In che modo il Cyber Resilience Act punta a garantire maggiore cybersicurezza per i prodotti digitali

Stiamo parlando di una serie di nuove norme UE per una maggiore sicurezza dei prodotti hardware e software: il Cyber Resilience Act, quindi, altro non è che una legge sulla cyber resilienza che punta a favorire e proteggere i consumatori e le imprese da tutti quei prodotti che potrebbero avere caratteristiche di sicurezza inadeguate. La legge in questione era stata annunciata dalla presidentessa von der Leyen in occasione del SOTEU dello scorso anno e rientra nell’ambito delle strategie dell’Ue per la cybersicurezza del 2020. Vediamo in che cosa consiste la proposta presentata oggi dalla Commissione che, a tutti gli effetti, costituisce la prima legislazione di questi tipo a livello europeo il cui scopo è quello di introdurre requisiti obbligatori in materia di cibersicurezza per prodotti digitali.

LEGGI ANCHE >>> In piena transizione digitale, quanta consapevolezza ha il cittadino dell’UE?

Col Cyber Resilience Act la responsabilità della sicurezza sarà data ai produttori

Nella pagina dedicata si parla dell’intenzione di fornire ai consumatori «una maggiore sicurezza dei prodotti digitali come software e prodotti con e senza fili». In che modo? Andando ad aumentare la responsabilità dei fabbricanti e obbligandoli a fornire assistenza in materia di sicurezza e aggiornamenti del software allo scopo di affrontare le vulnerabilità individuate. Così facendo, i consumatori disporranno di informazioni sufficienti relative alla cibersicurezza dei prodotti acquistati e utilizzati.

«Così come la marcatura CE ci garantisce la sicurezza di un giocattolo o di un frigorifero – sottolinea Margrethe Vestager, Vicepresidente esecutiva per Un’Europa pronta per l’era digitale – la legge sulla ciberresilienza garantirà che gli oggetti connessi e i software che acquistiamo rispettino misure rigorose in materia di cibersicurezza. Con la nuova legge la responsabilità spetterà a chi immette i prodotti sul mercato»

Thierry Breton, Commissario per il Mercato interno, ha osservato come «computer, telefoni, elettrodomestici, dispositivi di assistenza virtuale, automobili, giocattoli: ciascuno di questi prodotti connessi, che sono centinaia di milioni, è un potenziale punto di accesso per gli attacchi informatici. Eppure, ancora oggi la maggior parte dei prodotti hardware e software non è soggetta ad alcun obbligo in materia di cibersicurezza».

La sicurezza informatica passa (anche) da questa legge

Il contesto in cui nasce questa proposta è quello di un aumento degli attacchi informatici tale – da quando c’è il Covid – che tutta l’Europa ha dovuto comprendere la fondamentale importanza di proteggere infrastrutture sensibili come centri di ricerca e ospedali. Si stima che siano almeno 10 miliardi di euro i costi annuali della violazione dati e 65 miliardi quelli relativi ai tentativi deliberati di perturbare il traffico internet. Il costo annuo della criminalità informatica è stato stimato a circa 5,5 miliardi di euro solo nel corso del 2021.

Questa nuova legge punta a integrare il quadro UE in materia di cybersicurezza e, in particolar modo, «la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), la direttiva relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS 2), recentemente approvata dal Parlamento europeo e dal Consiglio, e il regolamento dell’UE sulla cibersicurezza».

In che cosa consiste la proposta fatta oggi? Le norme proposte puntano a regolamentare l’immissione sul mercato di prodotti con elementi digitali, stabilire requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti così come i requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti. Vengono inoltre stabilite anche sulla vigilanza del mercato.

Next step? Il progetto di legge verrà esaminato da Parlamento e Consiglio europeo e, una volta adottati i nuovi standard, gli Stati membri avranno due anni per adeguarsi (l’unica eccezione è l’obbligo di comunicazione a carico dei fabbricanti per le vulnerabilità attivamente sfruttate e gli incidenti, che dovrà essere applicata a decorrere da un anno dalla data di entrata in vigore).