Che cos'è l'European Cyber Resilience Act (CRA)?
Il Cyber Resilience Act è un quadro giuridico che descrive i requisiti di sicurezza informatica per i prodotti hardware e software con elementi digitali immessi sul mercato dell'Unione Europea. I produttori sono ora obbligati a prendere sul serio la sicurezza durante tutto il ciclo di vita di un prodotto.
I prodotti hardware e software digitali costituiscono una delle principali vie per attacchi informatici di successo. In un ambiente connesso, un incidente di sicurezza informatica in un prodotto può influenzare un'intera organizzazione o un'intera supply chain, spesso propagandosi oltre i confini del mercato interno nel giro di pochi minuti.
Prima dell'adozione dell'atto europeo sulla resilienza informatica, i vari atti e iniziative adottati a livello nazionale e dell'Unione affrontavano solo in parte i problemi e i rischi identificati in materia di sicurezza informatica, creando un mosaico legislativo all'interno del mercato interno.
Ha aumentato l'incertezza giuridica sia per i produttori che per gli utilizzatori di tali prodotti e ha aggiunto un inutile onere alle aziende, che devono conformarsi a una serie di requisiti per tipologie simili di prodotti.
La sicurezza informatica di questi prodotti ha una dimensione transfrontaliera particolarmente marcata, poiché i prodotti fabbricati in un paese vengono spesso utilizzati da organizzazioni e consumatori in tutto il mercato interno.
Vengono affrontati due problemi principali:
1. Il basso livello di sicurezza informatica dei prodotti con elementi digitali, riflesso nelle diffuse vulnerabilità e nella fornitura insufficiente e incoerente di aggiornamenti di sicurezza per affrontarle.
2. La scarsa comprensione e l'insufficiente accesso alle informazioni da parte degli utenti, impediscono loro di scegliere prodotti con adeguate proprietà di sicurezza informatica o di utilizzarli in modo sicuro.
In determinate condizioni, tutti i prodotti con elementi digitali integrati o connessi a un sistema informativo elettronico più ampio possono fungere da vettore di attacco per malintenzionati.
Di conseguenza, anche hardware e software considerati meno critici possono facilitare la compromissione iniziale di un dispositivo o di una rete, consentendo ad autori malintenzionati di ottenere un accesso privilegiato a un sistema o di muoversi lateralmente tra i sistemi.
Esempi di prodotti con elementi digitali
Dispositivi finali:
- computer portatili
- smartphone
- sensori e telecamere
- robot intelligenti
- smart card
- contatori intelligenti
- dispositivi mobili
- altoparlanti intelligenti
- router
- switch
- sistemi di controllo industriale.
Software
- firmware
- sistemi operativi
- app mobili
- applicazioni desktop
- videogiochi
Componenti (sia hardware che software)
- unità di elaborazione del computer
- schede video
- librerie software
Esempi di attacchi informatici che sfruttano la sicurezza dei prodotti con elementi digitali
- Lo spyware Pegasus, che sfruttava le vulnerabilità dei telefoni cellulari.
- Il ransomware WannaCry, che ha sfruttato una vulnerabilità di Windows, colpendo computer in 150 Paesi.
- L'attacco alla supply chain di Kaseya VSA, che ha utilizzato un software di amministrazione di rete per attaccare oltre 1000 aziende.
10 ottobre 2024 - Il Consiglio ha adottato l'atto europeo sulla resilienza informatica (CRA)
Il Consiglio ha adottato la nuova legge sui requisiti di sicurezza informatica per i prodotti con elementi digitali, allo scopo di garantire che prodotti quali telecamere domestiche connesse, frigoriferi, TV e giocattoli siano sicuri prima di essere immessi sul mercato.
Il nuovo regolamento mira a colmare le lacune, chiarire i collegamenti e rendere più coerente il quadro legislativo vigente in materia di sicurezza informatica, garantendo che i prodotti con componenti digitali, ad esempio i prodotti "Internet of Things" (IoT), siano protetti lungo tutta la catena di fornitura e per tutto il loro ciclo di vita.
Passo successivo:
L'atto sarà firmato dai presidenti del Consiglio e del Parlamento europeo e sarà pubblicato nella Gazzetta ufficiale dell'UE nelle prossime settimane. Il nuovo regolamento entrerà in vigore venti giorni dopo questa pubblicazione e si applicherà 36 mesi dopo la sua entrata in vigore, con alcune disposizioni che si applicheranno in una fase precedente.
4 aprile 2024 - Documento: "Cyber Resilience Act (CRA) Requirements Standards Mapping" - da ENISA e dal Centro comune di ricerca della Commissione europea.
La proposta di Cyber Resilience Act (CRA) copre tutti i prodotti con elementi digitali immessi sul mercato che possono essere collegati a un dispositivo o a una rete, compresi i loro elementi costitutivi (vale a dire hardware e software), e comprende anche le soluzioni fornite in modalità Software as a Service (SaaS) se si qualificano come soluzioni di elaborazione dati remota, come definito dall'articolo 3(2) della proposta CRA.
La proposta CRA prevede due serie di requisiti essenziali:
— Requisiti di sicurezza informatica del prodotto nell’allegato I, sezione 1 della proposta CRA,
— Requisiti del processo di gestione delle vulnerabilità nell’allegato I, sezione 2 della proposta CRA.
Tali requisiti dovrebbero essere oggetto di un processo di normazione da parte delle Organizzazioni europee di normazione (OEN) per esprimerli sotto forma di specifiche in norme armonizzate.
Questo rapporto descrive in dettaglio gli output di standardizzazione disponibili sulla sicurezza informatica dei prodotti (prodotti hardware e software, inclusi componenti hardware e software di prodotti più complessi) realizzati principalmente da ESO e organizzazioni internazionali per lo sviluppo di standard (SDO). Nello specifico, lo studio mira a presentare una mappatura degli standard di sicurezza informatica esistenti rispetto ai requisiti essenziali elencati nell'Allegato I della proposta CRA, insieme a un'analisi dei gap tra gli standard mappati e i requisiti.
12 marzo 2024 - Il Parlamento europeo ha approvato il Cyber Resilience Act.
Il Cyber Resilience Act è stato approvato con 517 voti favorevoli, 12 contrari e 78 astensioni.
Testo approvato: "Risoluzione legislativa del Parlamento europeo del 12 marzo 2024 sulla proposta di regolamento del Parlamento europeo e del Consiglio sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica il regolamento (UE) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD))".
Fase successiva: deve essere formalmente adottato dal Consiglio.
1° dicembre 2023 - Accordo politico sul Cyber Resilience Act.
La Commissione europea accoglie con favore l'accordo politico raggiunto tra il Parlamento europeo e il Consiglio sul Cyber Resilience Act, proposto dalla Commissione nel settembre 2022.
L'accordo raggiunto è ora soggetto all'approvazione formale sia del Parlamento europeo che del Consiglio. Una volta adottato, il Cyber Resilience Act entrerà in vigore il 20° giorno successivo alla sua pubblicazione nella Gazzetta ufficiale.
Dall'entrata in vigore, i produttori, gli importatori e i distributori di prodotti hardware e software avranno 36 mesi di tempo per adeguarsi ai nuovi requisiti, ad eccezione di un periodo di tolleranza più limitato di 21 mesi in relazione all'obbligo di segnalazione dei produttori di incidenti e vulnerabilità.
Aggiornamento, luglio 2023 - Accordo raggiunto nel Consiglio europeo.
La posizione comune del Consiglio mantiene l'orientamento generale della proposta della Commissione, in particolare per quanto riguarda:
- Norme per riequilibrare la responsabilità della conformità nei confronti dei produttori, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell'UE, compresi obblighi quali la valutazione del rischio per la sicurezza informatica, la dichiarazione di conformità e la cooperazione con le autorità competenti.
- Requisiti essenziali per i processi di gestione delle vulnerabilità che consentono ai produttori di garantire la sicurezza informatica dei prodotti digitali, nonché obblighi per gli operatori economici, quali importatori o distributori, in relazione a tali processi.
- Misure volte a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utenti aziendali, nonché un quadro di sorveglianza del mercato per far rispettare tali norme.
Cosa succederà ora?
Dopo la posizione comune del Consiglio ("mandato negoziale"), avremo negoziati con il Parlamento europeo ("triloghi") sulla versione definitiva della proposta legislativa.
Aggiornamento, settembre 2022 - Articoli proposti dell'European Cyber Resilience Act (CRA)
La proposta di regolamento sui requisiti di sicurezza informatica per i prodotti con elementi digitali, nota come Cyber Resilience Act, rafforza le norme sulla sicurezza informatica per garantire prodotti hardware e software più sicuri.
I prodotti hardware e software sono sempre più soggetti ad attacchi informatici riusciti, con un costo annuo globale stimato della criminalità informatica pari a 5,5 trilioni di euro entro il 2021.
Tali prodotti soffrono di due problemi principali che comportano costi aggiuntivi per gli utenti e per la società:
- un basso livello di sicurezza informatica, riflesso da vulnerabilità diffuse e dalla fornitura insufficiente e incoerente di aggiornamenti di sicurezza per affrontarle, e
- una scarsa comprensione e un accesso insufficiente alle informazioni da parte degli utenti, che impedisce loro di scegliere prodotti con adeguate proprietà di sicurezza informatica o di utilizzarli in modo sicuro.
Mentre la legislazione vigente sul mercato interno si applica a determinati prodotti con elementi digitali, la maggior parte dei prodotti hardware e software non è attualmente coperta da alcuna legislazione UE che affronti la loro sicurezza informatica. In particolare, l'attuale quadro giuridico UE non affronta la sicurezza informatica del software non incorporato, anche se gli attacchi alla sicurezza informatica prendono sempre più di mira le vulnerabilità di questi prodotti, causando significativi costi sociali ed economici.
Sono stati individuati due obiettivi principali volti a garantire il corretto funzionamento del mercato interno:
- creare le condizioni per lo sviluppo di prodotti sicuri con elementi digitali, garantendo che i prodotti hardware e software siano immessi sul mercato con meno vulnerabilità e che i produttori prendano sul serio la sicurezza durante tutto il ciclo di vita del prodotto; e
- creare le condizioni che consentano agli utenti di tenere in considerazione la sicurezza informatica quando selezionano e utilizzano prodotti con elementi digitali.
Sono stati definiti quattro obiettivi specifici:
1. Garantire che i produttori migliorino la sicurezza dei prodotti con elementi digitali fin dalla fase di progettazione e sviluppo e durante l'intero ciclo di vita;
2. Garantire un quadro coerente di sicurezza informatica, facilitando la conformità per i produttori di hardware e software;
3. Migliorare la trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali e
4. Consentire alle aziende e ai consumatori di utilizzare in modo sicuro i prodotti con elementi digitali.
Comprendere l'European Cyber Resilience Act (CRA)
L'European Cyber Resilience Act (CRA) mira a stabilire le condizioni limite per lo sviluppo di prodotti sicuri con elementi digitali , assicurando che i prodotti hardware e software siano immessi sul mercato con meno vulnerabilità e che i produttori prendano sul serio la sicurezza durante l'intero ciclo di vita di un prodotto. Mira inoltre a creare condizioni che consentano agli utenti di tenere conto della sicurezza informatica quando selezionano e utilizzano prodotti con elementi digitali.
La pertinente legislazione dell'Unione attualmente in vigore comprende diverse serie di norme orizzontali che affrontano determinati aspetti legati alla sicurezza informatica da diverse angolazioni, tra cui misure per migliorare la sicurezza della catena di fornitura digitale. Tuttavia, la legislazione dell'Unione vigente relativa alla sicurezza informatica non copre direttamente i requisiti obbligatori per la sicurezza dei prodotti con elementi digitali.
I vari atti e iniziative finora adottati a livello nazionale e dell'Unione affrontano solo in parte i problemi e i rischi individuati in materia di sicurezza informatica, creando un mosaico legislativo nel mercato interno, aumentando l'incertezza giuridica sia per i fabbricanti che per gli utilizzatori di tali prodotti e aggiungendo un inutile onere alle aziende per conformarsi a una serie di requisiti per tipologie simili di prodotti.
La sicurezza informatica di questi prodotti ha una dimensione transfrontaliera particolarmente forte, poiché i prodotti fabbricati in un paese sono spesso utilizzati da organizzazioni e consumatori in tutto il mercato interno. Ciò rende necessario regolamentare il settore a livello di Unione. Il panorama normativo dell'Unione dovrebbe essere armonizzato introducendo requisiti di sicurezza informatica per i prodotti con elementi digitali. Inoltre, dovrebbe essere garantita la certezza per gli operatori e gli utenti in tutta l'Unione, nonché una migliore armonizzazione del mercato unico, creando condizioni più sostenibili per gli operatori che mirano a entrare nel mercato dell'Unione.
A livello di Unione, vari documenti programmatici e politici, come la strategia per la sicurezza informatica dell'UE per il decennio digitale, le conclusioni del Consiglio del 2 dicembre 2020 e del 23 maggio 2022 o la risoluzione del Parlamento europeo del 10 giugno 2021, hanno chiesto requisiti specifici dell'Unione in materia di sicurezza informatica per i prodotti digitali o connessi, con diversi paesi in tutto il mondo che hanno introdotto misure per affrontare questo problema di propria iniziativa. Nella relazione finale della conferenza sul futuro dell'Europa, 18 cittadini hanno chiesto "un ruolo più forte per l'UE nel contrastare le minacce alla sicurezza informatica".
Per aumentare il livello complessivo di sicurezza informatica di tutti i prodotti con elementi digitali immessi sul mercato interno, è necessario introdurre requisiti essenziali di sicurezza informatica orientati agli obiettivi e tecnologicamente neutrali per tali prodotti, che si applichino orizzontalmente.
In determinate condizioni, tutti i prodotti con elementi digitali integrati o connessi a un sistema informativo elettronico più ampio possono fungere da vettore di attacco per attori malintenzionati. Di conseguenza, anche hardware e software considerati meno critici possono facilitare la compromissione iniziale di un dispositivo o di una rete, consentendo agli attori malintenzionati di ottenere un accesso privilegiato a un sistema o di muoversi lateralmente tra i sistemi. I produttori dovrebbero pertanto garantire che tutti i prodotti collegabili con elementi digitali siano progettati e sviluppati in conformità ai requisiti essenziali stabiliti nel presente regolamento.
Ciò include sia i prodotti che possono essere collegati fisicamente tramite interfacce hardware, sia i prodotti che sono collegati logicamente, come tramite socket di rete, pipe, file, interfacce di programmazione delle applicazioni o qualsiasi altro tipo di interfaccia software. Poiché le minacce alla sicurezza informatica possono propagarsi attraverso vari prodotti con elementi digitali prima di raggiungere un determinato obiettivo, ad esempio concatenando insieme più exploit di vulnerabilità, i produttori dovrebbero anche garantire la sicurezza informatica di quei prodotti che sono solo indirettamente collegati ad altri dispositivi o reti.
Definendo requisiti di sicurezza informatica per l'immissione sul mercato di prodotti con elementi digitali, la sicurezza informatica di questi prodotti per i consumatori e per le aziende sarà migliorata. Ciò include anche requisiti per l'immissione sul mercato di prodotti di consumo con elementi digitali destinati a consumatori vulnerabili, come giocattoli e baby monitor.
Aggiornamento, maggio 2022 - European Cyber Resilience Act
Secondo il programma di lavoro della Commissione europea per il 2022, nel terzo trimestre del 2022 verrà pubblicata una proposta di legge europea sulla resilienza alla sicurezza informatica (legislativa). L'obiettivo è stabilire standard comuni per i prodotti di sicurezza informatica.
Secondo la Commissione Europea:
"La pandemia ha fatto da catalizzatore per l'accelerazione della digitalizzazione dell'Europa e del mondo. La Commissione proseguirà il suo percorso verso il decennio digitale per realizzare la trasformazione digitale dell'UE entro il 2030. Siamo determinati a guidare la corsa globale verso una tecnologia affidabile, sicura e incentrata sull'uomo. E lavoreremo per raggiungere un accordo e attuare le nostre proposte per un Internet sicuro e protetto, un'identità digitale europea e un'intelligenza artificiale affidabile.
Il mercato unico rimane al centro di un'economia europea innovativa, prospera e orientata al futuro. Sono necessarie una politica e un'applicazione della concorrenza forti ed efficaci per contribuire a una ripresa resiliente e alle transizioni gemelle. In questo contesto, la Commissione ha avviato una revisione della politica della concorrenza per garantire che i vari strumenti siano adatti allo scopo. Proporremo anche uno strumento di emergenza per il mercato unico per aiutare a prevenire future interruzioni.
Nonostante le numerose sfide e interruzioni, l'Europa ha superato la crisi in gran parte grazie alle sue competenze innovative, alla sua solida base industriale e alle sue catene di fornitura diversificate e competitive. Tuttavia, in alcuni settori strategici, è stata vulnerabile a causa dell'elevata dipendenza da un numero molto limitato di fornitori extra-UE, soprattutto in relazione alle materie prime. Ciò è particolarmente evidente quando si tratta di semiconduttori.
Le forniture di questi chip che alimentano le soluzioni digitali europee sono diventate una vera preoccupazione per l'industria dell'UE, con casi di rallentamento della produzione. In questo contesto, adotteremo un European chips act per promuovere un ecosistema europeo di chip all'avanguardia per potenziare la nostra capacità innovativa, la sicurezza dell'approvvigionamento e sviluppare nuovi mercati per la tecnologia europea rivoluzionaria.
Con l'economia e la società che si affidano sempre di più a soluzioni digitali, dobbiamo assicurarci di poterci difendere in un mondo sempre più incline all'hacking di prodotti connessi e servizi associati. A tal fine, proporremo un atto europeo sulla resilienza informatica per stabilire standard comuni di sicurezza informatica per i prodotti. Inizieremo anche a costruire un sistema di comunicazioni sicure globali basato sullo spazio dell'UE, offrendo connettività a banda larga in tutta l'UE dove attualmente non esiste e comunicazioni sicure e indipendenti agli Stati membri.
Poiché il settore energetico sarà il principale contributore al raggiungimento dell'obiettivo climatico dell'UE di ridurre le emissioni di almeno il 55 percento entro il 2030, la Commissione proporrà un piano d'azione per una trasformazione digitale accelerata del settore, necessaria per garantire il passaggio alle energie rinnovabili, alla mobilità connessa, agli edifici intelligenti e a un sistema energetico più integrato con i consumatori al centro. Le interruzioni energetiche su larga scala negli Stati Uniti e nell'UE nell'ultimo anno mostrano la necessità di un'energia resiliente e cyber-sicura.
Per far sì che i cittadini europei possano trarre il massimo vantaggio dalla tecnologia digitale, è fondamentale fornire solide competenze digitali e istruzione. Ciò è stato evidenziato quando l'apprendimento a distanza è diventato la norma durante la pandemia di COVID-19. Ed è evidenziato come un obiettivo chiave nella Digital Compass. Per affrontare le lacune in competenze e conoscenze, proporremo misure per facilitare e promuovere le competenze digitali nelle scuole e nell'istruzione superiore.
La ricerca e l'innovazione svolgeranno un ruolo chiave nel rispondere alle sfide che ci troviamo ad affrontare oggi. Contribuiranno a realizzare la ripresa dell'Europa, basata su una crescita economica che può guidare le transizioni verde e digitale. Ciò sarà essenziale per una crescita economica equa a vantaggio di tutte le regioni e di tutti i cittadini, comprese le aree rurali. È importante garantire che l'Europa rimanga all'avanguardia della scienza e in prima linea nelle nuove ondate di innovazione.
Le soluzioni digitali possono anche aiutare a supportare una mobilità più integrata e sostenibile. Proporremo un'iniziativa sui servizi di mobilità digitale multimodale per affrontare le lacune del mercato nell'uso combinato delle modalità di trasporto, tra cui la ferrovia."
La Commissione europea invita i cittadini e le organizzazioni a condividere le loro opinioni sul Cyber Resilience Act europeo
16 marzo 2022 - La Commissione europea ha avviato una consultazione pubblica per raccogliere opinioni ed esperienze di tutte le parti interessate sul prossimo atto legislativo europeo sulla resilienza informatica.
Annunciato per la prima volta dalla Presidente von der Leyen nel suo discorso sullo stato dell'Unione a settembre 2021, l'atto mira a stabilire norme comuni sulla sicurezza informatica per i prodotti digitali e i servizi associati immessi sul mercato in tutta l'Unione europea. I risultati della consultazione pubblica confluiranno nella proposta legislativa della Commissione prevista per la seconda metà di quest'anno.
Thierry Breton, Commissario per il Mercato interno, ha affermato:
Per affrontare gli attacchi informatici diversi e sofisticati di oggi abbiamo bisogno di tecnologie avanzate, infrastrutture sicure e una maggiore cooperazione operativa, nonché di un approccio comune sui benchmark di sicurezza informatica per prodotti e servizi. Non vediamo l'ora di ricevere input da tutti i cittadini e le organizzazioni interessati per aiutarci a dare forma al nuovo Cyber Resilience Act che diventerà una parte fondamentale del quadro strategico, politico e legislativo europeo in materia di sicurezza informatica.
Il Cyber Resilience Act integrerà l'attuale quadro legislativo dell'UE, che comprende la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS) e il Cybersecurity Act, nonché la futura direttiva sulle misure per un livello comune elevato di cybersecurity nell'Unione (NIS 2) proposta dalla Commissione nel dicembre 2020.
La consultazione pubblica sarà aperta per le prossime 10 settimane, fino al 25 maggio 2022. Inoltre, la Commissione ha pubblicato un invito a presentare prove per creare una panoramica dei problemi attualmente identificati e dei possibili modi per affrontarli. L'invito a presentare prove sarà aperto ai commenti parallelamente alla consultazione pubblica, sempre per 10 settimane.
Problema che l'iniziativa intende affrontare:
In un ambiente connesso, un incidente di sicurezza informatica in un prodotto può avere ripercussioni su un'intera organizzazione o su un'intera supply chain. Ciò può portare a gravi interruzioni delle attività economiche e sociali o addirittura mettere a rischio la vita. La mancanza di sicurezza adeguata nei prodotti digitali e nei servizi ausiliari è una delle principali vie per attacchi di successo.
Quando si immettono sul mercato prodotti o servizi digitali, i venditori (ad esempio produttori di hardware, sviluppatori di software, distributori e importatori) spesso non mettono in atto adeguate misure di sicurezza informatica. Le ragioni di ciò possono includere:
(i) voler trarre vantaggio dall’essere i primi a immettere un prodotto o un servizio sul mercato, grazie agli effetti di rete presenti nei mercati ICT;
(ii) mancanza di professionisti della sicurezza qualificati; e
(iii) costi aggiuntivi combinati con la mancanza di incentivi economici.
Allo stesso modo, la risposta dei vendor alle vulnerabilità durante il ciclo di vita dei loro prodotti è troppo spesso inadeguata. Inoltre, i vendor non forniscono sistematicamente informazioni sulla sicurezza dei prodotti (a causa della mancanza di incentivi economici), rendendo difficile per i consumatori informarsi e valutare la sicurezza dei prodotti e dei servizi che stanno utilizzando.
L'attuale quadro normativo dell'UE applicabile ai prodotti digitali comprende diversi atti legislativi, tra cui la legislazione dell'UE su prodotti specifici che copre aspetti legati alla sicurezza e la legislazione generale sulla responsabilità del produttore.
Tuttavia, la normativa vigente copre solo alcuni aspetti legati alla sicurezza informatica dei prodotti digitali tangibili e, ove applicabile, dei software incorporati in tali prodotti.
Il quadro normativo dell'UE sui prodotti (ad esempio la direttiva sulla sicurezza generale dei prodotti e la direttiva macchine, entrambe attualmente in fase di revisione) non prescrive requisiti specifici in materia di sicurezza informatica, ad esempio che coprano l'intero ciclo di vita di un prodotto.
I requisiti relativi all'intero ciclo di vita sono fondamentali nel caso di prodotti digitali e servizi ausiliari, poiché il software deve essere aggiornato regolarmente.
Inoltre, il quadro attuale non copre tutti i tipi di prodotti digitali. In particolare, il quadro attuale non riesce a coprire una varietà di hardware ampiamente utilizzati (ad esempio hardware che non rientrano nella direttiva sulle apparecchiature radio o nel regolamento sui dispositivi medici).
Inoltre, i prodotti software non incorporati non sono affrontati nel quadro normativo attuale, nonostante le vulnerabilità nei prodotti software costituiscano sempre più un canale per attacchi alla sicurezza informatica, causando costi sociali ed economici significativi.
Ursula von der Leyen, Presidente della Commissione europea, discorso sullo stato dell'Unione 2021.
"Se tutto è connesso, tutto può essere hackerato. Dato che le risorse sono scarse, dobbiamo unire le nostre forze. [...] Ecco perché abbiamo bisogno di una politica europea di difesa informatica, che includa una legislazione che stabilisca standard comuni nell'ambito di un nuovo atto europeo sulla resilienza informatica."
Ursula von der Leyen, Presidente della Commissione europea, discorso sullo stato dell'Unione 2021
