Stato dell’Unione – Nuove norme dell’UE per una maggiore sicurezza dei prodotti hardware e software

La Commissione ha presentato oggi una proposta relativa ad una nuova legge sulla ciberresilienza per proteggere i consumatori e le imprese da prodotti con caratteristiche di sicurezza inadeguate. Si tratta della prima legislazione di questo tipo a livello dell’UE, che introduce requisiti obbligatori in materia di cibersicurezza per i prodotti con elementi digitali, durante l’intero ciclo di vita.

La legge, annunciata dalla presidente Ursula von der Leyen nel settembre 2021 durante il suo discorso sullo stato dell’Unione, si basa sulla strategia dell’UE per la cibersicurezza del 2020 e sulla strategia dell’UE per l’Unione della sicurezza del 2020 e garantirà ai consumatori in tutta l’UE una maggiore sicurezza dei prodotti digitali come software e prodotti con e senza fili: oltre ad aumentare la responsabilità dei fabbricanti obbligandoli a fornire assistenza in materia di sicurezza e aggiornamenti del software per affrontare le vulnerabilità individuate, consentirà ai consumatori di disporre di informazioni sufficienti sulla cibersicurezza dei prodotti che acquistano e utilizzano.

Margrethe Vestager, Vicepresidente esecutiva per Un’Europa pronta per l’era digitale, ha dichiarato: “Meritiamo di sentirci al sicuro con i prodotti che acquistiamo nel mercato unico. Così come la marcatura CE ci garantisce la sicurezza di un giocattolo o di un frigorifero, la legge sulla ciberresilienza garantirà che gli oggetti connessi e i software che acquistiamo rispettino misure rigorose in materia di cibersicurezza. Con la nuova legge la responsabilità spetterà a chi immette i prodotti sul mercato.”

Margaritis Schinas, Vicepresidente per la Promozione dello stile di vita europeo, ha affermato: “La legge sulla ciberresilienza è la nostra risposta alle moderne minacce alla sicurezza, ora onnipresenti in tutta la società digitale. L’UE ha svolto un ruolo pionieristico creando un ecosistema della cibersicurezza con norme sulle infrastrutture critiche, la preparazione e la risposta in materia di cibersicurezza e la certificazione dei prodotti per la cibersicurezza. Oggi stiamo completando questo ecosistema con una legge che porta sicurezza in tutte le nostre case, in tutte le nostre imprese e in tutti i prodotti interconnessi. La cibersicurezza è una questione sociale e non più industriale.”

Thierry Breton, Commissario per il Mercato interno, ha dichiarato: “Per quanto riguarda la cibersicurezza, la forza dell’Europa è solo pari a quella del suo anello più debole: sia esso uno Stato membro vulnerabile o un prodotto non sicuro nella catena di approvvigionamento. Computer, telefoni, elettrodomestici, dispositivi di assistenza virtuale, automobili, giocattoli… ciascuno di questi prodotti connessi, che sono centinaia di milioni, è un potenziale punto di accesso per gli attacchi informatici. Eppure, ancora oggi la maggior parte dei prodotti hardware e software non è soggetta ad alcun obbligo in materia di cibersicurezza. Introducendo la cibersicurezza fin dalla progettazione, la legge sulla ciberresilienza contribuirà a proteggere l’economia europea e la nostra sicurezza collettiva.“

Con attacchi ransomware che colpiscono un’organizzazione ogni 11 secondi in tutto il mondo e un costo annuo globale della criminalità informatica stimato a 5,5 miliardi di EUR nel 2021 (relazione del Centro comune di ricerca (2020): “Cybersecurity – Our Digital Anchor, a European perspective”), è più importante che mai garantire un elevato livello di cibersicurezza e ridurre le vulnerabilità nei prodotti digitali, uno dei principali motivi del successo di tali attacchi. Con la maggiore diffusione dei prodotti intelligenti e connessi, un incidente di cibersicurezza in un prodotto può avere un impatto sull’intera catena di approvvigionamento, con possibili gravi perturbazioni delle attività economiche e sociali nel mercato interno, può compromettere la sicurezza o addirittura avere conseguenze potenzialmente letali.

Le misure proposte oggi si basano sul nuovo quadro legislativo per la legislazione dell’UE sui prodotti e stabiliranno:

a) norme per l’immissione sul mercato di prodotti con elementi digitali al fine di garantirne la cibersicurezza;

b) requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti;

c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I fabbricanti dovranno inoltre segnalare le vulnerabilità attivamente sfruttate e gli incidenti;

d) norme in materia di vigilanza del mercato e applicazione.

Con le nuove norme la responsabilità spetterà ai fabbricanti, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’UE. Ne trarranno beneficio i consumatori e i cittadini, come pure le imprese che utilizzano prodotti digitali, grazie ad una maggiore trasparenza delle caratteristiche di sicurezza e alla promozione della fiducia nei prodotti con elementi digitali; sarà inoltre garantita una migliore protezione di diritti fondamentali quali la privacy e la protezione dei dati.

Mentre altre giurisdizioni di tutto il mondo cercano di affrontare tali questioni, la legge sulla ciberresilienza diventerà probabilmente un punto di riferimento internazionale, non solo per il mercato interno dell’UE. Le norme dell’UE basate sulla legge sulla ciberresilienza ne agevoleranno l’attuazione e costituiranno un punto di forza per l’industria della cibersicurezza dell’UE sui mercati globali.

Il regolamento proposto si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o alla rete. Sono previste alcune eccezioni per prodotti i cui requisiti di cibersicurezza sono già stabiliti nelle norme dell’UE vigenti, riguardanti ad esempio i dispositivi medici, l’aviazione o le automobili.

Prossime tappe

Il Parlamento europeo e il Consiglio dovranno esaminare il progetto di legge sulla ciberresilienza. Dopo l’adozione dei nuovi requisiti gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarvisi. Costituisce un’eccezione l’obbligo di comunicazione a carico dei fabbricanti per le vulnerabilità attivamente sfruttate e gli incidenti, che si applicherà già a decorrere da un anno dalla data di entrata in vigore, in quanto richiede adeguamenti organizzativi inferiori rispetto agli altri nuovi obblighi. La Commissione riesaminerà periodicamente la legge sulla ciberresilienza e riferirà in merito al suo funzionamento.

Contesto

La cibersicurezza è una delle principali priorità della Commissione nonché il fondamento di un’Europa digitale e connessa. L’aumento degli attacchi informatici durante la crisi del coronavirus ha dimostrato quanto sia importante proteggere gli ospedali, i centri di ricerca e altre infrastrutture. È necessaria un’azione incisiva in questo settore affinché l’economia e la società dell’UE siano pronte per il futuro. Si stima che i costi annuali delle violazioni dei dati ammontino ad almeno 10 miliardi di EUR e i costi annuali dei tentativi deliberati di perturbare il traffico su Internet ad almeno 65 miliardi di EUR (relazione sulla valutazione d’impatto che accompagna il regolamento delegato della Commissione che integra la direttiva sulle apparecchiature radio).

La strategia per la cibersicurezza presentata nel dicembre 2020 propone di integrare la cibersicurezza in tutti gli elementi della catena di approvvigionamento e di accorpare ulteriormente le attività e le risorse dell’UE nei quattro settori della cibersicurezza – mercato interno, attività di contrasto, diplomazia e difesa. Si basa sulla comunicazione Plasmare il futuro digitale dell’Europa e sulla strategia dell’UE per l’Unione della sicurezza, nonché su una serie di atti legislativi, iniziative e azioni che l’UE ha attuato per potenziare le capacità di cibersicurezza e garantire un’Europa più resiliente di fronte alle minacce informatiche.

La nuova legge sulla ciberresilienza integrerà il quadro dell’UE in materia di cibersicurezza: la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), la direttiva relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS 2), recentemente approvata dal Parlamento europeo e dal Consiglio, e il regolamento dell’UE sulla cibersicurezza.