Panorama Assicurativo Ania

🇪🇺 Cyber risk, Resilienza

“CYBER RESILIENCE ACT”, PROPOSTA DI REGOLAMENTO DELLA COMMISSIONE PER AUMENTARE LA SICUREZZA INFORMATICA

“PROPOSAL FOR A REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020” (+ ANNEXES) (Text with EEA relevance) - COM(2022) 454 final 2022/0272 (COD) – Brussels, 15.09.2022

EUROPEAN COMMISSION
https://ec.europa.eu/

EUROPEAN COMMISSION – Link al TESTO NORMATIVO

EUROPEAN COMMISSION – “Cyber Resilience Act”, WEBPAGE DI PRESENTAZIONE (e documenti correlati)

 

Il 15 settembre scorso, la Commissione Europea ha presentato il “Cyber ​​Resilience Act”, una proposta di Regolamento in materia di requisiti di cybersecurity per i prodotti digitali, il cui scopo è quello di rafforzare la regolamentazione al fine di permettere l’offerta di prodotti hardware e software più sicuri(1). 

La Commissione sottolinea che si tratta di un passo necessario, posto che i prodotti hardware/software sono sempre più soggetti ad attacchi informatici portati a termine con successo: la stima dell’onere globale annuo della criminalità informatica è di 5,5 migliaia di miliardi di euro alla fine del 2021.

A tali prodotti, infatti, sono attualmente legate due principali criticità:

  • un basso livello di sicurezza informatica (che si traduce in vulnerabilità diffuse), unito alla fornitura insufficiente e incoerente di aggiornamenti di sicurezza per affrontare il problema;
  • scarsa comprensione e ridotto accesso alle informazioni da parte degli utenti, che impedisce la scelta di prodotti con adeguate caratteristiche di cybersecurity (e il loro corretto/sicuro utilizzo).

La maggior parte dei prodotti hardware/software non viene attualmente coperta da alcuna legislazione UE sul piano della sicurezza informatica. In particolare – specifica la Commissione – l'attuale quadro giuridico non affronta il nodo della cybersecurity del software non incorporato (non-embedded), anche se gli attacchi stanno diventando sempre più mirati alle vulnerabilità di questi prodotti, causando notevoli costi sociali ed economici.

La Commissione ha pertanto fissato i seguenti obiettivi, volti a garantire il corretto funzionamento del mercato interno dei prodotti digitali:

  • creare le condizioni per lo sviluppo di prodotti hardware/software sicuri: garantire che siano immessi sul mercato con meno vulnerabilità e che i produttori considerino seriamente il fattore “sicurezza”, sia nella fase di progettazione/produzione sia durante tutto il ciclo di vita del prodotto;
  • creare condizioni che consentano agli utenti di tenere conto della sicurezza informatica nella scelta e nell'utilizzo di prodotti digitali;
  • garantire un quadro coerente di sicurezza informatica e di  compliance per i produttori di hardware/software;
  • migliorare la trasparenza sulla sicurezza dei prodotti digitali.

_______________________________

(1) Su una precedente proposta di testo, la Commissione ha effettuato una pubblica consultazione nei mesi scorsi. 
Si veda, in proposito:
“Sicurezza informatica: la Commissione europea presenta il Cyber Resilience Act”,
in Panorama Assicurativo n. 222, aprile 2022 (Sezione “UNIONE EUROPEA”)
https://www.panoramassicurativo.ania.it/newsletter/82254/articolo/82784