(BorsaeFinanza.it) Vai al contenuto
Cerca
Cerca
Close this search box.
Proteggere i cittadini europei dalle minacce informatiche: è l’obiettivo del Cyber Resilience Act, il regolamento sulla ciberresilienza dell’Unione europea proposto dalla Commissione nel settembre del 2022 e pronto a diventare realtà. La legge introdurrà requisiti minimi di sicurezza per tutti i prodotti digitali (sia software che hardware) che finiranno sul mercato europeo. Secondo un’indagine condotta da Affinion, infatti, la preoccupazione per il cybercrime è in forte aumento: in Europa il 73% degli utenti ha paura del crimine informatico, dai furti d’identità alle transazioni fraudolente bancarie.
Cyber Resilience Act: cos’è il regolamento europeo
Il CRA impone obblighi di sicurezza informatica per tutti i prodotti hardware e software prima della loro immissione sul mercato. La normativa riguarda ogni dispositivo connesso, che sia collegato direttamente o indirettamente a un altro device o a una rete. Per dispositivi interconnessi si intendono modem e router, televisori e frigoriferi, fotocamere domestiche e monitor, smart watch, giochi per computer e giocattoli, firewall e così via. Sono previste eccezioni per le automobili, i prodotti aeronautici e i dispositivi medici.
La proposta legislativa richiede requisiti di cybersecurity per la progettazione, lo sviluppo, la produzione e la vendita sul mercato. Il proposito dell’Unione è ridurre l’insicurezza digitale, limitare la circolazione di prodotti fabbricati in Cina o in Paesi dal sistema giuridico simile, garantire che le informazioni personali memorizzate sui dispositivi digitali siano protette e tutelate, al riparo da minacce informatiche. Non solo computer, tablet e smartphone dei consumatori, ma anche le piattaforme logistiche di istituzioni, enti e imprese e in generale l’intero traffico di dati digitali.
I prodotti con marcatura CE dovranno essere sicuri lungo l’intera catena di approvvigionamento e per tutto il loro ciclo di vita. Questa garanzia si otterrà rispettando una serie di requisiti base di cybersecurity con l’assunzione di responsabilità in materia di conformità da parte dei fabbricanti:
- il controllo della sicurezza informatica delle catene di approvvigionamento;
- la disponibilità costante di aggiornamenti di sicurezza;
- la condivisione delle vulnerabilità con le autorità di cybersecurity come l’ENISA, l’agenzia che contribuisce alla politica informatica dell’Unione.
I settori particolarmente interessati dal regolamento sulla ciberresilienza sono la finanza, l’energia, i trasporti e l’aerospaziale. Produttori, importatori e distributori saranno chiamati a valutare i rischi legati alla sicurezza informatica dei loro prodotti, fornire dichiarazioni trasparenti e adottare tutte le misure appropriate per risolvere qualsiasi tipo di problema che si manifesta durante il periodo di vita del prodotto o per almeno cinque anni.
È particolarmente significativa l’importanza che il legislatore assegna all’accelerazione della condivisione di segnalazioni su rischi e attacchi. I produttori, infatti, saranno tenuti ad avvertire le autorità dei problemi riscontrati nei loro sistemi hardware e software entro 24 ore dall’evento avverso. In aggiunta, si dovranno fornire report più approfonditi entro 72 ore, sia alle autorità nazionali (in Italia l’ACN, l’agenzia per la cybersicurezza nazionale istituita nel 2021) che all’ENISA.
Quando entra in vigore il Cyber Resilience Act
La presidenza del Consiglio e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta legislativa il 30 novembre scorso. In seguito all’accordo provvisorio, verranno messi a punto i dettagli del regolamento. Una volta conclusi i lavori, il testo di compromesso verrà sottoposto dalla presidenza spagnola del Consiglio (in carica fino al 31 dicembre 2023, poi passerà a Belgio e Ungheria nel 2024) ai rappresentanti degli Stati membri (il Coreper) per l’approvazione.
Soltanto allora il testo potrà essere approvato formalmente dalla plenaria del Parlamento e dai governi nazionali presso il Consiglio. Venti giorni dopo la sua adozione da parte del Parlamento e del Consiglio, il CRA entrerà in vigore chiamando in causa i produttori di hardware e software. Industria e governi avranno tre anni per adattarsi alla normativa. Con la tempistica prevista, il regolam
© Borsa e Finanza
