Dalla commissione Industria del Parlamento europeo è arrivato il primo sì al Cyber Resilience Act, un provvedimento che mira a garantire la sicurezza informatica dei prodotti digitali, come router di connessione Wi-Fi, cellulari, citofoni smart e baby monitor.
Le norme in discussione – approvate in prima lettura dalla commissione parlamentare con 61 voti favorevoli, 1 contrario e 10 astensioni – stabiliranno una serie uniforme di requisiti di sicurezza informatica per tutti i prodotti digitali nell’Unione europea. Gli eurodeputati hanno proposto definizioni piu’ precise, tempi di applicazione e una “più equa distribuzione delle responsabilità'”. Il testo approvato inserisce i prodotti in elenchi diversi in base alla loro criticità e al livello di rischio per la sicurezza informatica che rappresentano.
I deputati hanno inoltre chiesto di ampliare questo elenco a prodotti come software per sistemi di gestione delle identità, gestori di password, lettori biometrici, assistenti domestici intelligenti, smartwatch e telecamere di sicurezza private. I prodotti dovrebbero anche avere aggiornamenti di sicurezza installati automaticamente e separatamente da quelli funzionali, si stabilisce nel testo approvato.
“Con l’interconnessione sempre crescente, la sicurezza informatica deve diventare una priorità sia per l’industria che per i consumatori”, ha dichiarato il relatore, Nicola Danti di Renew Europe. “Grazie al Cyber Resilience Act, i prodotti hardware e software saranno più sicuri dal punto di vista informatico, le vulnerabilità verranno corrette e le minacce informatiche per i nostri cittadini saranno ridotte al minimo”, ha aggiunto.
Cyber Resilience Act: gli obiettivi
Il progetto di regolamento introduce requisiti obbligatori di sicurezza informatica per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare sovrapposizioni di requisiti derivanti da diverse normative negli Stati membri dell’UE.
Il regolamento proposto si applicherà a tutti i prodotti che sono collegati direttamente o indirettamente a un altro dispositivo o a una rete. Esistono alcune eccezioni per i prodotti, per i quali i requisiti di sicurezza informatica sono già previsti dalle norme dell’UE esistenti, ad esempio per i dispositivi medici, l’aviazione o le auto.
La proposta mira a colmare le lacune, a chiarire i collegamenti e a rendere la legislazione esistente in materia di sicurezza informatica più coerente garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell”IoT diventino sicuri lungo tutta la catena di approvvigionamento e durante l’intero ciclo di vita.
Infine, il regolamento proposto consente anche ai consumatori di tenere in considerazione la sicurezza informatica nella selezione e nell’uso di prodotti che contengono elementi digitali fornendo agli utenti l’opportunità di fare scelte informate di prodotti hardware e software con le adeguate funzionalità di sicurezza informatica.
“Celebriamo l’accordo raggiunto oggi nel Consiglio”, ha commentato Carme Artigas Brugal, Segretario di Stato per la digitalizzazione e l’intelligenza artificiale. “Un accordo che fa avanzare l’impegno dell’UE verso un mercato unico digitale sicuro. IoT e altri oggetti connessi devono essere accompagnati da un livello di base di sicurezza informatica quando vengono venduti nell’UE, garantendo che le imprese e i consumatori siano efficacemente protetti dalle minacce informatiche”, ha concluso.
Il provvedimento dovrà essere confermato alla sessione plenaria di settembre per poter procedere ai negoziati con il Consiglio Ue.