Nel 2030 si stima che gli oggetti connessi saranno in tutto il mondo oltre 29 miliardi (fonte: Statista). Inevitabilmente, questi dovranno essere il più sicuri possibile, per non diventare bersaglio dell’azione del cyber crime. La Commissione Europea, attraverso il Cyber Resilience Act, mira a proteggere i cittadini europei dalle minacce informatiche .
Presentato nel settembre del 2022, la nuova proposta di regolamento è pronta a diventare realtà definendo nuovi e più alti standard di sicurezza informatica dei dispositivi IoT immessi nel mercato europeo e dei servizi ad essi correlati e stabilendo obblighi più rigorosi per i loro produttori.

Cyber Resilience Act: da dove nasce?

L’esigenza di un intervento legislativo sulla sicurezza dei dispositivi IoT nasce dalla constatazione della crescita del mercato. L’interconnessione tra sempre più dispositivi IoT aumenterà il flusso dei dati scambiati, che vengono trattati anche da organizzazioni diverse da quelle operative all’interno dell’Unione Europea. Tra le conseguenze di questo assetto c’è anche l’incremento dei costi per contrastare il crimine informatico.

Con il provvedimento, la Commissione Europea si è posta quattro obiettivi:

• creare un quadro comune europeo per la governance della cybersecurity;
• garantire che i produttori, a partire dalla progettazione e lungo l’intero ciclo di vita, lavorino per migliorare la protezione di dispositivi e servizi ;
• aumentare la trasparenza delle pratiche di cybersecurity e delle proprietà tecniche di prodotti e servizi;
• fornire prodotti sicuri a consumatori e aziende sin dal primo utilizzo.

Il Cyber Resilience Act prevede quindi che i produttori gestiscano il tema della sicurezza delle informazioni e delle vulnerabilità tecniche dei dispositivi applicando ai processi produttivi il principio di “privacy-by-design”.

Lo stesso provvedimento definisce i prodotti con elementi digitali, riferendoli a qualunque tipologia di prodotto software o hardware e alle relative soluzioni per l’elaborazione remota dei dati, compresi gli elementi correlati a tali prodotti (anche se vengono immessi sul mercato separatamente). La definizione è generica e viene specificata dagli allegati al testo di legge. Va precisato che il Cyber Resilience Act coinvolge anche gli importatori di prodotti digitali, obbligandoli a diffondere sul mercato elementi che soddisfino i requisiti essenziali per scongiurare i rischi di vulnerabilità.

Cosa sono tenuti a fare i produttori

I produttori sono tenuti a verificare e a dichiarare che i prodotti con elementi digitali dispongano di un marchio di conformità UE (previsto all’art. 20 del Cyber Resilience Act); per i distributori, invece, sussiste soltanto l’onere di mettere sul mercato esclusivamente i prodotti che risultino conformi alla normativa.

Il provvedimento estende questi obblighi anche alle modifiche sostanziali che intervengono nel tempo (aggiornamenti, riparazioni del software, manutenzione fisica), stabilendo di valutare se queste modifiche influiscano sulla conformità del prodotto alle norme.