La nuova proposta dell'Unione europea sulla sicurezza informatica prende di mira la criminalità informatica

I legislatori stanno cercando di rafforzare i requisiti di sicurezza informatica in tutta l’Unione Europea, promuovendo una nuova legislazione per rafforzare i requisiti di sicurezza per tutti i prodotti hardware e software digitali. La proposta di legge, intitolata Cyber ​​Resilience Act, riguarderebbe tutto, dai computer e telefoni cellulari agli elettrodomestici da cucina intelligenti e ai giocattoli digitali per bambini.

"Quando si tratta di sicurezza informatica, l'Europa è forte tanto quanto il suo anello più debole: che si tratti di uno Stato membro vulnerabile o di un prodotto non sicuro lungo la catena di approvvigionamento", ha affermato Thierry Breton, commissario UE per il mercato interno.

La proposta di legge, presentata dalla Commissione Europea all’inizio di questo mese, impone che i prodotti siano progettati, sviluppati e prodotti in modo da mitigare i rischi di sicurezza informatica. Ciò include, ad esempio, l’obbligo di vendere prodotti in una configurazione predefinita sicura, di mantenere un sistema completo di identificazione del prodotto e di garantire che le vulnerabilità sfruttabili possano essere affrontate attraverso aggiornamenti di sicurezza, oltre ad altre norme sulla divulgazione della criminalità informatica.

Negli ultimi anni il numero di dispositivi personali connessi a Internet è cresciuto in modo significativo.

Eppure molti di questi cosiddetti Internet delle cose i prodotti sono altamente vulnerabili agli attacchi informatici e ai crimini informatici. Infatti, attacchi ransomware Secondo le stime, si verificano in tutto il mondo ogni 11 secondi e l’anno scorso sono costati all’economia globale circa 20 miliardi di euro Cybersecurity Ventures. Nel frattempo, gli attacchi DDoS, ovvero tentativi dannosi volti a interrompere o interrompere l’accesso a servizi Internet o siti Web, costano solo Economia dell'UE circa 65 miliardi di euro nel 2020.

In Belgio, ad esempio, quasi 1,000 aziende sono state colpite da crimini informatici nel 2021, un aumento del 300% rispetto all’anno precedente, secondo uno studio analisi di Mastercard. La maggior parte degli attacchi informatici ha comportato attacchi malware e ransomware.

“Meritiamo di sentirci sicuri con i prodotti che acquistiamo nel mercato unico”, ha affermato Margrethe Vestager, vicepresidente esecutiva della Commissione europea per Un’Europa pronta per l’era digitale. “Il Cyber ​​Resilience Act garantirà che gli oggetti connessi e il software che acquistiamo siano conformi a forti misure di sicurezza informatica”.

Un funzionario della Microsoft Digital Crimes Unit mostra una mappa termica delle reti informatiche dannose nell'Europa occidentale nel 2013. Immagine: REUTERS/Jason Redmond

Si prevede inoltre che i protocolli di sicurezza informatica rafforzati aiutino aziende e produttori, in particolare le imprese più piccole che potrebbero non disporre delle risorse tecniche o dei mezzi finanziari per sopravvivere a un attacco informatico.

All'inizio di quest'anno, il World Economic Forum Prospettive globali sulla sicurezza informatica hanno riferito che il costo medio di una violazione informatica per un’azienda è stato di 3.6 milioni di dollari. Inoltre, le aziende prese di mira hanno visto crollare i prezzi delle azioni e hanno trascorso in media 280 giorni a identificare e rispondere a un attacco informatico.

“I leader tecnologici, le aziende e i loro consigli di amministrazione farebbero bene a prestare attenzione a questi sviluppi e a riconoscere che la strategia informatica è una strategia aziendale e che comprendere il rischio informatico fa parte di una buona governance nell’era digitale”, ha affermato Daniel Dobrygowski, capo di governance e fiducia presso il Centro per la sicurezza informatica del Forum.

La proposta di Cyber ​​Resilience Act è stata accolta con favore da gruppi industriali come il TIC Council, un’organizzazione globale che copre i settori indipendenti di test, ispezione e certificazione. "La proposta costituisce un buon primo passo verso un mercato unico più resiliente alla cybersicurezza", ha affermato Martin Michelot, direttore esecutivo per l'Europa del Consiglio TIC.

La legislazione era prima messo avanti dalla presidente della Commissione europea Ursula von der Leyen nel novembre 2021. Se l’atto sarà approvato dal Parlamento europeo e dal Consiglio europeo, i paesi dell’UE avranno due anni per adattare le nuove regole.

“La fiducia digitale è una necessità in un’economia globale che fa affidamento sulla connettività sempre crescente, sull’uso dei dati e sulle nuove tecnologie innovative”, ha affermato Akshay Joshi, responsabile dell’industria e delle partnership presso il Centro per la sicurezza informatica del Forum. “Poiché i cittadini comuni diventano sempre più diffidenti nei confronti delle tecnologie con cui interagiscono, questo regolamento migliorerà ulteriormente la trasparenza e consentirà agli utenti finali di fare scelte informate”.

Il Cyber ​​Resilience Act dell’UE si unisce a numerosi altri atti legislativi proposti in tutto il mondo che mirano a frenare la criminalità informatica, che secondo Cybersecurity Ventures costerà all’economia globale 5.5 trilioni di euro nel 2021. Entro il 2025, danni da criminalità informatica dovrebbero superare i 10 miliardi di euro.

All'inizio di quest'anno, gli Stati Uniti ha emanato una nuova legge rafforzare i requisiti di divulgazione della criminalità informatica per le aziende che lavorano nei settori delle infrastrutture critiche. La politica ha fatto seguito a un grave attacco ransomware nel maggio 2021 contro Colonial Pipeline, che gestisce il più grande sistema di condutture del paese per carburante per aerei, benzina e diesel. L’attacco, che secondo quanto riferito è stato lanciato attraverso una vecchia rete privata virtuale aziendale, ha paralizzato gli oleodotti lungo la costa orientale degli Stati Uniti e ha provocato Pagamento dell’oleodotto coloniale agli hacker sono stati dati in Bitcoin un valore di circa 5 milioni di dollari. Il Dipartimento di Giustizia degli Stati Uniti più tardi recuperato quasi la metà del pagamento del riscatto.

Oggi, la US Securities and Exchange Commission e la Congresso degli Stati Uniti stanno inoltre perseguendo nuove normative per rafforzare e standardizzare i parametri di riferimento della sicurezza informatica e i requisiti di divulgazione della criminalità informatica.

“La regolamentazione ha un ruolo importante da svolgere nell’incentivare la resilienza informatica”, ha aggiunto Dobrygowski.