica non potranno essere immessi sul mercato. I produttori devono quindi iniziare a integrare la sicurezza nel design dei dispositivi fin d'ora, in modo che nei prossimi anni siano all'altezza degli standard di sicurezza richiesti. Le autorità di sorveglianza del mercato dei vari Stati membri dell'UE avranno la responsabilità di multare le aziende non conformi, fino a un limite stabilito dalla legge, e di vietare la commercializzazione dei dispositivi non conformi. Tuttavia, avere un unico standard per la sicurezza informatica in tutta l'UE consentirà ai produttori di capire in modo più chiaro e semplice come mantenere la conformità.
Questa innovativa proposta di legge europea darà ai consumatori più potere d'acquisto e più fiducia nei loro dispositivi, imponendo ai produttori di fornire informazioni sulla sicurezza dei dispositivi prima dell'acquisto. Le norme richiederanno la disponibilità di maggiori informazioni su come scegliere prodotti sicuri e su come configurare i dispositivi in modo sicuro. Avere in anticipo informazioni sulla sicurezza dei dispositivi permetterà ai consumatori di prendere decisioni di acquisto più informate, come già facciamo leggendo le etichette nutrizionali degli alimenti per capirne la composizione.
La maggiore trasparenza richiesta ai produttori sulla sicurezza informatica dei loro dispositivi, migliorerà la fiducia dei consumatori verso i dispositivi connessi presenti sul mercato. Inoltre, secondo la Commissione Europea, se i consumatori si fidassero maggiormente della loro sicurezza, la domanda di "prodotti con elementi digitali" potrebbe anche aumentare.
Le autorità di regolamentazione non dovrebbero essere costrette a intervenire con multe e provvedimenti per incentivare la sicurezza, ma purtroppo questa è considerata troppo spesso un aspetto secondario nello sviluppo dei dispositivi. In teoria, le aziende dovrebbero sapere quanto sia importante proteggere il proprio business, i clienti, la reputazione e i dipendenti, e dovrebbero gestire la sicurezza in modo adeguato perché è la cosa giusta da fare. Fino a quando non sarà così, dovremo continuare ad aspettarci che i regolatori impongano sanzioni. Inoltre, anche la possibilità per le autorità di sorveglianza nazionali di vietare o limitare la vendita di prodotti non conformi sarà un'arma utile per migliorarne la sicurezza.
Allo stato attuale, la norma è in fase di esame da parte del Parlamento europeo e del Consiglio in vista dell'attuazione. Una volta promulgata, gli Stati membri avranno fino a due anni per recepirne i requisiti. Pertanto, i produttori dovrebbero essere pronti a conformarsi alla legge in qualsiasi momento nei prossimi anni.
Tuttavia, la tendenza a un sempre maggiore intervento normativo sui dispositivi connessi continuerà. Il Cyber Resilience Act dell'UE è solo il primo passo: è logico pensare che diventerà una linea guida per lo sviluppo di standard simili da parte di altri enti normativi. In futuro, le normative sull'IoT e sui relativi design saranno sempre di più. È quindi importante che i produttori implementino fin d'ora la cybersecurity nel design, per essere preparati alla futura regolamentazione dell'IoT.
A questo si aggiunge un altro trend, ovvero la cooperazione di diversi settori per risolvere il problema della sicurezza dei dispositivi. Ad esempio, l'imminente protocollo Matter per l'interoperabilità, la sicurezza e l'affidabilità dei dispositivi per le smart home può servire come roadmap di settore per migliorare la sicurezza dei dispositivi IoT. Sebbene i dettagli completi della proposta di legge dell'UE non siano ancora stati resi noti, è verosimile che i produttori conformi al protocollo di sicurezza Matter, che utilizzano certificati di attestazione dei dispositivi e certificati intermedi di attestazione dei prodotti, soddisfino i requisiti dei legislatori UE. Inoltre, avranno l'opportunità di mostrare la sicurezza ai consumatori, grazie al sigillo di approvazione Matter dei dispositivi conformi.
DigiCert ritiene che il Cyber Resilience Act dell'UE possa aumentare la fiducia digitale nel nostro mondo connesso. Da tempo sosteniamo la necessità della sicurezza "by design" e disponiamo dell'esperienza e delle soluzioni per aiutare i produttori a realizzarla. Ad esempio, DigiCert for Connected Devices, con la premiata soluzione IoT Device Manager e con Mocana, può aiutare i produttori a gestire l'intero ciclo di vita dei dispositivi, incluso l'invio di aggiornamenti sicuri. Consulta https://www.digicert.com/iot/trust-for-connected-devices per scoprire come far progredire la tua sicurezza IoT in anticipo rispetto a questa nuova legge e migliorare la tua Digital Trust.
IoT Device Manager crea un flusso di lavoro automatizzato e completo per permettere alle aziende di gestire i loro dispositivi IoT con una protezione basata sui certificati, durante la produzione e a livello edge. Offre scalabilità, flessibilità, controllo ed efficienza, requisiti necessari per una rete di dispositivi connessi. Gli amministratori possono monitorare l'intero ciclo di vita dei certificati, facilitare gli aggiornamenti sicuri, personalizzare i metadati relativi al dispositivo all'interno dei certificati e mantenere la conformità. Anziché costruire e mantenere una PKI gestita internamente, IoT Device Manager ne automatizza l'implementazione, semplificando la gestione anche di ampie reti di dispositivi. Gli amministratori possono personalizzare i permessi e il controllo degli accessi e segmentare le attività di amministrazione fra diversi gruppi di utenti. IoT Device Manager fa parte di DigiCert ONE™ e offre quindi una flessibilità che ne consente l'implementazione in locale, nel paese o nel cloud per soddisfare requisiti rigorosi ed esigenze di integrazioni personalizzate e di air gap.