Nuove norme UE: maggiore sicurezza su caratteristiche prodotti hardware e software

La Commissione ha presentato oggi una proposta relativa ad una nuova legge sulla ciberresilienza per proteggere i consumatori e le imprese da prodotti con caratteristiche di sicurezza inadeguate. Si tratta della prima legislazione di questo tipo a livello dell’UE, che introduce requisiti obbligatori in materia di cibersicurezza per i prodotti con elementi digitali, durante l’intero ciclo di vita.

La legge, annunciata dalla presidente Ursula von der Leyen nel settembre 2021 garantirà ai consumatori in tutta l’UE una maggiore sicurezza dei prodotti digitali come software e prodotti con e senza fili: oltre ad aumentare la responsabilità dei fabbricanti obbligandoli a fornire assistenza in materia di sicurezza e aggiornamenti del software per affrontare le vulnerabilità individuate, consentirà ai consumatori di disporre di informazioni sufficienti sulla cibersicurezza dei prodotti che acquistano e utilizzano.

Margrethe Vestager (NELLA FOTO) , Vicepresidente esecutiva per Un’Europa pronta per l’era digitale, ha dichiarato: “Meritiamo di sentirci al sicuro con i prodotti che acquistiamo nel mercato unico. Così come la marcatura CE ci garantisce la sicurezza di un giocattolo o di un frigorifero, la legge sulla ciberresilienza garantirà che gli oggetti connessi e i software che acquistiamo rispettino misure rigorose in materia di cibersicurezza. Con la nuova legge la responsabilità spetterà a chi immette i prodotti sul mercato.”

Con attacchi ransomware che colpiscono un’organizzazione ogni 11 secondi in tutto il mondo e un costo annuo globale della criminalità informatica stimato a 5,5 miliardi di EUR nel 2021 (relazione del Centro comune di ricerca (2020): “Cybersecurity – Our Digital Anchor, a European perspective“), è più importante che mai garantire un elevato livello di cibersicurezza e ridurre le vulnerabilità nei prodotti digitali, uno dei principali motivi del successo di tali attacchi. Con la maggiore diffusione dei prodotti intelligenti e connessi, un incidente di cibersicurezza in un prodotto può avere un impatto sull’intera catena di approvvigionamento, con possibili gravi perturbazioni delle attività economiche e sociali nel mercato interno, può compromettere la sicurezza o addirittura avere conseguenze potenzialmente letali.

Le misure proposte oggi stabiliranno:

1. a) norme per l’immissione sul mercato di prodotti con elementi digitali al fine di garantirne la cibersicurezza;
2. b) requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti;
3. c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I fabbricanti dovranno inoltre segnalare le vulnerabilità attivamente sfruttate e gli incidenti;
4. d) norme in materia di vigilanza del mercato e applicazione.

Con le nuove norme la responsabilità spetterà ai fabbricanti, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’UE. Ne trarranno beneficio i consumatori e i cittadini, come pure le imprese che utilizzano prodotti digitali, grazie ad una maggiore trasparenza delle caratteristiche di sicurezza e alla promozione della fiducia nei prodotti con elementi digitali; sarà inoltre garantita una migliore protezione di diritti fondamentali quali la privacy e la protezione dei dati.