Difendere i propri servizi digitali: uno sguardo dall'interno allo European Cyber ​​Resilience Act

Tutti i messaggi

di risposte positive attacchi informatici contro prodotti sia hardware che software stanno diventando preoccupantemente frequenti. Secondo Cybersecurity Ventures, la criminalità informatica costerà al mondo circa 7 trilioni di dollari nel 2022. Con un prezzo così alto non c’è da meravigliarsi che sia le aziende che i governi se ne stiano accorgendo. Gli Stati Uniti hanno aperto la strada con il ordine esecutivo presidenziale sul miglioramento della sicurezza informatica nazionale emesso il 12 maggio 2021. Questo è stato seguito da il framework di sviluppo software sicuro (SSDF) del NIST che sta lentamente diventando una nuova best practice consolidata, richiesta come una cosa ovvia in qualsiasi prodotto software. L’Unione Europea non resta a guardare – Il Cyber ​​Resilience Act europeo è una proposta legislativa volta a rafforzare la sicurezza informatica delle infrastrutture critiche in tutta l’UE. 

La fase di raccolta dei feedback per il disegno di legge è iniziata nel dicembre 2020, ma la prima bozza del disegno di legge è stata pubblicata solo il 14 settembre 2022. Poiché qualsiasi legislazione su larga scala di questo tipo potrebbe potenzialmente avere implicazioni di ampia portata, abbiamo pensato di prendere il tuffatevi e cercate di spiegare in cosa consiste questo disegno di legge e chi ne sarà influenzato. Cominciamo con una breve panoramica della proposta legislativa.

Scomporre la bolletta: cosa devi sapere

L’ECRA mira a rafforzare la sicurezza informatica delle infrastrutture critiche in tutta l’Unione Europea (UE). La legge colpisce soprattutto gli operatori di servizi essenziali e i fornitori di servizi digitali. Questi sono definiti nella vigente Direttiva UE sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS) e comprendono, tra gli altri, i settori dell'energia, dei trasporti, delle banche, della sanità e delle infrastrutture digitali.

L’atto proposto si applicherebbe anche ai fornitori di servizi digitali che non sono coperti dalla direttiva NIS, ma che offrono servizi online ai consumatori nell’UE. Questi includono mercati online, servizi di cloud computing e motori di ricerca.

Poiché mira a coprire tutti i dispositivi connessi non già coperti da altre normative dell’UE, è probabile che avrebbe un impatto sull’IoT e su altri dispositivi connessi, in particolare quelli già presenti sul mercato.

L’atto proposto prevede una serie di misure, quali:

  • L’istituzione di uno schema di certificazione della sicurezza informatica per gli operatori di servizi essenziali e i fornitori di servizi digitali.
  • La creazione di una piattaforma di condivisione delle informazioni sulla sicurezza informatica per aiutare le organizzazioni a condividere informazioni su minacce e incidenti informatici. La proposta di legge prevede l’obbligo di segnalare entro 24 ore qualsiasi evento di sicurezza informatica all’Agenzia dell’Unione europea per la sicurezza informatica (ENISA). 
  • L’adozione di una metodologia comune per la valutazione dei rischi di cybersecurity e lo sviluppo di linee guida per la gestione del rischio.
  • L’istituzione di un Centro europeo di resilienza informatica per fornire supporto agli Stati membri in caso di attacco informatico.

È importante sottolineare che la legislazione proposta include uno schema di certificazione per prodotti, servizi e processi ICT. Il processo di certificazione prevede una valutazione della conformità da parte di un organismo di valutazione della conformità (CAB) designato per determinare se il prodotto, il servizio o il processo soddisfa i requisiti specificati nella legge. La legge istituisce un comitato europeo di certificazione della resilienza informatica, responsabile del mantenimento dello schema di certificazione e della sua coerenza in tutta l’UE. È previsto che test e audit regolari continuino anche una volta che il nuovo consiglio abbia rilasciato un certificato di conformità al fornitore del prodotto, servizio o processo in questione. Un monitoraggio continuo garantirebbe che la conformità ai requisiti della legge non venga meno una volta concesso il certificato: il mantenimento della conformità deve essere continuo.

Inoltre, l’ECRA propone una serie di misure per migliorare la cooperazione e la condivisione delle informazioni tra gli Stati membri dell’UE e per rafforzare le capacità di sicurezza informatica dell’UE. Queste includono l’istituzione di un Centro europeo di competenza sulla cibersicurezza e di una rete di centri nazionali di coordinamento della cibersicurezza, nonché lo sviluppo di un quadro comune per la segnalazione e la risposta agli incidenti di cibersicurezza. Il disegno di legge propone inoltre la creazione di un database europeo delle vulnerabilità in modo da non fare affidamento esclusivamente su quello statunitense NVD.

Il disegno di legge riguarda anche la sorveglianza e l’applicazione del mercato per garantire che i nuovi standard siano adeguatamente rispettati in tutti gli Stati membri e per tutti i dispositivi e servizi coperti offerti nel mercato dell’UE, indipendentemente da dove siano stati fabbricati.

Come si collega alle recenti migliori pratiche statunitensi?

Come accennato in precedenza, sia gli Stati Uniti che l’UE hanno deciso di migliorare le protezioni della sicurezza informatica dei rispettivi mercati. Pertanto ha senso vedere se qualcuna delle nuove migliori pratiche statunitensi ha trovato spazio nell’ECRA.

A chi ha familiarità con l'SSDF (NIST 800-218) parte del linguaggio dell'ECRA potrebbe sembrare familiare. Il disegno di legge richiede che la sicurezza sia inclusa nei prodotti fin dal loro inizio e non venga "aggiunta" in seguito. L'ECRA include requisiti per l'identificazione e la gestione di rischi della catena di approvvigionamento, e il proposto sistema europeo di certificazione della cibersicurezza, sebbene non ancora adeguatamente definito, ne richiederebbe probabilmente l'uso Distinta base software (SBOM) e proteggere le pratiche di sviluppo del software.

La proposta prevede inoltre l'attuazione di misure tecniche e organizzative per proteggere i sistemi informativi e i dati, compreso l'uso di autenticazione e crittografia forti, capacità di monitoraggio e rilevamento, pianificazione della risposta agli incidenti e test e controlli periodici sulla sicurezza, tutti elementi chiaramente definiti nella proposta. SSDF.

Una delle nuove best practice promosse negli Stati Uniti è l'uso della SBOM per tenere traccia delle dipendenze, delle vulnerabilità e delle licenze software. Ha lo scopo di aumentare la trasparenza del prodotto e consentire ai produttori e agli utenti di avere una visione più chiara di cosa potrebbe essere nascosto esattamente all'interno del prodotto. Anche se l'ECRA non menziona esplicitamente la SBOM, vale la pena notare che la questione della trasparenza del software, che include il concetto di SBOM, è da tempo argomento di discussione nel contesto della strategia di sicurezza informatica dell'Unione Europea. Nel giugno 2021, la Commissione Europea ha pubblicato una proposta per a Regolamento sulla Resilienza Operativa Digitale per il settore finanziario, che prevede l’obbligo per gli enti finanziari di utilizzare e mantenere un “inventario completo e aggiornato dei propri sistemi e beni ICT”. Questo inventario dovrebbe includere “una mappa aggiornata delle interconnessioni e delle interdipendenze dei sistemi e delle risorse ICT e, ove pertinente, dei rispettivi componenti software e hardware”.

Sebbene questo requisito sia specifico del settore finanziario, suggerisce che l’Unione Europea sta considerando l’importanza della trasparenza del software nel garantire la resilienza della sicurezza informatica. Resta da vedere se l’European Cyber ​​Resilience Act o altre iniziative legislative includeranno in futuro requisiti più espliciti per le SBOM. 

Come ti influenzerà questa fattura? 

Dato che l'ECRA non è ancora definitiva, è difficile essere definitivi in ​​questo caso. Ciò che possiamo fare è tracciare parallelismi con un’altra legislazione globale dell’UE: il GDPR. 

Il Regolamento generale sulla protezione dei dati (GDPR) è un regolamento completo sulla privacy e sulla protezione dei dati adottato dall'Unione Europea (UE) nell'aprile 2016 ed entrato in vigore il 25 maggio 2018. Il disegno di legge si applica a tutte le organizzazioni che raccolgono, elaborano o archiviano i dati personali degli individui ubicati nell'UE, indipendentemente dall'ubicazione dell'organizzazione o dall'ubicazione dei dati archiviati. Impone obblighi alle organizzazioni per garantire la sicurezza e la privacy dei dati personali, compresi i requisiti per la notifica di violazione dei dati, le valutazioni di impatto sulla protezione dei dati e la privacy fin dalla progettazione e per impostazione predefinita. Le organizzazioni che non rispettano il GDPR possono incorrere in multe significative e altre sanzioni.

Negli anni successivi all'entrata in vigore del disegno di legge GDPR, abbiamo notato un effetto a cascata di questo regolamento. Inizialmente, solo le organizzazioni che operavano nell’UE ritenevano di dover conformarsi. Le imprese statunitensi hanno dovuto affrontare numerose multe salate per aver ignorato i requisiti della legge. Oggi anche le imprese che non hanno nulla a che fare con i cittadini dell’UE seguono il regolamento. Ha senso conformarsi in modo che, se e quando si desidera vendere in Europa, non sia necessario affrettarsi per conformarsi.  

Nel complesso, l’ECRA la pensa più o meno allo stesso modo. Con gran parte del mondo che sta ancora lottando per rispondere al picco di incidenti di sicurezza informatica, qualsiasi legislazione completa e chiara progettata per mitigare le carenze di sicurezza dei produttori di software ha buone possibilità di essere adottata. Ancora una volta: è opportuno conformarsi in anticipo in modo che, se e quando sarai pronto a vendere nell'UE, sarai già coperto. 

Ciò significa che la risposta alla domanda "Questa legge mi riguarderà?" è un sonoro sì se hai qualcosa a che fare con la produzione di software. Potrebbe non avere alcun effetto su di te, ma a un certo punto dovrai essere conforme, anche se è appena riconosciuta come una nuova best practice comune.

Fortunatamente, un hub di sicurezza basato sull’evidenza può aiutare

Per superare le sfide in continua evoluzione relative alla sicurezza a cui stiamo attualmente assistendo l'evoluzione della sicurezza applicativa verso la sicurezza della catena di fornitura del software. Comprende una nuova generazione di tecnologie e nuovi strumenti che cercano di affrontare queste sfide. Strumenti e soluzioni automatizzati aiutano le organizzazioni a raggiungere un nuovo livello di sicurezza fornendo una piattaforma di garanzia continua della sicurezza del codice basata sull'evidenza in grado di attestare l'affidabilità del ciclo di vita dello sviluppo del software e dei componenti software.

Scriba è un hub per la sicurezza della catena di fornitura del software. Raccoglie prove e le presenta per ogni build eseguita attraverso la pipeline CI/CD. La soluzione di Scribe è stata creata per facilitare la conformità alle normative e alle migliori pratiche statunitensi e europee in termini di aumento della trasparenza del software e della fiducia tra fornitori di software e utenti di software. La piattaforma consente la creazione e la condivisione dettagliata di SBOM, nonché altri approfondimenti sulla sicurezza. Inoltre, la piattaforma può verificare che la build che stai guardando sia conforme al livello 3 SLSA e al framework SSDF del NIST. Considerando le ovvie relazioni e somiglianze tra ECRA e SSDF, essere in grado di attestare che il tuo software è conforme a SSDF potrebbe contribuire notevolmente a stabilire anche la tua conformità ECRA.

Banner

Un'ultima parola: non farti trovare impreparato

L’European Cyber ​​Resilience Act è attualmente solo una proposta e non è stato ancora adottato dall’UE. L'atto proposto è attualmente nel processo legislativo, in fase di revisione da parte del Parlamento europeo e del Consiglio dell'UE. Si prevede che il disegno di legge subirà diversi cicli di negoziati e revisioni prima di essere adottato come legge. Ci sono buone probabilità che la versione finale della legge possa cambiare, comprese le disposizioni relative alla sicurezza dei prodotti, alla certificazione, ai prodotti e ai settori coperti dalla legge. 

Vale la pena notare che i dettagli su come la legge propone di verificare che i prodotti soddisfino gli standard di sicurezza informatica non sono stati ancora completamente trattati nella bozza pubblicata. La versione finale della legge potrebbe includere requisiti più specifici per la certificazione e la verifica del prodotto oltre a molte altre aree che richiedono chiarimenti. Poiché la legislazione non è ancora stata pienamente attuata, le parti interessate del settore hanno suggerito che la legislazione dovrebbe includere definizioni più precise, tenendo conto delle variazioni nella creazione, funzionalità e utilizzo dei prodotti digitali. Hanno chiarito che requisiti di sicurezza informatica troppo rigidi corrono il rischio di tenere le PMI fuori dal mercato. Per mostrare esattamente quanto siano incerte le cose, un nuovo update da dicembre 2022 ha già collocato i prodotti SAAS chiaramente al di fuori del campo di applicazione del regolamento. 

Per dare sia agli stati dell’UE che agli sviluppatori di prodotti interessati il ​​tempo di adeguarsi, il regolamento proposto entrerà in vigore 24 mesi dopo la sua entrata in vigore, ad eccezione dell’obbligo di segnalazione per i produttori, che entrerà in vigore 12 mesi dopo la data della disegno di legge che diventa legge. Due anni possono sembrare tanti, ma se gestisci una piccola o media impresa e all’improvviso devi seguire tutta una serie di nuove normative sulla sicurezza informatica, quel lasso di tempo potrebbe sembrare troppo breve.

Indipendentemente dai dettagli esatti, l’ECRA rappresenta un significativo passo avanti negli sforzi dell’UE volti a migliorare la sicurezza informatica e proteggere le infrastrutture critiche e tutti possiamo guardare avanti verso un mondo in cui la maggior parte delle aziende rispetti l’ECRA con la stessa naturalezza con cui informano i clienti sulla raccolta dei cookie. politica.  

Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.