La Commissione informa in un comunicato stampa di aver presentato il 15 settembre una proposta per una nuova legge sulla resilienza informatica per proteggere i consumatori e le imprese da prodotti con caratteristiche di sicurezza inadeguate. Una prima legislazione di questo tipo in assoluto a livello dell’UE, introduce requisiti di sicurezza informatica obbligatori per i prodotti con elementi digitali, durante l’intero ciclo di vita.
Con attacchi ransomware che colpiscono un’organizzazione ogni 11 secondi in tutto il mondo e il costo annuale globale stimato della criminalità informatica che raggiunge i 5,5 trilioni di euro nel 2021 (rapporto del Joint Research Center (2020): “Cybersecurity – Our Digital Anchor, a European perspective”), garantendo un l’alto livello di sicurezza informatica e la riduzione delle vulnerabilità nei prodotti digitali, una delle strade principali per attacchi di successo, sono più importanti che mai, sottolinea Bruxelles.
Con la crescita dei prodotti intelligenti e connessi, un incidente di sicurezza informatica in un prodotto può avere un impatto sull’intera catena di approvvigionamento, portando eventualmente a una grave interruzione delle attività economiche e sociali nel mercato interno, minando la sicurezza o addirittura mettendo in pericolo la vita.
Le misure proposte dalla Commissione si basano sul nuovo quadro legislativo per la legislazione dell’UE sui prodotti e stabiliranno:
a) norme per l’immissione sul mercato di prodotti con elementi digitali per garantirne la sicurezza informatica;
(b) i requisiti essenziali per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali e gli obblighi per gli operatori economici in relazione a tali prodotti;
c) requisiti essenziali per i processi di gestione della vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I produttori dovranno inoltre segnalare vulnerabilità e incidenti sfruttati attivamente;
(d) norme sulla vigilanza del mercato e sull’esecuzione.
Le nuove regole riequilibreranno la responsabilità nei confronti dei produttori, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’UE. Di conseguenza, andranno a beneficio dei consumatori e dei cittadini, nonché delle imprese che utilizzano prodotti digitali, migliorando la trasparenza delle proprietà di sicurezza e promuovendo la fiducia nei prodotti con elementi digitali, nonché garantendo una migliore protezione dei loro diritti fondamentali, come privacy e protezione dei dati.
Mentre altre giurisdizioni in tutto il mondo cercano di affrontare questi problemi, è probabile che il Cyber Resilience Act diventi un punto di riferimento internazionale, al di là del mercato interno dell’UE. Gli standard dell’UE basati sul Cyber Resilience Act ne faciliteranno l’attuazione e costituiranno una risorsa per l’industria della cibersicurezza dell’UE nei mercati globali.
Il regolamento proposto si applicherà a tutti i prodotti collegati, direttamente o indirettamente, a un altro dispositivo o rete. Esistono alcune eccezioni per i prodotti per i quali i requisiti di cibersicurezza sono già stabiliti nelle norme dell’UE esistenti, ad esempio sui dispositivi medici, l’aviazione o le automobili.
