Cyber Resilence Act: nuovi obblighi a tutela di cybersecurity e privacy
Autore: Marzia Marconcini
Description: Il Cyber Resilience Act è a un passo dall’adozione: prevede nuovi obblighi per i prodotti a contenuto digitale a tutela di sicurezza e privacy dei consumatori
Data: 01/04/2024
Il Cyber Resilience Act, attualmente ancora in fase di proposta, è un regolamento del Parlamento europeo e del Consiglio che nasce dalla necessità di dettare una normativa armonizzata comune che stabilisca i requisiti minimi di sicurezza informatica che devono presentare tutti i prodotti connessi.
Fino ad oggi, infatti, i diversi interventi che, pure, sono stati adottati da parte delle istituzioni europee, hanno regolamentato solo settorialmente la materia dal punto di vista della sicurezza informatica, lasciando vuoti normativi per prodotti simili, aumentando l’incertezza giuridica per i fabbricanti e gli utilizzatori di tali prodotti.
In data 19 luglio 2023 la Commissione per l’industria del Parlamento europeo ha varato la prima versione del Cyber Resilience Act, una proposta che fissa requisiti minimi uniformi di sicurezza informatica per tutti i prodotti digitali nell’Unione europea.
La proposta nasce dalla considerazione e dall’analisi dei dati fattuali, che segnano negli ultimi anni un ingente aumento di cyber attacchi, sia nei confronti dei consumatori che delle imprese.
Si rileva, inoltre, che tutti gli hardware e i software indistintamente, anche quelli più semplici, sono meritevoli di protezione, poiché, data la loro interconnessione, anche l’attacco a un prodotto più semplice può propagarsi facilmente e danneggiare rapidamente tutti gli altri prodotti in rete. Certamente, prodotti con diversi livelli di rischio associati avranno requisiti di sicurezza diversi e, in definitiva, soltanto un ristretto numero di prodotti saranno soggetti a valutazioni di terze parti.
Cosa prevede il Cyber Resilience Act
La proposta recante il Cyber Resilience Act stabilisce:
– norme per l’immissione sul mercato di prodotti con componenti digitali che garantiscono il rispetto della cybersecurity;
– requisiti essenziali per progettazione, sviluppo e fabbricazione di prodotti con componenti digitali;
– obblighi a carico degli operatori economici a garanzia del rispetto della cybersecurity dei prodotti con componenti digitali che trattano;
– requisiti essenziali per i processi di gestione delle vulnerabilità adottati dai produttori per garantire la cybersecurity dei prodotti con componenti digitali per l’intero ciclo di vita e correlati obblighi a carico degli operatori economici in relazione a tali processi;
– norme sulla vigilanza di mercato anche a garanzia dell’effettivo rispetto del Regolamento.
La marcatura CE recata dai prodotti hardware e software starà a significare che essi sono conformi ai requisiti del Regolamento e che, perciò, possono essere venduti all’interno dell’Unione Europea.
La tutela della privacy
Il Cyber Resilience Act tiene in debito conto anche i possibili effetti negativi che possono essere prodotti dai cyber attacchi, qualora il contenuto digitale oggetto dell’attacco comprenda dati e informazioni personali.
Difatti, nella proposta si legge: I requisiti orizzontali di cibersicurezza contribuirebbero alla sicurezza dei dati personali proteggendo la riservatezza, l’integrità e la disponibilità delle informazioni nei prodotti con elementi digitali. L’osservanza di tali requisiti faciliterà il rispetto dell’obbligo di garantire la sicurezza del trattamento dei dati personali a norma del regolamento generale sulla protezione dei dati (GDPR). La proposta migliorerebbe la trasparenza e le informazioni fornite agli utilizzatori, anche a quelli che potrebbero disporre di minori competenze in materia di cibersicurezza. Gli utilizzatori sarebbero inoltre meglio informati sui rischi, sulle capacità e sui limiti dei prodotti con elementi digitali, e sarebbero dunque maggiormente in grado di adottare le necessarie misure preventive e di attenuazione per ridurre i rischi residui.
Alcuni esempi di prodotti con componenti digitali
Per comprendere meglio la portata della nuova normativa si riporta un elenco sintetico e meramente esemplificativo di prodotti con componenti digitali, tra cui devono essere ricompresi anche gli IoT, di uso ormai comune.
Dispositivi terminali:
– computer portatili
– smartphone
– sensori e telecamere
– smart robot
– smart card
– smart meter
– dispositivi mobili
– smart speakers
– routers
– switches
– sistemi di controllo industriali.
Software:
– firmware
– sistemi operativi
– mobile apps
– applicazioni desktop
– video games
Componenti (sia hardware che software):
– unità di elaborazione informatica
– schede video
– librerie di software
I prossimi step
Il 12 marzo 2024 il Parlamento europeo ha approvato il Cyber Resilience Act nella versione consolidata che è attualmente all’esame del Consiglio per la sua approvazione definitiva.
Una volta adottato, il Cyber Resilience Act entrerà in vigore il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale.
Al momento dell’entrata in vigore, i produttori, gli importatori e i distributori di prodotti hardware e software avranno trentasei mesi di tempo per adeguarsi ai nuovi requisiti.
Con questo atto l’Unione Europea conferma di ritenere di particolare importanza la cybersecurity, già inserita dall’Istituzione tra le priorità assolute.
L’adozione di iniziative forti in questa materia, dirette a proteggere i prodotti digitali, sia software che hardware, prodotti e commercializzati all’interno dell’Unione, ha la dichiarata finalità di consentire agli utenti di fare scelte più informate e più sicure, poiché i produttori dovranno diventare più trasparenti e responsabili della sicurezza dei loro prodotti.