Dopo quelle di EFF (Electronic Frontier Foundation) e numerose aziende che operano nel settore della sicurezza informatica arrivano anche le critiche di DigitalEurope e sei CEO europei. Con una lettera indirizzata a Commissione, Consiglio e Parlamento europeo vengono evidenziati i possibili rischi per la catena di approvvigionamento, se verrà approvato il Cyber Resilience Act.
Ritardi nella commercializzazione dei prodotti
Il Cyber Resilience Act prevede il rispetto di una serie di regole per garantire la sicurezza dei prodotti (hardware e software) durante l’interno ciclo di vita. La discussione della proposta di legge della Commissione europea è ancora nelle fasi iniziali, ma già sono state evidenziate numerose criticità (in base al testo attuale).
DigitalEurope, associazione che rappresenta oltre 45.000 aziende europee attive nella trasformazione digitale, ha ravvisato possibili rischi per la catena di approvvigionamento dei prodotti, come avvenuto durante la pandemia COVID-19. Nella lettera, firmata anche dai CEO di Siemens, Bosch, Ericsson, Schneider Electric, Nokia e ESET, viene evidenziato che il Cyber Resilience Act rallenterà l’arrivo sul mercato di milioni di prodotti.
I firmatari avvertono i legislatori che i prodotti sicuri non potranno essere commercializzati perché non sarà possibile ottenere le certificazioni di conformità in breve tempo. Le aziende propongono quindi tre modifiche al testo attuale: consentire l’uso di autovalutazioni, garantire un periodo di attuazione di almeno 48 mesi per lo sviluppo di standard e ridurre il numero di prodotti considerati ad alto rischio.
Un’altra criticità riguarda il reporting delle vulnerabilità. In base al testo attuale devono essere segnalate entro 24 ore dalla scoperta. I firmatari consigliano di modificare l’articolo in questione, indicando che le segnalazioni devono essere effettuate nel minor tempo possibile e solo per le vulnerabilità che rappresentano un rischio significativo e che sono attivamente sfruttate (exploit).