La Commissione europea ha presentato una nuova legge sulla resilienza informatica, il “Cyber Resilience Act”, per proteggere i consumatori e le imprese da prodotti con caratteristiche di sicurezza inadeguate. Si tratta della prima legislazione di questo tipo a livello dell’UE, che introduce requisiti obbligatori in materia di sicurezza informatica per i prodotti con elementi digitali, durante l’intero ciclo di vita.
La legge garantirà ai consumatori in tutta l’UE una maggiore sicurezza dei prodotti digitali come software e prodotti con e senza fili. Oltre ad aumentare la responsabilità dei fabbricanti obbligandoli a fornire assistenza in materia di sicurezza e aggiornamenti del software per affrontare le vulnerabilità individuate, permetterà ai consumatori di disporre di informazioni sufficienti sulla cybersicurezza dei prodotti che acquistano e utilizzano.
Le misure proposte si basano sul nuovo quadro legislativo per la legislazione dell’UE sui prodotti e stabiliranno:
- a) norme per l’immissione sul mercato di prodotti con elementi digitali al fine di garantirne la cybersicurezza;
- b) requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti;
- c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I fabbricanti dovranno inoltre segnalare le vulnerabilità attivamente sfruttate e gli incidenti;
- d) norme in materia di vigilanza del mercato e applicazione.
Con le nuove norme la responsabilità spetterà ai fabbricanti, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’UE. Ne trarranno beneficio i consumatori e i cittadini, come pure le imprese che utilizzano prodotti digitali, grazie a una maggiore trasparenza delle caratteristiche di sicurezza e alla promozione della fiducia nei prodotti con elementi digitali; sarà inoltre garantita una migliore protezione di diritti fondamentali quali la privacy e la protezione dei dati.
La legge sulla cyber resilienza diventerà probabilmente un punto di riferimento internazionale, non solo per il mercato interno dell’UE. Le norme dell’UE basate sulla legge sulla cyber resilienza ne agevoleranno l’attuazione e costituiranno un punto di forza per l’industria della cybersicurezza dell’UE sui mercati globali.
Il regolamento proposto si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o alla rete. Sono previste alcune eccezioni per prodotti i cui requisiti di cybersicurezza sono già stabiliti nelle norme dell’UE vigenti, riguardanti ad esempio i dispositivi medici, l’aviazione o le automobili.
Il Parlamento europeo e il Consiglio dovranno esaminare il progetto di legge. Dopo l’adozione dei nuovi requisiti gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarvisi. Costituisce un’eccezione l’obbligo di comunicazione a carico dei fabbricanti per le vulnerabilità attivamente sfruttate e gli incidenti, che si applicherà già a decorrere da un anno dalla data di entrata in vigore, in quanto richiede adeguamenti organizzativi inferiori rispetto agli altri nuovi obblighi. La Commissione riesaminerà periodicamente la legge sulla cyber resilienza e riferirà in merito al suo funzionamento.
“Meritiamo di sentirci al sicuro con i prodotti che acquistiamo nel mercato unico. Così come la marcatura CE ci garantisce la sicurezza di un giocattolo o di un frigorifero, la legge sulla cyber resilienza garantirà che gli oggetti connessi e i software che acquistiamo rispettino misure rigorose in materia di cybersicurezza. Con la nuova legge la responsabilità spetterà a chi immette i prodotti sul mercato”, ha dichiarato la vicepresidente esecutiva della Commissione Margrethe Vestager.
“La legge sulla cyber resilienza è la nostra risposta alle moderne minacce alla sicurezza, ora onnipresenti in tutta la società digitale. L’UE ha svolto un ruolo pionieristico creando un ecosistema della cybersicurezza con norme sulle infrastrutture critiche, la preparazione e la risposta in materia di cybersicurezza e la certificazione dei prodotti per la cybersicurezza. Oggi stiamo completando questo ecosistema con una legge che porta sicurezza in tutte le nostre case, in tutte le nostre imprese e in tutti i prodotti interconnessi. La cybersicurezza è una questione sociale e non più industriale”, ha affermato Margaritis Schinas, Vicepresidente per la Promozione dello stile di vita europeo.
Thierry Breton, Commissario per il Mercato interno, ha dichiarato: “Per quanto riguarda la cybersicurezza, la forza dell’Europa è solo pari a quella del suo anello più debole: sia esso uno Stato membro vulnerabile o un prodotto non sicuro nella catena di approvvigionamento. Computer, telefoni, elettrodomestici, dispositivi di assistenza virtuale, automobili, giocattoli… ciascuno di questi prodotti connessi, che sono centinaia di milioni, è un potenziale punto di accesso per gli attacchi informatici. Eppure, ancora oggi la maggior parte dei prodotti hardware e software non è soggetta ad alcun obbligo in materia di cybersicurezza. Introducendo la cybersicurezza fin dalla progettazione, la legge sulla cyber resilienza contribuirà a proteggere l’economia europea e la nostra sicurezza collettiva.”
https://ec.europa.eu/commission/presscorner/detail/it/ip_22_5374
