Arriva la proposta di legge europea sulla cybersicurezza: la Commissione Ue ha messo nero su bianco il Cyber resilience act, che introduce requisiti obbligatori di sicurezza informatica per i prodotti con elementi digitali, durante tutto il loro ciclo di vita. Sono inclusi tutti i dispositivi con una connessione diretta o indiretta a un altro dispositivo o alla rete, fissa o mobile, come Pc, smartphone, prodotti per la smart home, cuffie wireless, software.
Bruxelles vuole prodotti più sicuri per consumatori e imprese in tutta l’Unione e afferma di aver riportato la responsabilità della protezione da hacker e furti di dati laddove deve risiedere, ovvero nei produttori, che sviluppano e mettono i dispositivi digitali sul mercato. Il Cyber resilience act li costringe a fornire supporto sulle funzionalità di sicurezza e aggiornamenti software per risolvere le vulnerabilità note.
Il Cyber resilience act, annunciato dalla presidente della Commissione Ursula von der Leyen un anno fa, esclude i prodotti già coperti da requisiti di sicurezza informatica, come i dispositivi medici, le automobili e quelli pertinenti all’industria dell’aviazione.
Trust nei prodotti digitali, l’Ue come modello globale
Obiettivo della Commissione nel blindare i dispositivi connessi è anche promuovere la fiducia nei prodotti con elementi digitali e garantire una migliore tutela dei diritti fondamentali delle persone, come la privacy e la protezione dei dati. Si tratta, sottolinea Bruxelles, della prima legislazione in assoluto a livello Ue del suo genere e che potrà fare scuola in tutto il mondo.
“Anche se altre giurisdizioni in tutto il mondo stanno cercando di affrontare questi temi, è probabile che il Cyber resilience act diventi un punto di riferimento internazionale. Gli standard dell’Ue basati sul Cyber resilience act ne faciliteranno l’attuazione e saranno una risorsa per l’industria della sicurezza informatica dell’Ue nei mercati globali”, si legge nella nota di Bruxelles.
Le quattro misure chiave del Cyber resilience act
La proposta di legge prevede innanzitutto norme per l’immissione sul mercato di prodotti con elementi digitali al fine di garantire la loro sicurezza informatica. Il secondo elemento del framework normativo include requisiti essenziali che andranno seguiti per la progettazione, lo sviluppo e la produzione dei dispositivi con elementi digitali e obblighi per gli operatori economici in relazione a tali dispositivi digitali.
Vengono inoltre proposti requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai produttori per garantire la sicurezza informatica dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I produttori dovranno anche segnalare vulnerabilità e incidenti sfruttati attivamente.
Infine, la Commissione ha inserito norme sulla vigilanza e l’applicazione delle regole sul mercato.
Responsabilità ai produttori su tutti i device hackerabili
“Abbiamo diritto a sentirci sicuri sui prodotti che compriamo nel mercato unico”, ha dichiarato Margrethe Vestager, vice presidente esecutivo di Europe fit for the digital age. “Esattamente come ci fidiamo di un giocattolo o di un frigorifero col marchio CE, così il Cyber resilience act assicurerà che gli oggetti connessi e il software che compriamo rispettino forti requisiti di cybersecurity. Metterà la responsabilità dove deve stare: negli operatori che mettono i prodotti sul mercato”.
Margaritis Schinas, vice presidente di Promoting our European way of life today, ha sottolineato che la nuova legge completa l’ecosistema normativo dedicato alla cybersecurity “portando la sicurezza in tutte le case, le aziende e i prodotti interconnessi. La cybersecurity non interessa solo l’industria ma la società intera”.
Thierry Breton, commissario per l’Internal market ha aggiunto che computer, telefoni, dispositivi connessi per la casa, assistenti virtuali e molti altri dispositivi sono “potenziali punti di ingresso per un cyberattacco” e che finalmente l’Ue introduce obblighi per chi li produce, includendo hardware e software.
Spetta ora al Parlamento europeo e al Consiglio esaminare il progetto di legge sulla resilienza informatica. Una volta adottati, gli operatori economici e gli Stati membri avranno due anni per adattarsi ai nuovi requisiti.
Tuttavia, scatterà già dopo un anno l’obbligo per i produttori di segnalare le vulnerabilità e gli incidenti sfruttati attivamente perché richiedono meno aggiustamenti organizzativi rispetto agli altri nuovi obblighi.
Le multe e il ritiro dei prodotti non-compliant
La bozza del Cyber resilience act visionata da Bloomberg la scorsa settimana indicava che i fornitori che non si adeguano alle norme potranno andare incontro a multe o addirittura al ritiro dal mercato dei loro prodotti.
In particolare, se un dispositivo non soddisfa i nuovi standard, le autorità di regolamentazione nazionali potranno ritirare un prodotto dal mercato nell’Ue. In circostanze eccezionali, anche la Commissione potrà farlo. Le sanzioni per le violazioni più gravi potranno raggiungere i15 milioni di euro o il 2,5% del fatturato annuo mondiale di un’azienda, a seconda di quale sia il valore più alto. Violazioni meno gravi potrebbero portare a multe di 10 milioni di euro o del 2% delle vendite annuali globali. Se un’azienda viene trovata a fornire informazioni “errate, incomplete o fuorvianti” potrebbe essere multata di 5 milioni di euro, ovvero fino all’1% del fatturato annuo.
La nota ufficiale della Commissione europea non ha per ora incluso riferimenti alle sanzioni.
