Recentemente è stato raggiunto un accordo provvisorio sul Cyber Resilience Act, volto ad adottare i requisiti minimi di sicurezza informatica per una serie di prodotti digitali venduti nel mercato europeo. La proposta legislativa permetterà di essere maggiormente tutelati rispetto alle minacce cyber, attraverso la diffusione di informazioni appropriate circa le proprietà di sicurezza dei prodotti.
Cyber Resilience Act: cos’è
Il 30 Novembre 2023 gli eurodeputati e la Presidenza del Consiglio UE hanno formulato un accordo provvisorio denominato Cyber Resilience Act – CRA – concernente le regole di resilienza informatica, al fine di proteggere tutti i prodotti digitali presenti nell’Unione Europea.
L’accordo relativo al Cyber Resilience Act si impegna a garantire che i dispositivi dotati di componenti digitali siano sicuri nel loro impiego – prima di essere immessi nel mercato – oltre ad essere resistenti alle minacce cyber. Oltre a ciò, il pacchetto normativo prevederà l’aggiunta di tali asset in elenchi differenti, con riferimento specifico ad una classificazione della loro criticità e del livello di rischio per la sicurezza informatica.
La nuova proposta di legge sulla sicurezza informatica istituisce, per la prima volta, l’obbligo di segnalare incidenti considerevoli qualora si verificassero. Attraverso questa proposta di regolamento, infatti, sarà necessario stabilire dei criteri indispensabili per i processi delle vulnerabilità da parte dei produttori, al fine di tutelare maggiormente la sicurezza informatica dei prodotti digitali.
Un aspetto rilevante è il coinvolgimento dell’Agenzia dell’Unione europea per la sicurezza informatica – ENISA – nel caso si verificassero incidenti: in caso di incidente l’agenzia verrà notificata in maniera tempestiva dallo Stato membro interessato e riceverà informazioni a riguardo. In questo modo, essa potrà esaminare la situazione segnalata, oltre ad attivare delle procedure nazionali per l’applicazione delle misure di prevenzione.
Un’altra novità è l’introduzione di programmi di istruzione e formazione.
Dalla proposta all’approvazione
Questa nuova proposta di legge si applica a tutti i prodotti che sono collegati direttamente o indirettamente ad un altro dispositivo o rete. In particolare, la norma introduce l’obbligo di segnalazione di incidenti gravi, oltre al ricorso di misure volte a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori.
A fronte dell’accordo raggiunto in via provvisoria, nelle prossime settimane continueranno le procedure per finalizzare i dettagli dalla nuova legge. La presidenza spagnola al Consiglio dell’UE presenterà il testo di compromesso ai rappresentanti degli Stati membri e sarà soggetto all’approvazione formale da parte del Parlamento Europeo e del Consiglio. Se approvato, esso entrerà in vigore il ventesimo giorno successivo alla pubblicazione sulla Gazzetta Ufficiale. I produttori, invece, avranno 36 mesi di tempo per adeguarsi ai requisiti richiesti.
