Con la crescente preoccupazione dei governi per la sicurezza dei dispositivi IoT, in particolare nelle infrastrutture critiche nazionali, può spiegarci il significato del Cyber Resilience Act (CRA) dell'UE?
Martin Nord: Il CRA dell'UE è un atto legislativo fondamentale. Ha enormi ramificazioni per la società in generale, per le aziende di vario tipo che utilizzano l'IoT nella maggior parte dei settori e, naturalmente, per gli utenti finali. Affronta i crescenti rischi per la sicurezza informatica derivanti dalla combinazione di un numero maggiore di attori malintenzionati con capacità avanzate e dall'aumento del volume dei dispositivi IoT. Purtroppo, molti di questi dispositivi sono storicamente insicuri, il che li rende bersagli privilegiati dei criminali informatici.
Il CRA è davvero significativo, poiché attribuisce ai produttori, agli sviluppatori di software e ai distributori la responsabilità di porre rimedio a questi problemi di sicurezza per poter servire il mercato unico europeo. Questi attori devono certificare che i dispositivi IoT sono "sicuri per progettazione". La sicurezza deve essere integrata nel dispositivo fin dall'inizio, anziché essere aggiunta in un secondo momento. Inoltre, questo deve essere documentato e certificato.
Come propone il CRA di applicare questo approccio "secure by design"?
Martin Nord: Il CRA lo fa rispettare attribuendo la responsabilità della sicurezza all'intera catena di fornitura dei dispositivi IoT, dai produttori ai distributori e agli importatori. Una volta approvata dal Consiglio, la mancata conformità a questi regolamenti impedirà alle aziende di ottenere i marchi CE per i loro prodotti, necessari per l'accesso al mercato. Il ritiro e il richiamo dei prodotti sono misure correttive che possono essere necessarie in alcuni casi, se l'attore ha informazioni che il prodotto non è conforme. Inoltre, le aziende non conformi possono incorrere in diversi tipi di ammende per le violazioni. La più severa è quella che può arrivare fino a 15 milioni di euro o al 2,5% del fatturato globale, a seconda di quale sia il valore più alto, per la mancata conformità ai requisiti essenziali di cybersecurity.
Ciò garantisce che tutte le parti interessate allo sviluppo e alla fornitura di dispositivi IoT diano priorità alle misure di sicurezza. Queste parti devono implementare le principali caratteristiche di sicurezza per migliorare la sicurezza nella pratica, come ad esempio lanciare solo prodotti sicuri all'inizio, con una documentazione adeguata. I loro obblighi si estendono anche all'intero ciclo di vita del prodotto, con l'obbligo di condurre un'analisi approfondita, condividere le vulnerabilità, fornire assistenza e fornire aggiornamenti di sicurezza per risolvere qualsiasi potenziale vulnerabilità.
Quale sarà l'impatto di questa legislazione sull'industria globale dell'IoT?
Martin Nord: Sebbene il CRA riguardi principalmente il mercato dell'UE, il suo impatto si estende ben oltre, a causa delle dimensioni del mercato e dell'obiettivo dell'industria di semplificare le variazioni dei prodotti. Mi aspetto che l'industria globale dell'IoT non ignori queste normative concentrandosi sui mercati extra-UE. Inoltre, molti altri Paesi stanno discutendo normative di sicurezza IoT simili, rendendo più piccolo il mercato dei dispositivi insicuri. Gli Stati Uniti, ad esempio, stanno lavorando al Cybersecurity Improvement Act, che si allinea al CRA. Si sta persino discutendo sul riconoscimento reciproco degli standard di conformità tra l'UE e gli Stati Uniti. Ciò significa che se un'azienda soddisfa gli standard del CRA, probabilmente sarà conforme anche alle normative statunitensi, semplificando la cooperazione internazionale e gli sforzi di conformità.
In fin dei conti, credo che anche i produttori di dispositivi IoT abbiano un interesse intrinseco a garantire i più elevati standard di sicurezza dei loro prodotti. Con una legislazione armonizzata in molti settori, ora è diventato più pratico realizzare questa ambizione, anche nei segmenti di mercato più sensibili al prezzo dell'IoT.
Quali sfide prevede per i produttori, gli importatori e i distributori nel soddisfare questi nuovi standard?
Martin Nord: La sfida principale è rappresentata dalle tempistiche di conformità. I produttori hanno 36 mesi per conformarsi alle nuove norme, con un periodo di tolleranza di 21 mesi per la segnalazione degli incidenti. Dato che il ciclo di vita tipico dei dispositivi IoT è di circa 18 mesi, le aziende devono iniziare ad adattare i loro processi immediatamente. Anche la responsabilità finanziaria e l'enorme volume di dispositivi che necessitano di conformità rappresenteranno sfide significative. L'implementazione di questi cambiamenti richiede investimenti sostanziali in misure di sicurezza e aggiornamenti continui, che possono mettere a dura prova le risorse, soprattutto per le aziende più piccole. Tuttavia, l'aspetto positivo per coloro che sono già preparati o che compiono rapidi progressi dovrebbe essere l'aumento dei profitti, poiché il mercato premierà coloro che sono in grado di offrire dispositivi già conformi alla normativa.
Come possono i produttori di IoT prepararsi al meglio per l'attuazione del CRA?
Martin Nord: La preparazione è fondamentale per evitare le sanzioni finanziarie derivanti dalla non conformità. I produttori dovrebbero richiedere fin dall'inizio la consulenza di esperti per poter gestire in modo efficace queste normative.
La prima cosa da fare è identificare se i vostri prodotti sono coperti da questa legislazione, e il requisito numero uno è che il prodotto sia effettivamente reso disponibile sul mercato. La normativa copre inoltre solo i "prodotti con elementi digitali" ("PDE"), definiti come "qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati a distanza, compresi i componenti software o hardware da immettere sul mercato separatamente". Potrebbe essere necessario analizzare nei dettagli le definizioni e le interpretazioni, ad esempio per concludere sui casi di software e software open-source.
È inoltre importante notare che esistono alcune esenzioni per i dispositivi, come ad esempio alcuni pezzi di ricambio destinati a sostituire componenti identici. Altre esenzioni riguardano settori attualmente considerati sufficientemente coperti da altre normative, come i dispositivi medici, i veicoli automobilistici, i prodotti dell'aviazione, l'hardware militare e le attrezzature marine. Tuttavia, questi settori potrebbero essere coperti in futuro, quindi è necessario pianificare come garantire la conformità a prescindere.
Anche se il prodotto non dovesse rientrare nel campo di applicazione del CRA, è bene tenere presente che altre normative potrebbero essere ancora applicabili, come la direttiva NIS2.
L'attuazione del CRA dipende dal prodotto specifico, dalla sua classificazione e dalla sua categoria. L'elenco completo dei requisiti si trova nel testo stesso del CRA, oppure si può trovare un partner specializzato nell'assistenza alle aziende. Naturalmente, è necessario assicurarsi di coprire tutti gli aspetti della normativa. Ad esempio, non è sufficiente lanciare un prodotto che è stato testato per essere privo di vulnerabilità se questo non è documentato, né se le informazioni non sono accessibili all'utente.
Anche andare oltre i requisiti minimi del CRA può essere vantaggioso. Poiché i criminali informatici evolvono le loro tattiche, essere proattivi nel migliorare le misure di sicurezza aiuterà le aziende a stare al passo con i cambiamenti normativi e a garantire che i loro prodotti rimangano sicuri e affidabili.
In qualità di MVNO specializzato in connettività cellulare IoT, noi di Com4 comprendiamo anche l'importanza che i produttori considerino il modo in cui garantire che gli aggiornamenti di sicurezza raggiungano i dispositivi degli utenti finali. Tenete presente che può essere più urgente avere un'alta percentuale di successo su questi aggiornamenti ormai obbligatori, rispetto ai tradizionali aggiornamenti over-the-air, come il firmware (FOTA) che possono essere più "piacevoli da avere".
- La copertura, il prezzo dei dati, la tecnologia di accesso radio diventano tutti parametri importanti quando si scelgono le soluzioni di connettività Wide Area Network (WAN). Questo aspetto dovrebbe far parte del dialogo con il fornitore di connettività.
- È inoltre fondamentale disporre di un partner di connettività affidabile e in una solida situazione finanziaria per evitare la futura indisponibilità del servizio. L'incapacità di aggiornare il prodotto con gli aggiornamenti di sicurezza potrebbe comportare processi di sostituzione o di richiamo onerosi e costosi se l'aggiornamento della sicurezza è necessario come azione correttiva per garantire la conformità, ad esempio a causa di una nuova vulnerabilità scoperta.
- Vorrei inoltre sottolineare che la progettazione della connettività IoT è parte integrante della progettazione del prodotto, compresi gli aspetti di sicurezza. Tra gli esempi vi sono i fattori di forma delle SIM che incidono sulla resistenza alle manomissioni (varianti tradizionali in plastica, SIM incorporate e SIM integrate), l'uso di soluzioni completamente certificate GSMA che sempre più saranno richieste per avere accesso alle reti mobili, nonché prodotti aggiuntivi per proteggere la comunicazione delle applicazioni dal dispositivo al backend o al cloud.
- Il fornitore di connettività può anche disporre di altri strumenti di monitoraggio e controlli di sicurezza che possono migliorare la sicurezza. Anche in questo caso, è importante affrontare questi e altri argomenti con il fornitore di connettività, poiché ogni caso d'uso presenta sfide specifiche.
Quali vantaggi a lungo termine vede derivare dal CRA sia per le aziende che per i consumatori?
Martin Nord: I vantaggi a lungo termine del CRA sono significativi. Per le aziende, significa creare prodotti più sicuri, che possono migliorare la loro reputazione e la fiducia nei confronti dei clienti. Inoltre, riduce il rischio finanziario di perdite di reputazione e di servizi derivanti da attacchi riusciti ai loro servizi. Favorisce inoltre un ambiente digitale più resiliente, riducendo il rischio di costosi attacchi informatici. Per i consumatori e i cittadini, il CRA promette maggiore trasparenza e tranquillità, sapendo che i dispositivi connessi che utilizzano quotidianamente sono soggetti a rigorosi standard di sicurezza. Questa legislazione rappresenta un passo fondamentale verso un ecosistema IoT più sicuro e affidabile e verso la società nel suo complesso.
Qualche considerazione finale sul futuro della sicurezza IoT alla luce del CRA?
Martin Nord: Il CRA è solo l'inizio. Man mano che il panorama delle minacce informatiche cambia e si trasforma, le normative si adatteranno ed evolveranno per contrastarle efficacemente. È fondamentale che il settore IoT rimanga agile e lungimirante, migliorando continuamente le misure di sicurezza e promuovendo una cultura di consapevolezza della cybersecurity. Così facendo, possiamo costruire un futuro digitale più sicuro per tutti.
Per qualsiasi domanda o ulteriore informazione su come conformarsi al Cyber Resilience Act, contattate Com4. I nostri esperti IoT sono pronti ad assistervi nell'orientarvi in questo nuovo panorama normativo e a garantire che i vostri dispositivi IoT soddisfino i più elevati standard di sicurezza.