L’UE prova a contrastare la criminalità informatica varando nuove norme sulla cybersicurezza in modo da ridurre la vulnerabilità dei prodotti digitali, sia hardware, sia software.
L’iniziativa è stata presa dalla Commissione europea, che ha presentato ieri una proposta relativa ad una nuova legge sulla cyberresilienza per proteggere i consumatori e le imprese da prodotti con caratteristiche di sicurezza inadeguate. La nuova legge sarà la prima di questo tipo a livello Ue e garantirà ai consumatori dei Paesi membri una maggiore sicurezza dei prodotti digitali come software e prodotti con e senza fili; inoltre aumenterà la responsabilità dei fabbricanti, obbligandoli a fornire assistenza in materia di sicurezza e aggiornamenti del software per affrontare le vulnerabilità individuate, e consentirà ai consumatori di disporre di informazioni sufficienti sulla cybersicurezza dei prodotti che acquistano e utilizzano.
Le misure proposte oggi stabiliranno:
a) norme per l'immissione sul mercato di prodotti con elementi digitali al fine di garantirne la cybersicurezza;
b) requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti;
c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza dei prodotti con elementi digitali durante l'intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I fabbricanti dovranno inoltre segnalare le vulnerabilità attivamente sfruttate e gli incidenti;
d) norme in materia di vigilanza del mercato e applicazione.
Con le nuove regole la responsabilità spetterà ai fabbricanti, che dovranno garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell'UE.
Il regolamento proposto si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o alla rete. Sono previste alcune eccezioni per prodotti i cui requisiti di cybersicurezza sono già stabiliti nelle norme dell'UE vigenti, riguardanti ad esempio i dispositivi medici, l'aviazione o le automobili.
Il Parlamento europeo e il Consiglio dovranno ora esaminare il progetto di legge sulla cyberresilienza. Dopo l'adozione dei nuovi requisiti gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarsi alle norme.