• Sicurezza informatica più solida per tutti i prodotti con elementi digitali
• Copre prodotti di uso quotidiano come campanelli connessi, baby monitor e router Wi-Fi
• Gli aggiornamenti di sicurezza devono essere applicati automaticamente quando tecnicamente fattibile

Martedì, il Parlamento ha approvato nuovi standard di resilienza informatica per proteggere tutti i prodotti digitali nell’UE dalle minacce informatiche.

Il regolamento, già concordato con il Consiglio nel dicembre 2023, mira a garantire che i prodotti con caratteristiche digitali siano sicuri da usare, resilienti alle minacce informatiche e forniscano informazioni sufficienti sulle loro proprietà di sicurezza.

I prodotti importanti e critici saranno inseriti in elenchi diversi in base alla loro criticità e al livello di rischio per la sicurezza informatica che rappresentano. Le due liste saranno proposte e aggiornate dalla Commissione europea. I prodotti ritenuti più rischiosi per la sicurezza informatica saranno esaminati in modo più rigoroso da un organismo notificato, mentre altri potrebbero essere sottoposti a un processo di valutazione della conformità più leggero, spesso gestito internamente dai produttori.

Durante i negoziati, i deputati si sono assicurati che prodotti come i software per i sistemi di gestione delle identità, i gestori di password, i lettori biometrici, gli assistenti domestici intelligenti e le telecamere di sicurezza private siano coperti dalle nuove norme. Gli aggiornamenti della sicurezza devono inoltre essere installati automaticamente e separatamente dagli aggiornamenti delle funzionalità dei prodotti.

I deputati hanno anche spinto affinché l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) sia coinvolta più da vicino quando vengono rilevate vulnerabilità e si verificano incidenti. L’agenzia sarà informata dallo Stato membro interessato e riceverà informazioni in modo da poter valutare la situazione e, se individua un rischio sistemico, informerà gli altri Stati membri in modo che siano in grado di adottare le misure necessarie.

Per sottolineare l’importanza delle competenze professionali nel campo della sicurezza informatica, i deputati hanno anche introdotto nel regolamento programmi di istruzione e formazione, iniziative di collaborazione e strategie per migliorare la mobilità della forza lavoro.

Citare

L’eurodeputato Nicola Danti (Renew, IT) ha dichiarato: “Il Cyber Resilience Act rafforzerà la cibersicurezza dei prodotti connessi, affrontando le vulnerabilità sia nell’hardware che nel software, rendendo l’UE un continente più sicuro e resiliente. Il Parlamento ha protetto le catene di approvvigionamento, garantendo che i prodotti chiave, come i router e gli antivirus, siano una priorità per la sicurezza informatica. Abbiamo assicurato il supporto alle micro e piccole imprese, un migliore coinvolgimento delle parti interessate e affrontato le preoccupazioni della comunità open source, pur rimanendo ambiziosi. Solo insieme saremo in grado di affrontare con successo l’emergenza cybersecurity che ci attende nei prossimi anni”.

Passaggi successivi

La legge è stata approvata con 517 voti a favore, 12 contrari e 78 astensioni. Ora dovrà essere formalmente adottato anche dal Consiglio, per diventare legge.

Sfondo

Le nuove tecnologie comportano nuovi rischi e l’impatto degli attacchi informatici attraverso i prodotti digitali è aumentato drasticamente negli ultimi anni. I consumatori sono caduti vittime di falle di sicurezza legate a prodotti digitali come baby monitor, robot aspirapolvere, router Wi-Fi e sistemi di allarme. Per le aziende, l’importanza di garantire che i prodotti digitali nella catena di approvvigionamento siano sicuri è diventata fondamentale, considerando che tre fornitori su cinque hanno già perso denaro a causa di lacune nella sicurezza dei prodotti.