Cyber Resilience Act, cos'è e che prevede la legge Ue sui prodotti digitali - Borsa&Finanza
Cerca
Close this search box.

Cyber Resilience Act, cos’è e che prevede la legge Ue sui prodotti digitali

Il computer di un programmatore

Proteggere i cittadini europei dalle minacce informatiche: è l’obiettivo del Cyber Resilience Act, il regolamento sulla ciberresilienza dell’Unione europea proposto dalla Commissione nel settembre del 2022 e pronto a diventare realtà. La legge introdurrà requisiti minimi di sicurezza per tutti i prodotti digitali (sia software che hardware) che finiranno sul mercato europeo. Secondo un’indagine condotta da Affinion, infatti, la preoccupazione per il cybercrime è in forte aumento: in Europa il 73% degli utenti ha paura del crimine informatico, dai furti d’identità alle transazioni bancarie fraudolente.

 

Cyber Resilience Act: cos’è il regolamento europeo

Il CRA impone obblighi di sicurezza informatica per tutti i prodotti hardware e software prima della loro immissione sul mercato. La normativa riguarda ogni dispositivo connesso, che sia collegato direttamente o indirettamente a un altro device o a una rete. Per dispositivi interconnessi si intendono modem e router, televisori e frigoriferi, fotocamere domestiche e monitor, smart watch, giochi per computer e giocattoli, firewall e così via. Sono previste eccezioni per le automobili, i prodotti aeronautici e i dispositivi medici.

La proposta legislativa richiede requisiti di cybersecurity per la progettazione, lo sviluppo, la produzione e la vendita sul mercato. Il proposito dell’Unione è ridurre l’insicurezza digitale, limitare la circolazione di prodotti fabbricati in Cina o in Paesi dal sistema giuridico simile, garantire che le informazioni personali memorizzate sui dispositivi digitali siano protette e tutelate, al riparo da minacce informatiche. Non solo computer, tablet e smartphone dei consumatori, ma anche le piattaforme logistiche di istituzioni, enti e imprese e in generale l’intero traffico di dati digitali.

I prodotti con marcatura CE dovranno essere sicuri lungo l’intera catena di approvvigionamento e per tutto il loro ciclo di vita. Questa garanzia si otterrà rispettando una serie di requisiti base di cybersecurity con l’assunzione di responsabilità in materia di conformità da parte dei fabbricanti:

 

  • il controllo della sicurezza informatica delle catene di approvvigionamento;
  • la disponibilità costante di aggiornamenti di sicurezza;
  • la condivisione delle vulnerabilità con le autorità di cybersecurity come l’ENISA, l’agenzia che contribuisce alla politica informatica dell’Unione.

 

I settori particolarmente interessati dal regolamento sulla ciberresilienza sono la finanza, l’energia, i trasporti e l’aerospaziale. Produttori, importatori e distributori saranno chiamati a valutare i rischi legati alla sicurezza informatica dei loro prodotti, fornire dichiarazioni trasparenti e adottare tutte le misure appropriate per risolvere qualsiasi tipo di problema che si manifesta durante il periodo di vita del prodotto o per almeno cinque anni.

È particolarmente significativa l’importanza che il legislatore assegna all’accelerazione della condivisione di segnalazioni su rischi e attacchi. I produttori, infatti, saranno tenuti ad avvertire le autorità dei problemi riscontrati nei loro sistemi hardware e software entro 24 ore dall’evento avverso. In aggiunta, si dovranno fornire report più approfonditi entro 72 ore, sia alle autorità nazionali (in Italia l’ACN, l’agenzia per la cybersicurezza nazionale istituita nel 2021) che all’ENISA.

 

Quando entra in vigore il Cyber Resilience Act

La presidenza del Consiglio e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta legislativa il 30 novembre scorso. In seguito all’accordo provvisorio, verranno messi a punto i dettagli del regolamento. Una volta conclusi i lavori, il testo di compromesso verrà sottoposto dalla presidenza spagnola del Consiglio (in carica fino al 31 dicembre 2023, poi passerà a Belgio e Ungheria nel 2024) ai rappresentanti degli Stati membri (il Coreper) per l’approvazione.

Soltanto allora il testo potrà essere approvato formalmente dalla plenaria del Parlamento e dai governi nazionali presso il Consiglio. Venti giorni dopo la sua adozione da parte del Parlamento e del Consiglio, il CRA entrerà in vigore chiamando in causa i produttori di hardware e software. Industria e governi avranno tre anni per adattarsi alla normativa. Con la tempistica prevista, il regolamento entrerà in vigore all’inizio del 2027.

I 36 mesi concessi ai fabbricanti serviranno per adeguarsi ai nuovi requisiti introdotti dall’entrata in vigore del regolamento. Naturalmente sono previste multe e sanzioni per i produttori che non rispetteranno le disposizioni del CRA e non adotteranno i requisiti previsti dalla legge: la proposta della Commissione e l’accordo di Consiglio e Parlamento confermano fino a 15 milioni di euro o al 2,5% del fatturato annuo mondiale totale.

 

I dubbi sui software open source

I consumatori devono sentirsi al sicuro utilizzando i prodotti disponibili sul mercato dell’UE. La legge sulla ciberresilienza garantirà che i prodotti digitali che utilizziamo a casa e sul lavoro siano conformi a norme rigorose in materia di cibersicurezza. Chi immette tali prodotti sul mercato deve essere responsabile della loro sicurezza”, dichiara in una nota Věra Jourová, vicepresidente per i Valori e la trasparenza.

La Commissione sostiene che gli attacchi ransomware (i malware che bloccano e tengono in ostaggio dispositivi essenziali e dati critici finché non viene pagato un riscatto) producono danni alle aziende per 20 miliardi di euro l’anno. Per contrastare il fenomeno, il Cyber Resilience Act si unirà alla Direttiva NIS 2 che ha rifondato la NIS (Network and Information Security) per completare il passo definitivo dell’Unione europea verso una precisa definizione della strategia cyber.

Gli unici ad esprimere forti timori per il regolamento sono le realtà specializzate nella produzione di software open source, nello specifico micro e piccole imprese e sviluppatori indipendenti attivi in particolare nell’innovazione e nella ricerca. Di fronte ad una legge che richiede di fornire tempestivamente ai consumatori aggiornamenti di sicurezza, anche per diversi anni dopo l’acquisto, le PMI, i programmatori e sviluppatori potrebbero avere serie difficoltà a rispettare scadenze tanto brevi ed immediate.

Il mercato dell’open source lamenta preoccupazione per la perdita di competitività in Europa, i costi eccessivi di compliance (abbordabili esclusivamente dalle grandi aziende) e un paradossale arretramento sulla cybersecurity. In combinato con il Product Liability Act (PLA), ovvero la responsabilità da prodotto difettoso, il CRA finirà per limitare il lavoro degli sviluppatori di OSS che lavorano in gruppo per rendere i software liberi più sicuri.

Per risolvere l’impasse e sbloccare un timore concreto, l’accordo tra Consiglio e Parlamento include una deroga alle procedure di prova e di valutazione della conformità: i software open source sviluppati e forniti al di fuori di un’attività commerciale, non dovrebbero essere disciplinati dal regolamento. Tra le misure di sostegno per le piccole e microimprese, inoltre, ci saranno specifiche attività di sensibilizzazione e formazione. Ma per averne la conferma, bisognerà aspettare le prossime tappe del regolamento.

AUTORE

Alessandro Zoppo

Alessandro Zoppo

Ascolta musica e guarda cinema da quando aveva 6 anni. Orgogliosamente sannita ma romano d'adozione, Alessandro scrive per siti web e riviste occupandosi di cultura, economia, finanza, politica e sport. Impegnato anche in festival e rassegne di cinema, Alessandro è tra gli autori di Borsa&Finanza da aprile 2022 dove si occupa prevalentemente di temi legati alla finanza personale, al Fintech e alla tecnologia.

ARTICOLI CORRELATI

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *