L’urgente necessità di aumentare il livello di sicurezza in Europa passa anche per i sempre numerosi endpoint IoT. Il Commissario Europeo al Mercato Unico Thierry Breton lo aveva già ben sottolineato un anno fa e adesso sta per arrivare la proposta di legge. Una reazione all’esplosione di oggetti connessi e all’aumento dell’uso dei dati industriali, ma non solo. Anche un’azione per “dare una strigliata” a produttori di device e software attivi all’interno dell’Unione Europea che non sembra abbiano finora colto l’entità dei rischi a cui espongono il mercato interno con il loro trascurare importanti requisiti di sicurezza.
Le misure saranno ufficialmente proposte entro metà settembre e, se attuate, saranno le prime dell’UE contro il cybercrime che coinvolgono tutti i settori in cui è presente una componente digitale.
Certificati, avvisi e multe: il mercato IoT messo alle strette
La bozza di legislazione si rivolge sia ai produttori di prodotti della “Internet delle cose”, come bollitori e frigoriferi intelligenti, sia agli sviluppatori di software. Da entrambe le categorie verrà preteso l’ottenimento dei certificati obbligatori che dimostrino il rispetto dei requisiti di base di sicurezza informatica per ridurre al minimo il rischio di attacchi.
Con questa misura si mira ad allineare tutti i player almeno su un livello di sicurezza informatica definito come uno “standard minimo”. Quello attuale, infatti, viene ritenuto “troppo basso” dalle autorità europee che criticano il mercato IoT anche per un’insufficiente comprensione e accesso alle informazioni da parte degli utenti. Ciò significa, infatti, non garantire loro il diritto e la libertà di scegliere prodotti con adeguate caratteristiche di sicurezza informatica.
Saranno numerosi e sostanziali gli aspetti a cui prestare attenzione per mettersi in regola ed evitare di essere multati. Stavolta le sanzioni potrebbero arrivare fino a 15 milioni di euro o al 2,5% del fatturato globale dell’anno precedente, se superiore.
Tra le novità, tutte contenute in un documento confidenziale visionato dal Financial Times, c’è anche l’obbligo di informare le autorità e i consumatori degli attacchi e di mostrarsi in grado di apportare soluzioni rapide. La proposta di legge, che potrebbe entrare in vigore nel 2024, conferisce anche nuovi poteri alla Commissione Europea. In particolare quello di richiamare e vietare i prodotti non conformi, impedendo che possano aumentare il livello di rischio cyber per all’UE e i suoi cittadini.
Buoni orizzonti per l’IoT europeo, ottimi senza la “tassa” del cybercrime
Soprattutto le nuove multe appaiono pensate per mettere alle strette il settore che finora ha dimostrato un diffuso disinteresse sul tema della cybersecurity. Da uno studio condotto dalle autorità di regolamentazione dell’UE, infatti, solo la metà delle aziende applica le misure di salvaguardia adeguate contro gli attacchi informatici. A spingere i legislatori a rimettere le mani sulle norme, proprio questo dato e il constatare che due terzi degli attacchi informatici provengono da violazioni già individuate in precedenza e che i produttori non hanno risolto.
Se la proposta di legge diventerà realtà sarà obbligatorio farlo per poter avere accesso al mercato IoT dell’UE, che oggi comprende 23.000 produttori di hardware, con un fatturato annuo complessivo di 285 miliardi di euro, e circa 370.000 produttori di software, con un fatturato annuo complessivo di 265 miliardi di euro. Un settore vivace, per cui si prevede una crescita continua, più accentuata se sarà in grado di ridurre i suoi costi legati alla criminalità informatica che, globalmente, sfiorano i 5,5 miliardi di euro.