Vi informiamo che in data 19 luglio 2023 la Commissione per l’industria, la ricerca e l’energia del Parlamento europeo (ITRE) ha espresso parere favorevole sul Cyber Resilience Act, un provvedimento volto a uniformare i requisiti minimi di sicurezza informatica con riguardo ai dispositivi digitali.
L’avvento delle nuove tecnologie porta con sé nuovi rischi e l’aumento degli attacchi informatici tramite prodotti digitali (sistemi di allarme, router WI-FI, baby monitor etc.). Pertanto, la nuova normativa avrà l’obiettivo di garantire che i prodotti con componenti digitali (es. telefoni, giocattoli e telecamere domestiche con connessione Internet etc.), siano progettati, sviluppati, prodotti e distribuiti sul mercato nel rispetto di determinati standard di sicurezza.
I PUNTI CENTRALI DEL CYBER RESILIENCE ACT
Tra le disposizioni del Cyber Resilience Act, vi sono le seguenti:
- regole finalizzate a riequilibrare la responsabilità dei produttori, che devono garantire la conformità ai requisiti di sicurezza europei;
- l’ambito di applicazione riguarderà tutti i prodotti collegati, direttamente o indirettamente, ad un altro dispositivo o alla rete. Si presume che le sole eccezioni riguarderanno i prodotti per i quali i requisiti di cybersecurity siano già definiti in altre norme europee (es. dispositivi medici, automobili e sistemi di aviazione);
- la segnalazione delle vulnerabilità dei prodotti dovrà essere rivolta alle autorità nazionali competenti e non all’Agenzia dell’Unione europea per la Cibersicurezza (ENISA), come inizialmente proposto dalla Commissione UE;
- la facoltà di agire in giudizio come gruppo per ottenere il risarcimento dei danni nel caso di acquisto di un prodotto che non soddisfi gli standard di sicurezza informatica.
LUCI E OMBRE DEL CYBER RESILIENCE ACT
Il Cyber Resilience Act garantirà maggiore sicurezza dei prodotti hardware e software dal punto di vista informatico e la riduzione delle vulnerabilità, dunque dovrebbe portare alla diminuzione del numero delle minacce informatiche nei confronti dei cittadini europei.
Tuttavia, le organizzazioni per la tutela dei consumatori europei (BEUC) hanno fortemente criticato la decisione di trasferire la competenza a valutare le segnalazioni in capo alle autorità nazionali: demandare il potere decisionale in capo ad un’autorità terza avrebbe garantito imparzialità ed indipendenza nella decisione.
Inoltre, la comunità open source richiede un aggiornamento del testo normativo affinché sia limitato l’ambito di applicazione del Cyber Resilience Act con riguardo ai software open source: il Cyber Resilience Act pone una serie di responsabilità in capo ai programmatori di software che offrono le loro applicazioni liberamente sul mercato, i quali potrebbero essere chiamati a rispondere della distribuzione di un codice sorgente che non si riveli sicuro.
I PROSSIMI PASSI VERSO L'APPROVAZIONE DEFINITIVA
Per procedere con i negoziati tra la Commissione ed il Consiglio UE, volti a definire la versione finale del testo normativo, il prossimo passo sarà dato dalla necessaria approvazione del testo da parte della sessione plenaria del Parlamento UE, che è stata fissata nel mese di settembre.
*****
Rimaniamo a disposizione per qualsiasi chiarimento e approfondimento, ricordandovi che i professionisti del nostro studio offrono assistenza in materia di cybersecurity.
