Il Cyber Resilience Act (CRA) della Commissione europea mira a chiudere il patchwork digitale di dispositivi e sistemi con una connessione di rete. Le reti industriali e le infrastrutture critiche richiedono una protezione speciale. Il regolamento dell'UE sulla resilienza informatica può significare milioni di multe per produttori, distributori e importatori.
Secondo l'Unione Europea, attualmente c'è un attacco ransomware ogni undici secondi; solo nelle ultime settimane, ha colpito un produttore leader di alimenti per l'infanzia e un fornitore automobilistico globale Tier1 con sede in Germania, con quest'ultimo vittima di un massiccio attacco ransomware. Un tale attacco ha persino portato all'insolvenza del produttore Prophete nel gennaio 2023.
Le deliberate lacune di sicurezza vengono punite
Al fine di ritenere responsabili produttori, distributori e importatori, vengono minacciate severe sanzioni se le lacune di sicurezza nei dispositivi vengono scoperte e non segnalate e chiuse correttamente. “La pressione sull'industria – produttori, distributori e importatori – sta crescendo immensamente. L'UE attuerà questo regolamento senza compromessi, anche se ci sono ancora alcune fasi di lavoro da completare, ad esempio con le autorità statali locali", afferma Jan Wendenburg, amministratore delegato della società di sicurezza informatica ONEKEY.
Multe: 15 milioni di euro o il 2,5% delle vendite annuali
Le sanzioni per i produttori e distributori interessati sono quindi elevate: fino a 15 milioni di euro o il 2,5 percento delle vendite annuali globali nell'ultimo anno finanziario - conta il numero maggiore. "Questo lo rende inequivocabilmente chiaro: se le specifiche non vengono implementate, i produttori devono affrontare severe sanzioni", ha continuato Wendenburg.
Produttori, distributori e importatori sono tenuti a notificare ENISA - l'Agenzia dell'Unione europea per la sicurezza informatica - entro 24 ore se viene sfruttata una vulnerabilità in uno qualsiasi dei loro prodotti. Il superamento dei termini di rendicontazione è penalizzato.
I produttori devono rispondere al Cyber-Resilience Act
La proposta della Commissione prevede che i nuovi requisiti si applichino 24 mesi dopo l'entrata in vigore del regolamento. Singoli elementi come l'obbligo di segnalare gli incidenti di sicurezza dovrebbero applicarsi dopo 12 mesi. “L'orizzonte temporale è ristretto considerando che gli ordini di prodotti IT dai produttori OEM vengono già effettuati quest'anno per i prossimi 12-18 mesi. Pertanto, la situazione temporale deve essere considerata e risolta ora prima che un prodotto non possa essere immesso sul mercato a causa di difetti o il lancio sul mercato venga ritardato", spiega Jan Wendenburg di ONEKEY.
L'azienda gestisce una piattaforma di analisi del firmware per trovare vulnerabilità di sicurezza in dispositivi intelligenti e in rete, dai robot aspirapolvere ai controlli industriali del valore di milioni. Con un Cyber Resilience Readiness Assessment, ONEKEY offre la possibilità a produttori, distributori e importatori di verificare già i loro prodotti per i requisiti essenziali del Cyber Resilience Act e anche di esaminare le lacune di sicurezza e anche la SBOM (Software Bill of Materials) può essere riempito di contenuti.
Altro su ONEKEY.com
A proposito di ONEKEY ONEKEY (precedentemente IoT Inspector) è la principale piattaforma europea per le analisi automatiche di sicurezza e conformità per i dispositivi nell'industria (IIoT), nella produzione (OT) e nell'Internet of Things (IoT). Utilizzando "Digital Twins" e "Software Bill of Materials (SBOM)" creati automaticamente dei dispositivi, ONEKEY analizza in modo indipendente il firmware alla ricerca di lacune di sicurezza critiche e violazioni della conformità, senza alcun codice sorgente, dispositivo o accesso alla rete.