Cyber Resilience Act, via libera della Commissione per l'industria del Parlamento UE
In data 19 luglio 2023 la Commissione per l'industria del Parlamento europeo (ITRE) ha dato il via libera al Cyber Resilience Act, una proposta per stabilire i requisiti minimi di sicurezza informatica per i prodotti connessi.
La nuova normativa europea ha l’obiettivo di garantire che i prodotti con componenti digitali, come telecamere domestiche connesse, frigoriferi intelligenti, TV e giocattoli, siano sicuri prima di essere immessi sul mercato.
La proposta mira a colmare le lacune sulla disciplina, a chiarire i collegamenti e a rendere più coerente la legislazione esistente in materia di cybersecurity, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell’Internet of Things (IoT), diventino sicuri lungo l’intera catena di fornitura e per tutto il loro ciclo di vita.
La posizione comune raggiunta dai rappresentanti degli Stati membri dell’UE mantiene diversi punti saldi della proposta di regolamento presentata dalla Commissione lo scorso anno, tra cui:
- regole per riequilibrare la responsabilità della conformità verso i produttori, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’UE, compresi obblighi come la valutazione del rischio di cybersecurity, la dichiarazione di conformità e la collaborazione con le autorità competenti
- requisiti essenziali per i processi di gestione delle vulnerabilità da parte dei produttori per garantire la sicurezza informatica dei prodotti digitali e obblighi per gli operatori economici, come importatori o distributori, in relazione a tali processi
- misure per migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utenti commerciali, e un quadro di sorveglianza del mercato per far rispettare queste regole.
Tuttavia, il testo modifica varie parti della proposta della Commissione UE, tra cui i seguenti aspetti:
- l’ambito di applicazione della legislazione proposta, anche per quanto riguarda le categorie specifiche di prodotti che dovrebbero essere conformi ai requisiti del regolamento
- obblighi di segnalazione di vulnerabilità o incidenti attivamente sfruttati alle autorità nazionali competenti (“computer security incident response teams” – CSIRT) anziché all’Agenzia dell’UE per la sicurezza informatica (ENISA), con l’istituzione da parte di quest’ultima di una piattaforma di segnalazione unica
- elementi per la determinazione della durata di vita prevista dei prodotti da parte dei produttori misure di sostegno per le piccole e micro imprese una dichiarazione di conformità semplificata.
Non soddisfatte le organizzazioni per la tutela dei consumatori europee (BEUC) secondo cui occorrerebbe che le valutazioni della cybersecurity dei prodotti più impegnativi fossero effettuare da enti di terza parte per garantire che i test di sicurezza siano svolti in modo indipendente, riscontrando che d’altra parte l’accordo raggiunto sia positivo almeno per il fatto che dà la possibilità ai consumatori il diritto di andare in tribunale come gruppo per chiedere un risarcimento nei casi in cui il prodotto che hanno acquistato non soddisfaccia gli standard di sicurezza informatica.
Quando approvato definitivamente, il Cyber Resilience Act si applicherà a tutti i prodotti che sono collegati direttamente o indirettamente a un altro dispositivo o rete.
Saranno previste alcune eccezioni per i prodotti per i quali i requisiti di cybersecurity sono già definiti nelle norme UE esistenti, ad esempio per i dispositivi medici, l’aviazione o le automobili.
