Giovedì 15 settembre 2022 - 13:28
Ecco i 4 punti chiave della legge Ue sulla cybersicurezza
Proposta dalla Commissione Ue sui prodotti con elementi digitali

Si tratta della prima legislazione di questo tipo a livello dell’Ue e oltre ad aumentare la responsabilità dei fabbricanti, obbligandoli a fornire assistenza in materia di sicurezza e aggiornamenti del software per affrontare le vulnerabilità individuate, consentirà ai consumatori di disporre di informazioni sufficienti sulla cibersicurezza dei prodotti che acquistano e utilizzano.
Secondo Bruxelles attacchi ransomware colpiscono un’organizzazione ogni 11 secondi in tutto il mondo e hanno un costo annuo globale della criminalità informatica stimato a 5,5 miliardi di euro nel 2021. Quindi è più importante che mai garantire un elevato livello di cibersicurezza e ridurre le vulnerabilità nei prodotti digitali, uno dei principali motivi del successo di tali attacchi.
Con la maggiore diffusione dei prodotti intelligenti e connessi, un incidente di cibersicurezza in un prodotto può avere un impatto sull’intera catena di approvvigionamento, con possibili gravi perturbazioni delle attività economiche e sociali nel mercato interno, può compromettere la sicurezza o addirittura avere conseguenze potenzialmente letali.
Secondo quanto riporta un comunicato, le misure proposte oggi si basano sul nuovo quadro legislativo per la legislazione dell’UE sui prodotti e stabiliranno: a) norme per l’immissione sul mercato di prodotti con elementi digitali al fine di garantirne la cibersicurezza; b) requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti; c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I fabbricanti dovranno inoltre segnalare le vulnerabilità attivamente sfruttate e gli incidenti; d) norme in materia di vigilanza del mercato e applicazione.
Con le nuove norme la responsabilità spetterà ai fabbricanti, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’Unione. Ne trarranno beneficio i consumatori e i cittadini, come pure le imprese che utilizzano prodotti digitali, grazie ad una maggiore trasparenza delle caratteristiche di sicurezza e alla promozione della fiducia nei prodotti con elementi digitali; sarà inoltre garantita una migliore protezione di diritti fondamentali quali la privacy e la protezione dei dati.
Il regolamento proposto si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o alla rete. Sono previste alcune eccezioni per prodotti i cui requisiti di cibersicurezza sono già stabiliti nelle norme dell’Ue vigenti, riguardanti ad esempio i dispositivi medici, l’aviazione o le automobili.
Quanto alle prossime tappe dell’iniziativa, la Commissione riporta che il Parlamento europeo e il Consiglio dovranno esaminare il progetto. Dopo l’adozione dei nuovi requisiti gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarvisi. Costituisce un’eccezione l’obbligo di comunicazione a carico dei fabbricanti per le vulnerabilità attivamente sfruttate e gli incidenti, che si applicherà già a decorrere da un anno dalla data di entrata in vigore, in quanto richiede adeguamenti organizzativi inferiori rispetto agli altri nuovi obblighi. La Commissione riesaminerà periodicamente la legge sulla ciberresilienza e riferirà in merito al suo funzionamento.
