Il Cyber Resilience Act riguarda la sicurezza informatica dei prodotti digitali e connessi e la sua entrata in vigore in Italia potrebbe avvenire nel giro di qualche mese. Per le aziende che non rispetteranno il regolamento sono previste sanzioni fino al 2,5% del fatturato annuo.

Cyber Resilience Act, più sicurezza informatica in rete

È in arrivo il Cyber Resilience Act, una proposta di legge Ue che affronta il tema della sicurezza informatica dei prodotti che contengono componenti digitali e che possono essere connessi a un dispositivo o ad una rete digitale.

I principali obiettivi del nuovo regolamento sono:

• da un lato, assicurare che i prodotti vengano immessi sul mercato con il minor numero di vulnerabilità possibile;

• dall’altro, consentire ai consumatori di valutare le caratteristiche di sicurezza informatica dei prodotti digitali.

Cosa prevede il Cyber Resilience Act

Il Cyber Resilience Act si applica a tutti i prodotti con componenti digitali il cui utilizzo “previsto o ragionevolmente prevedibile comprende il collegamento diretto o indiretto a un dispositivo o a una rete”. Di conseguenza, sono compresi tutti quei prodotti che, per il solo fatto di essere connessi a una rete o a un dispositivo, possono diventarne un punto di vulnerabilità e quindi di attacco.

Viceversa, sono esclusi dagli effetti del regolamento i prodotti per i quali è già in essere una normativa verticale considerata adeguata, i prodotti ad uso esclusivamente militare e i servizi in senso stretto (salvo quando rappresentano un componente essenziale di elaborazione remota di un prodotto coperto dal regolamento).

Nel concreto, il Cyber Resilience Act prevede:

• che gli aggiornamenti siano disponibili per almeno cinque anni, o che il prodotto venga ritirato prima di questo termine;
• che gli aggiornamenti siano disponibili e prevedano meccanismi sicuri di installazione automatica;
• di informare l’utente sui rischi cyber legati all’utilizzo del prodotto;
• regole più stringenti per i “critical products”.

Tempi e modalità di attuazione del regolamento

La proposta di legge ha già superato le fasi di consultazione pubblica ed ora aspetta il via libera definitivo della Commissione e del Parlamento europei. In linea di massima, la norma entrerà in vigore in Europa e in Italia nel giro di qualche mese.

I soggetti interessati dal regolamento avranno 2 anni di tempo per adeguarsi, fatti salvi i requisiti di notifica delle vulnerabilità che diventeranno efficaci dopo 12 mesi.

In caso di inottemperanza, sono previste sanzioni pecuniarie fino 15 milioni di euro e al 2,5% del fatturato annuo per le violazioni più gravi.