Parlamento e Consiglio europeo hanno raggiunto un accordo provvisorio sul Cyber Resilience Act, la legge proposta dalla Commissione a settembre 2022 che prevede una serie di requisiti di sicurezza per i prodotti digitali a vantaggio di cittadini e aziende. Rispetto al testo originario sono state apportate alcune modifiche.
Più sicurezza per i prodotti
Il Cyber Resilience Act prervede che tutti i prodotti connessi ad Internet devono essere sicuri da usare e resilienti agli attacchi informatici. I produttori dovranno rispettare determinati requisiti durante l’intero ciclo di vita (progettazione, sviluppo, produzione e immissione sul mercato). I prodotti conformi al nuovo regolamento avranno la marcatura CE.
La caratteristiche relative alla sicurezza dovranno essere indicate chiaramente, in modo da consentire l’acquisto informato ai consumatori. Il Parlamento ha aggiunto all’elenco dei prodotti anche i sistemi di gestione dell’identità, password manager, lettori biometrici, assistenti per la smart home e videocamere di sicurezza private.
Il supporto deve avere una durata minima di 5 anni, durante i quali verranno rilasciati gli aggiornamenti di sicurezza (il Parlamento ha chiesto l’installazione automatica). Un aspetto molto importante (criticato da aziende, EFF e DigitalEurope) riguarda l’obbligo di segnalazione delle vulnerabilità. Le notifiche per quelle già sfruttate (exploit) dovranno essere inviate entro 24 ore alle autorità nazionali competenti e all’ENISA (European Union Agency for Cybersecurity).
Il Cyber Resilience Act dovrebbe essere approvato da Parlamento e Consiglio nel 2024. La legge entrerà in vigore il 20esimo giorno successivo alla pubblicazione sulla Gazzetta Ufficiale. I produttori avranno quindi 36 mesi di tempo per adeguarsi ai requisiti, ma per l’obbligo di segnalare le vulnerabilità i mesi si riducono a 21.