Oggi il Consiglio Ue ha approvato una nuova legge sui requisiti di sicurezza informatica per i prodotti tecnologici. Si tratta del Cyber Resilience Act, che prevede che dispositivi come telecamere domestiche connesse, frigoriferi, smart tv e giocattoli digitali siano sottoposti a controlli rigorosi prima di essere immessi sul mercato europeo.
Questo regolamento intende colmare le lacune nel quadro legislativo esistente, creando un sistema coerente per garantire la sicurezza informatica dei prodotti digitali lungo tutta la catena di fornitura e durante il loro ciclo di vita. Con l’aumento esponenziale dei dispositivi connessi, il rischio rappresentato dalle minacce informatiche è in crescita, mettendo a repentaglio l’economia, la democrazia e la sicurezza dei consumatori.
Requisiti di sicurezza
Il Cyber Resilience Act stabilisce requisiti essenziali di sicurezza per la progettazione, lo sviluppo e la produzione di prodotti con componenti digitali. Questi requisiti comprendono la protezione contro l’accesso non autorizzato, la salvaguardia della riservatezza e dell’integrità dei dati, e l’obbligo di fornire prodotti privi di vulnerabilità note. I produttori sono tenuti a condurre valutazioni di rischio approfondite sui loro prodotti e a documentare le politiche di sicurezza attuate.
Marcatura “Ce” e standard di conformità
Un’importante innovazione è l’introduzione della marcatura “Ce” specifica per la sicurezza informatica. Questa marcatura attesta che un prodotto ha superato i requisiti di sicurezza e funge da garanzia per i consumatori. I prodotti devono riportare visibilmente questa marcatura, contribuendo a costruire la fiducia nel mercato digitale.
Le autorità di sorveglianza del mercato avranno così il ruolo cruciale nel garantire l’applicazione del regolamento. Dovranno monitorare la conformità, effettuare controlli regolari sui prodotti e collaborare con i team di risposta agli incidenti di sicurezza informatica per gestire rapidamente le vulnerabilità. Queste autorità possono anche imporre sanzioni e ritirare dal mercato i prodotti non conformi.
Responsabilità dei produttori
I produttori sono responsabili della sicurezza dei loro prodotti non solo al momento della vendita, ma anche durante l’intero ciclo di vita del prodotto. Devono garantire aggiornamenti di sicurezza regolari e gratuiti e attuare politiche di divulgazione delle vulnerabilità, informando tempestivamente gli utenti riguardo ai rischi potenziali.
Il Cyber Resilience Act, inoltre, si integra con altre normative dell’Ue, come la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva Nis), la direttiva sulle misure per un elevato livello di sicurezza informatica nell’Unione (direttiva Nis 2) e l’atto sulla sicurezza informatica dell’Ue, creando un quadro normativo coeso che evita sovrapposizioni e conflitti tra diverse leggi. Questo approccio mira a semplificare il rispetto dei requisiti da parte delle aziende e a rafforzare l’efficacia delle misure di sicurezza.
Il regolamento ha anche importanti implicazioni economiche. Creando un ambiente normativo chiaro e uniforme, si intende favorire l’innovazione nel settore tech e proteggere i consumatori, aumentando la loro consapevolezza riguardo alla sicurezza dei prodotti. Con l’adozione di questo regolamento, l’Ue compie un passo significativo verso un ambiente digitale più sicuro e resiliente. L’obiettivo è proteggere i cittadini e rafforzare la fiducia nel mercato digitale, migliorando la sicurezza dei prodotti e garantendo che gli utenti possano scegliere dispositivi dotati delle adeguate caratteristiche di sicurezza informatica.
Dopo la pubblicazione nella Gazzetta ufficiale, il regolamento entrerà in vigore venti giorni dopo e si applicherà integralmente entro i prossimi tre anni.