EMB97

EMBEDDED 97 • SETTEMBRE • 2025 11 CYBERSECURITY | IN TEMPO REALE so tempo, i criminali informatici avrebbero lanciato circa 10 milioni di attacchi DDoS (Distributed De- nial-of-Service). La Commissione europea vuole rendere l’Europa più resiliente e sicura contro gli attacchi informatici e a tal fine ha adottato la legge sulla cyber-resilienza (Cyber Resiliance Act, CRA). Si tratta della prima normativa a livello europeo di questo tipo che stabi- lisce regole comuni in materia di sicurezza informa- tica per i produttori e gli sviluppatori di prodotti con “elementi digitali” (hardware e software). La legge sulla cyber-resilienza [1] intende: migliorare la sicurezza dei prodotti cablati e wireless connessi a Internet e del software sul mercato europeo; assicu- rare che i produttori garantiscano la sicurezza infor- matica dei loro prodotti per tutto il loro ciclo di vita; assicurare che i consumatori siano adeguatamente informati sulla sicurezza informatica dei prodotti che acquistano e utilizzano. Rischi per la sicurezza informatica Gli attacchi informatici possono diffondersi in pochi minuti oltre i confini del mercato interno. L’ordinan- za affronta due questioni: molti di questi prodotti presentano un basso livello di sicurezza informatica e, ancor più preoccupante, numerosi produttori non rilasciano aggiornamenti per correggere le vulnera- bilità. Sebbene le aziende possano subire un danno d’immagine quando i loro prodotti risultano insicuri, i costi delle falle di sicurezza ricadono principalmen- te sugli utenti professionali e sui consumatori. Que- sto riduce l’incentivo per i produttori a investire nel- la progettazione di sistemi sicuri e nell’implementa- zione di aggiornamenti di sicurezza; dall’altra parte, le imprese ed i consumatori spesso non dispongono di informazioni sufficienti e accurate quando si tratta di scegliere prodotti sicuri e spesso non sanno come garantire che i prodotti acquistati siano configurati in modo sicuro. Le nuove norme trattano entrambi questi aspetti, af- frontando la questione degli aggiornamenti e quella della messa a disposizione dei clienti di informazioni aggiornate. Principi della legge sulla cyber-resilienza Requisiti di sicurezza. La legge sulla cyber-resilien- za stabilisce che i prodotti con elementi digitali pos- sono essere immessi sul mercato solo se soddisfano determinati requisiti fondamentali di sicurezza in- formatica. Progettazione sicura. La direttiva impone ai pro- duttori di tenere conto della sicurezza informatica nella progettazione e nello sviluppo di prodotti con elementi digitali. Trasparenza verso l’utente. Per quanto riguarda le informazioni e le istruzioni destinate all’utente fi- nale, la Legge sulla cyber-resilienza richiede ai pro- duttori di garantire la trasparenza sugli aspetti di sicurezza informatica che devono essere comunicati ai clienti. Ciclo di vita del prodotto. Un ele- mento chiave della proposta è la copertura dell’intero ciclo di vita dei prodotti, in particolare l’obbli- go per i produttori e gli sviluppa- tori di stabilire un periodo di assi- stenza corrispondente alla durata prevista del prodotto e di fornire aggiornamenti di sicurezza du- rante tale periodo. Figura 1. Stima del volume globale dei danni causati dalla criminalità informatica in trilioni di dollari. (Fonte: Statista)