Via libera della Commissione per l’industria del Parlamento UE al Cyber Resilience Act

Data pubblicazione: 03/08/2023

Il 19 luglio 2023, la Commissione per l’industria del Parlamento europeo (ITRE) ha approvato il Cyber Resilience Act, una proposta che mira a stabilire requisiti minimi di sicurezza informatica per i prodotti connessi.

L’obiettivo della nuova normativa europea è garantire che i prodotti contenenti componenti digitali, come telecamere domestiche connesse, frigoriferi intelligenti, TV e giocattoli, siano sicuri prima di essere immessi sul mercato.

La proposta intende colmare le lacune nella disciplina, chiarire i collegamenti e rendere più coerente la legislazione esistente in materia di cybersecurity. L’obiettivo è garantire che i prodotti con componenti digitali, come quelli dell’Internet of Things (IoT), siano sicuri lungo tutta la catena di fornitura e per tutto il loro ciclo di vita.

La posizione comune raggiunta dai rappresentanti degli Stati membri dell’UE mantiene vari aspetti saldi della proposta di regolamento presentata dalla Commissione l’anno scorso, tra cui:

  • Regole per riequilibrare la responsabilità della conformità verso i produttori, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’UE. Questo include obblighi come la valutazione del rischio di cybersecurity, la dichiarazione di conformità e la collaborazione con le autorità competenti.

  • Requisiti essenziali per i processi di gestione delle vulnerabilità da parte dei produttori, al fine di garantire la sicurezza informatica dei prodotti digitali, e obblighi per gli operatori economici, come importatori o distributori, in relazione a tali processi.

  • Misure per migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utenti commerciali, oltre a un quadro di sorveglianza del mercato per far rispettare queste regole.

Tuttavia, il testo modifica alcune parti della proposta originale della Commissione UE, tra cui:

  • L’ambito di applicazione della legislazione proposta, incluso il trattamento di categorie specifiche di prodotti che dovrebbero essere conformi ai requisiti del regolamento.

  • Obblighi di segnalazione di vulnerabilità o incidenti alle autorità nazionali competenti (Computer Security Incident Response Teams – CSIRT) anziché all’Agenzia dell’UE per la sicurezza informatica (ENISA), con quest’ultima istituzione che creerà una piattaforma di segnalazione unica.

  • Elementi per determinare la durata prevista dei prodotti da parte dei produttori e misure di sostegno per le piccole e micro imprese, oltre a una dichiarazione semplificata di conformità.

Le organizzazioni per la tutela dei consumatori europee (BEUC) non sono completamente soddisfatte e suggeriscono che le valutazioni della cybersecurity dei prodotti più critici dovrebbero essere effettuate da enti di terze parti indipendenti per garantire test di sicurezza imparziali. Tuttavia, l’accordo raggiunto è considerato positivo, poiché offre ai consumatori il diritto di agire in tribunale come gruppo per richiedere un risarcimento nei casi in cui il prodotto acquistato non rispetti gli standard di sicurezza informatica.

Una volta approvato definitivamente, il Cyber Resilience Act si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o rete. Saranno previste alcune eccezioni per i prodotti per i quali i requisiti di cybersecurity sono già definiti nelle norme UE esistenti, come ad esempio dispositivi medici, aviazione o automobili.

Fonte: Fedeprivacy