Tutti vogliono un Cyber Resilience Act (CRA) ma molti non vogliono il Cyber Resilience Act così come sta prendendo forma. Niente di sorprendente all’interno dell’iter di approvazione di uno di quegli “Act” dell’Unione Europea destinato a rivoluzionare diversi settori. Oltre al mondo dell’open source, a dichiararsi preoccupato rispetto ai contenuti di questo nuovo regolamento è il mondo IoT. Apprezza l’idea di “norme orizzontali sulla cybersecurity per i prodotti connessi, piuttosto che a un mosaico di norme diverse per settore”, ma non è del tutto convinto dell’attuale testo.
Troppi prodotti diversi da valutare sicuri
Non si tratta di rumors, di proteste sottobanco o affidate ai media: i produttori di elettronica hanno illustrato perplessità e rimedi in una lettera ufficiale firmata da Siemens, Ericsson, Bosch, Schneider Electric, Nokia ed ESET insieme al gruppo industriale DigitalEurope che rappresenta oltre 45.000 aziende che operano e investono in Europa (tra cui 105 aziende leader a livello mondiale) e 41 associazioni di categoria nazionali di tutta Europa.
Il pericolo numero uno che vedono nel CRA è che possa perturbare il mercato unico, impattando sia sul B2B che sul B2C, dato che sono compresi prodotti consumer come lavatrici e giocattoli, ma anche aziendali come componenti per device di cybersecurity, network e computing.
Riconoscendo l’attuale incapacità dell’Europa di valutare in tempi ragionevoli la sicurezza del gran numero di prodotti coinvolti dal CRA, il settore IoT prevede colli di bottiglia legati alla necessità di rivolgersi a certificatori terzi per dimostrarne la conformità.
Questo rallentamento non farà certo del bene alla supply chain che, già resa fragile dal Covid, rischierebbe di accusare un altro forte colpo, compromettendo la competitività del mercato unico europeo. I timori sono “corredati” da 3 proposte di emendamento. Prima di tutto DigitalEurope vorrebbe usufruire di una maggiore possibilità di autovalutazione, come abbiamo nella legge sull’AI, e vedere prolungato il periodo di attuazione fino ad almeno 48 mesi, per consentire lo sviluppo di standard armonizzati. Utile sarebbe anche ridurre significativamente l’elenco dei prodotti a rischio più elevato, elencati nell’Allegato III.
La segnalazione delle vulnerabilità
Il secondo aspetto del CRA su cui i produttori si focalizzano è quello che riguarda le vulnerabilità. Anche in questo caso, i timori non riguardano l’approccio scelto dall’UE e non mettono in discussione l’importanza di segnalarle, ma se ne temono i volumi.
In un mercato ampio come quello abbracciato da questo Act, il rischio – se non la certezza – è che il numero di alert sia troppo elevato da gestire per le autorità pubbliche, “data la mancanza di 300.000 specialisti di cybersicurezza in Europa”. Un gap da non trascurare e che si può cercare di tamponare dando da parte dell’UE alcune garanzie. I produttori dovrebbero poter avere la libertà di valutare e scegliere di caso in caso se dare la priorità alle patch rispetto alla segnalazione immediata, “sulla base di motivi giustificati legati alla sicurezza informatica”.
Le segnalazioni, inoltre, dovrebbero scattare solo quando emerge un rischio significativo, rispettando il principio “un incidente – una segnalazione”, per evitare di duplicare gli sforzi. Da chiarire meglio, sempre secondo DigitalEurope, anche la definizione data dal Parlamento di “vulnerabilità attivamente sfruttata”. Insindacabilmente dovrebbe escludere i “semplici tentativi” e le vulnerabilità scoperte “ma senza intento malevolo”.
