In una mossa storica, l’Unione Europea si appresta ad adottare la prima legislazione globale in materia di sicurezza informatica. Dopo intense trattative, qualche giorno fa (il 30 novembre), i rappresentanti del Parlamento Europeo e del Consiglio dell’UE hanno raggiunto un accordo sulle normative proposte dalla Commissione Europea nel settembre 2022.
Queste nuove norme imporranno requisiti “proporzionati e obbligatori” di cybersicurezza per tutti i prodotti hardware e software immessi nel mercato unico europeo. Questo spettro include una vasta gamma di dispositivi, dai monitor per bambini agli smartwatch, dai giochi per computer ai firewall e ai router. Secondo il Cyber Resilience Act, i fabbricanti di tecnologie informatiche saranno obbligati a implementare misure di sicurezza lungo tutto il ciclo di vita del prodotto, dalla fase di progettazione e sviluppo fino all’immissione nel mercato. Prodotti considerati “sicuri” riceveranno la marcatura CE, simbolo di conformità ai requisiti del Regolamento e garanzia di vendibilità in tutto il territorio dell’UE.
L’obiettivo di questa legislazione è duplice: assicurare che i prodotti digitali utilizzati quotidianamente rispettino standard di sicurezza elevati e responsabilizzare i produttori per la sicurezza dei loro prodotti.
Secondo Vera Jourová, Vicepresidente della Commissione Europea per i Valori e la Trasparenza, il 90% dei prodotti richiederà un’autovalutazione da parte degli operatori di mercato sulla loro resilienza informatica. Questa categoria comprende dispositivi che gestiscono servizi come il fotoritocco, l’elaborazione testi, altoparlanti intelligenti, dischi rigidi e console per videogiochi. Il restante 10% sarà suddiviso in due classi di criticità: la ‘Classe I’, che include gestori di password, interfacce di rete e firewall, richiederà standard predefiniti o valutazioni di terze parti; mentre per la ‘Classe II’, che comprende sistemi operativi e firewall industriali, sarà necessaria una valutazione indipendente.
Thierry Breton, Commissario UE per il Mercato Interno, sottolinea l’importanza cruciale della sicurezza informatica non solo per i consumatori, ma per la società nel suo insieme. Il numero di attacchi informatici alla catena di fornitura software è triplicato nell’ultimo anno, con un costo stimato di circa 20 miliardi di euro. Nel 2021, sono stati registrati circa 10 milioni di attacchi DDoS a livello globale.
La versione finale della legge, plasmata durante i triloghi interistituzionali, ha mantenuto la struttura generale della proposta iniziale della Commissione. È stato confermato l’obbligo legale per i produttori di fornire aggiornamenti di sicurezza per un periodo di almeno cinque anni. Inoltre, sono state inserite misure di sostegno per le piccole e microimprese, tra cui attività di sensibilizzazione e formazione.
Prima dell’adozione definitiva, l’accordo dovrà essere ratificato dalla sessione plenaria del Parlamento Europeo e dai ministri dei 27 paesi membri riuniti in Consiglio. Una volta approvato, il Cyber Resilience Act verrà pubblicato nella Gazzetta Ufficiale e le nuove norme entreranno in vigore tre anni dopo.
Cyber Resilience Act
Il Cyber Resilience Act, una legislazione pionieristica nell’ambito della sicurezza informatica, è stato proposto dalla Commissione Europea il 15 settembre 2022. Questa iniziativa fa parte di un impegno più ampio dell’Unione Europea per rafforzare la resilienza e la sicurezza del suo spazio digitale. Il regolamento si concentra su aspetti cruciali della sicurezza informatica per prodotti hardware e software, mirando a elevare e uniformare gli standard di sicurezza in tutto il mercato unico europeo.
Ecco i punti chiave del Cyber Resilience Act:
- Requisiti di Sicurezza: Impone la necessità di integrare misure di sicurezza informatica robuste in tutte le fasi del ciclo di vita del prodotto, dalla progettazione alla messa sul mercato.
- Marcatura CE: I prodotti che rispettano i requisiti di sicurezza otterranno la marcatura CE, indicando la loro conformità agli standard di sicurezza dell’UE e la loro idoneità alla vendita in tutta l’Unione.
- Valutazione e Conformità: Introduce un sistema di valutazione del rischio differenziato. Mentre la maggior parte dei prodotti può essere autovalutata per la resilienza informatica, alcuni prodotti ad alto rischio necessitano di valutazioni di terze parti.
- Aggiornamenti di Sicurezza: Stabilisce l’obbligo per i produttori di fornire aggiornamenti di sicurezza per un periodo minimo di cinque anni, garantendo protezioni contro minacce informatiche in evoluzione.
- Supporto per Piccole e Microimprese: Include misure di supporto per piccole e microimprese, come formazione e assistenza nella conformità.
- Responsabilità dei Produttori: Accentua la responsabilità dei produttori per garantire la sicurezza dei loro prodotti, incentivando la produzione di dispositivi più sicuri.
Dopo la sua proposta iniziale nel settembre 2022, l’accordo politico sul Cyber Resilience Act è stato raggiunto il 30 novembre 2022 tra i negoziatori del Parlamento Europeo e del Consiglio dell’UE. Questo passo rappresenta un’avanzata significativa nel campo della sicurezza digitale, stabilendo norme rigorose per i produttori e migliorando la protezione dei consumatori e delle aziende contro le minacce informatiche. L’attuazione di questa legge segna un momento cruciale per la sicurezza digitale nell’Unione Europea, mirando a creare un ambiente digitale più sicuro e resiliente.
