C’è l’accordo finale per le nuove norme Ue sulla sicurezza informatica. Chi immette prodotti nel mercato “va ritenuto responsabile”

Bruxelles – L’Unione europea è pronta a dotarsi della prima legislazione al mondo sulla sicurezza informatica. Nella tarda serata di ieri (30 novembre) l’accordo politico raggiunto tra i negoziatori del Parlamento europeo e del Consiglio dell’Ue sul pacchetto di norme proposto dalla Commissione nel settembre 2022.

Nuovi requisiti “proporzionati e obbligatori” di cybersicurezza per tutto l’hardware e software che viene immesso nel mercato unico europeo: dai baby monitor, agli orologi smart watch, fino ai giochi per computer, ai firewall e ai router. Una volta entrato in vigore il Cyber ​​Resilience Act, i produttori di tecnologie informatiche dovranno implementare misure di sicurezza durante l’intero ciclo di vita del prodotto, dalla progettazione e sviluppo, fino all’immissione del prodotto sul mercato. Software e hardware “sicuri” riporteranno la marcatura CE per indicare che sono conformi ai requisiti del Regolamento e quindi possono essere venduti su tutto il territorio comunitario.

Con questa legislazione, l’Ue “garantirà che i prodotti digitali che utilizziamo a casa e al lavoro siano conformi a rigorosi standard di sicurezza informatica” e che “coloro che immettono questi prodotti sul mercato siano ritenuti responsabili della loro sicurezza”, ha dichiarato Věra Jourová, Vicepresidente della Commissione europea per i Valori e la Trasparenza. In base ai calcoli della Commissione per il 90 per cento dei prodotti sarà sufficiente un’autovalutazione degli operatori di mercato sulla resilienza informatica di apparecchi digitali che gestiscono servizi come il fotoritocco e l’elaborazione dei testi, oltre ad altoparlanti intelligenti, dischi rigidi e console per videogiochi. Il restante 10 per cento si divide in due classi di criticità: per la ‘Classe I’ (gestori di password, interfacce di rete, firewall e micro-controllori) sarà richiesta l’applicazione di uno standard predefinito o una valutazione di terzi, mentre per la ‘Classe II’ (sistemi operativi, firewall industriali, processori centrali) sarà obbligatoria la valutazione indipendente di terzi.

Al giorno d’oggi la sicurezza informatica – ha commentato il Commissario Ue per il Mercato interno, Thierry Breton, “è essenziale per la sicurezza sia dei consumatori che della società in generale”. Secondo i dati dell’esecutivo Ue infatti, nell’ultimo anno il numero di attacchi informatici alla catena di fornitura dei software è triplicato e “ogni giorno” piccole imprese e istituzioni critiche come gli ospedali vengono prese di mira dai criminali informatici, con un costo complessivo stimato che si aggira intorno ai 20 miliardi di euro. E, solo nel 2021,  sono stati hackerati dispositivi e lanciati circa 10 milioni di attacchi DDoS (Distributed Denial of Service) in tutto il mondo, rendendo siti Web e servizi online inaccessibili agli utenti.

La forma finale della legge plasmata durante i triloghi interistituzionali ha mantenuto l’impostazione generale della proposta della Commissione: confermate le norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti e le misure per migliorare la trasparenza sulla sicurezza dei prodotti. Ritoccato invece l’obbligo legale per i produttori di fornire ai consumatori aggiornamenti di sicurezza tempestivi per diversi anni dopo l’acquisto: anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno di almeno cinque anni, tranne per i prodotti che dovrebbero essere utilizzati per un periodo più breve. Inoltre, Eurocamera e Consiglio hanno inserito ulteriori misure di sostegno per le piccole e microimprese, comprese attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e di valutazione della conformità.

Ampliato anche l’arco di tempo entro cui i fabbricanti dovranno adeguarsi ai nuovi requisiti: le nuove norme si applicheranno tre anni dopo l’entrata in vigore del regolamento. C’è ancora un ultimo passaggio formale, prima della pubblicazione del Cyber Resilience Act nella Gazzetta ufficiale: l’accordo dovrà essere approvato dalla sessione plenaria del Parlamento europeo e dai ministri dei 27 riuniti al Consiglio.