Cyber Resilience Act: un passo importante verso la tutela della sicurezza informatica
Il Cyber Resilience Act è una proposta di legge in ambito UE che promuove e tutela la sicurezza informatica dei dispositivi connessi. Questi ultimi, com’è noto, sono a rischio crescente di attacchi, violazione della privacy o furto di dati.
Presentata per la prima volta un anno fa, la proposta di legge è stata ufficializzata intorno alla metà del mese scorso.
Il contenuto della proposta di legge
Il Cyber Resilience Act rappresenta una strategia nuova per la cyber sicurezza. E’ la prima volta, infatti, che vengono introdotte norme comuni sulla cyber sicurezza per produttori e sviluppatori di hardware e software.
I principali obiettivi del nuovo regolamento sono:
- Assicurare che i prodotti vengano immessi sul mercato con il minor numero di vulnerabilità possibile. Il CRA, infatti, esplicita requisiti ben precisi per l’immissione sul mercato di prodotti con elementi digitali.
- Consentire ai consumatori di valutare le caratteristiche di sicurezza informatica dei prodotti digitali grazie a requisiti imposti per lo sviluppo e la produzione dei dispositivi con elementi digitali e obblighi per gli operatori economici in relazione a tali dispositivi.
La proposta di legge pone poi l’accento anche sugli obblighi informativi dei produttori nei confronti degli utenti: i produttori devono assicurare che i prodotti siano sempre accompagnati dalle informazioni sul produttore, sulle caratteristiche tecniche dei prodotti, sugli specifici rischi di cyber sicurezza legati ai prodotti e sull’assistenza tecnica offerta.
I produttori, inoltre, devono comunicare eventuali vulnerabilità riscontrate ad ENISA (l’Agenzia europea per la cybersicurezza), la quale, a sua volta, le comunica poi agli CSIRT (Computer Security Incident Response Team).
Il Cyber Resilience Act individua alcune categorie di prodotti, indicati come critical products, dalle vulnerabilità dei quali deriva un rischio piuttosto elevato. Questi prodotti sono soggetti a requisiti più severi.
Analizzato il contenuto del Cyber Resilience Act, vediamo quali saranno gli step successivi nel processo di approvazione
Il processo di approvazione del Cyber Resilience Act
La proposta di legge ha superato le fasi di consultazione pubblica ed ora aspetta il via libera definitivo della Commissione e del Parlamento europei. Senza particolari intoppi, la norma dovrebbe entrare in vigore in Europa e in Italia nel giro di qualche mese.
Tutti i soggetti interessati dal regolamento avranno 2 anni di tempo per adeguarsi e, In caso di inottemperanza, sono previste sanzioni pecuniarie fino 15 milioni di euro.