Il Parlamento europeo ha approvato il testo definitivo del Cyber Resilience Act, una serie di normative che mirano ad aumentare la sicurezza di tutti i prodotti con elementi digitali.
L'obiettivo è proteggere consumatori e aziende dalle nuove minacce informatiche e dalle vulnerabilità- La normativa si applica a tutti i prodotti, sia hardware che software, che integrano componenti connessi ad altri dispositivi o reti.
Il Cyber Resilience Act introduce specifici requisiti per i produttori e i distributori sia in merito ai prodotti che ai processi di gestione della conformità. La normativa si focalizza soprattutto sulla gestione della vulnerabilità e degli aggiornamenti durante tutto il ciclo di vita dei prodotti.
Ai produttori si richiede si seguire un processo di produzione che tenga conto delle best practice di sicurezza, come le configurazioni sicure, il security by design e gestione e cancellazione sicura dei dati. La normativa prevede inoltre che i prodotti non presentino vulnerabilità note al momento dell'immissione sul mercato e che vengano forniti strumenti per l'aggiornamento automatico del software.
"Il Cyber Resilience Act rafforzerà la sicurezza informatica dei prodotti connessi affrontando le vulnerabilità sia dell’hardware che del software, rendendo l’UE un continente più sicuro e resiliente" ha commentato Nicola Danti, eurodeputato e vice-presidente del gruppo Renew Europe.
I prodotti verranno divisi in diverse categorie in base alla loro criticità e al livello di rischio di cybersicurezza che comportano. Tutti i prodotti verranno sottoposti a un processo di approvazione di conformità più o meno severo in base al rischio che comportano.
Tra i prodotti più critici ci sono i sistemi per la gestione d'identità, i password manager, i reader biometrici, gli assistenti per le smart home e le videocamere di sicurezza privata.
Il Parlamento richiede inoltre che l'ENISA (European Union Agency for Cybersecurity) venga coinvolta maggiormente quando vengono scoperte nuove vulnerabilità o quando accadono incidenti di sicurezza. I diversi Stati hanno la responsabilità di notificare l'Agenzia, la quale valuterà gli impatti e condividerà gli step da seguire per contenere le conseguenze dell'incidente.
"Il Parlamento ha protetto le supply chain garantendo che prodotti chiave come router e antivirus costituiscano una priorità per la cybersecurity. Abbiamo garantito sostegno alle micro e piccole imprese, un migliore coinvolgimento delle parti interessate e affrontato le preoccupazioni della comunità open source, pur rimanendo ambiziosi. Solo insieme potremo affrontare con successo l’emergenza cybersecurity che ci aspetta nei prossimi anni" ha aggiunto Danti.
Ora il passo successivo sarà l'approvazione formale da parte del Consiglio Europeo.