Il 15 settembre 2022, è stata emanata la proposta di un nuovo regolamento europeo in materia di cybersicurity, denominata Cyber Resilience Act.
Il testo della proposta racchiude tutta una serie di regole comuni che devono essere pedissequamente seguite da tutti coloro che possono definirsi produttori o sviluppatori di prodotti con elementi digitali.
La necessità di un Cyber-Act
I sistemi informatici, i software e gli hardware oggetto di continui attacchi clandestini che minano la sicurezza di un intero settore che, seppur in via di continuo sviluppo, ha già assunto un’importanza pregnante nel tessuto sociale attuale. Si pensi alla stima di un costo di circa 5 trilioni di euro annui in conseguenza di questi attacchi.
L’intento della commissione europea va pertanto ricercato nella volontà di invertire tale trend negativo, così da garantire che tutti i prodotti connessi ad una rete internet destino una maggior sicurezza. Per perseguire questi obbiettivi, la Commissione propone un’implementazione delle responsabilità in capo ai produttori, oltre che analitiche analisi dei prodotti prima dell’immissione nel mercato. Verranno anche aumentati gli obblighi informativi dei produttori nei confronti dei consumatori, i quali dovranno essere informati dei canoni di sicurezza dei prodotti.
Si prevedono dei risvolti positivi anche per le imprese, le quali dovranno conformarsi a un’unica fonte normativa relativamente ai doveri di sicurezza informatica in tutta l’Unione Europea.
I rischi da scongiurare:
La tecnologia informatica, si sa, è in continuo sviluppo. Ciò che oggi è all’avanguardia, potrebbe rivelarsi già obsoleto tra un mese.
Per questo la commissione insiste affinché i produttori siano precisi e puntuali nell’aggiornare i sistemi dei propri prodotti.
Qualora l’hacker escogiti una nuova tecnologia per effettuare una cyber-offensiva, i prodotti già acquistati dai consumatori devono essere pronti a respingere tali attacchi, anche se tale attacco si fonda su tecnologie non conosciute quando il bene è stato prodotto.
La proposta del Cyber Resilience Act prevede che i prodotti con elementi digitali possano essere commercializzati solo ove soddisfino specifici requisiti essenziali di sicurezza informatica. Ai produttori verrà imposto di tenere conto della cybersicurezza nella progettazione e nello sviluppo dei prodotti con elementi digitali.
È altresì imposto ai produttori un obbligo di chiarezza su tutti gli aspetti relativi alla sicurezza informatica dei prodotti. Ulteriori doveri di informativa sono connaturati dal dovere per gli stessi di avvisare i consumatori di quelli che sono i cicli di vita dei prodotti, sul supporto di sicurezza, sull’obbligo di emettere costanti aggiornamenti per adeguarsi alle necessità tecnologiche.
La procedura prevista:
Tale proposta normativa prevede lo svolgersi di tre passaggi differenti per l’immissione nel mercato di un prodotto con elementi digitali:
- I produttori dovranno preliminarmente sottoporre i prodotti ad una valutazione di conformità: questo potrà avvenire attraverso un’autovalutazione o tramite una valutazione di terzi;
- Accertata la conformità del prodotto ai requisiti necessari, dovrà essere redatta una dichiarazione di conformità UE;
- A questo punto potrà essere apposta sul prodotto la marcatura CE, indicante la conformità dello stesso agli standard normativi e di sicurezza europei.
Tale marchio, asserendo la conformità dei prodotti con elementi digitali al Cyber Resilience Act, farà sì che questi possano circolare liberamente nel mercato interno.
La proposta va ad inserirsi in quadro normativo piuttosto disarmonico, proponendosi di rappresentare il testo di riferimento per la materia.