HomeProcess AutomationSafety e CybersecurityCyber Resilience Act: multe fino a 15 milioni di euro a chi...

Cyber Resilience Act: multe fino a 15 milioni di euro a chi introduce sul mercato prodotti digitali non sicuri

La proposta di legge della Commissione europea stabilisce un nuovo quadro legislativo per l'Ue relativo all'ntroduzione di prodotti digitali sul mercato, che dovranno essere sicuri by design

Leggi la rivista ⇢

  • n.305 - Settembre 2022
  • n.304 - Luglio 2022
  • n.303 - Giugno 2022

Ti potrebbero interessare ⇢

Nicoletta Buora

Per cercare di arginare il fenomeno dilagante delle minacce informatiche e degli attacchi cyber sempre più massici, la Commissione Europea ha definito il nuovo Cyber Resilience Act, un regolamento che introduce requisiti obbligatori di cyber sicurezza per i prodotti che hanno componenti digitali, lungo tutto il loro ciclo di vita.

La proposta di legge prevede anche sanzioni per i produttori, che potranno arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente per un prodotto che non rispetti i requisiti essenziali di cybersecurity.

Prodotti digitali sicuri by design

“l’Unione Europea imporrà l’obbligo di commercializzazione solamente a quei prodotti tecnologici, software e hardware, connessi a un dispositivo o a una rete digitale, che siano digitalmente sicuri”, commenta Andrea Marchi, Information Security Officer di Rödl & Partner.

“E con sicuri si intende che siano progettati e realizzati in modo che abbiano un livello di sicurezza appropriato ai rischi cyber, senza vulnerabilità note al momento della vendita, protetti da connessioni illecite, che tutelino i dati raccolti nonché che prevedano l'eliminazione di vulnerabilità future attraverso aggiornamenti del software da parte del produttore”.

Le sanzioni per i produttori

Il nuovo regolamento europeo coinvolge direttamente i produttori.Per essere considerato affidabile, un produttore deve rendere disponibili la lista dei componenti software dei suoi prodotti, nonché qualora ci sia l’evidenza di nuove vulnerabilità rendere disponibili velocemente patch gratuite e testare regolarmente i prodotti commercializzati che siano ancora sicuri”, sottolinea Marchi.

Queste norme di certificazione, inoltre, valgono anche per distributori e importatori che non possono commercializzare prodotti che non siano a norma e sono obbligati ad agire, anche ritirando dal mercato, il prodotto che non dovesse più rispettare le nuove normative.

Ogni Stato membro dell’UE dovrà affidare a un’authority nazionale il rispetto del regolamento, mentre i produttori dovranno comunicare le eventuali vulnerabilità riscontrate nei prodotti all’Agenzia Enisa (l’Agenzia europea per la cybersicurezza) che a sua volta li comunicherà al Csirt (Computer Security Incident Response Team) secondo la Direttiva NIS2.

“Per chi non dovesse rispettare le norme imposte dal regolamento, le sanzioni potranno arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell’anno fiscale precedente per un prodotto che non rispetti i requisiti essenziali di cyber security, per gli altri obblighi, invece, fino 10 milioni o al 2% del fatturato, mentre potranno arrivare fino a 5 milioni o 1% del fatturato per la comunicazione di informazioni non corrette, insufficienti o fraudolente agli organismi di controllo o vigilanza”, precisa   l’esperto di Rödl & Partner.

Cyber Resilience Act: multe fino a 15 milioni di euro a chi introduce sul mercato prodotti digitali non sicuri - Ultima modifica: 2022-09-29T09:18:26+02:00 da Nicoletta Buora