La Commissione accoglie con favore l’accordo politico raggiunto ieri notte tra il Parlamento europeo e il Consiglio sulla legge sulla ciberresilienza, proposta dalla Commissione nel settembre 2022.
La legge sulla ciberresilienza è la prima normativa di questo tipo al mondo. Migliorerà il livello di sicurezza informatica dei prodotti digitali a vantaggio dei consumatori e delle imprese di tutta l’UE, grazie all’introduzione di proporzionati requisiti obbligatori in materia di cibersicurezza per tutti i prodotti hardware e software, dai baby monitor, agli smart watch e ai giochi per computer, ai firewall e ai router. Ai prodotti cui sono associati diversi livelli di rischio si applicheranno requisiti di sicurezza diversi. Meno del 10 % dei prodotti sarà oggetto di valutazioni da parte di terzi.
Con il nuovo regolamento tutti i prodotti immessi sul mercato dell’UE dovranno essere sicuri dal punto di vista informatico. Si tratta di un passo fondamentale nella lotta contro la crescente minaccia rappresentata da criminali informatici e soggetti malevoli.
Una volta adottata la legge sulla ciberresilienza i fabbricanti di hardware e software dovranno attuare misure di cibersicurezza durante l’intero ciclo di vita del prodotto, dalla progettazione allo sviluppo, come pure dopo la sua immissione sul mercato. I prodotti software e hardware dovranno recare la marcatura CE, che indica la loro conformità ai requisiti del regolamento, per poter essere venduti nell’UE.
La legge introdurrà inoltre l’obbligo, per i fabbricanti, di fornire tempestivamente ai consumatori aggiornamenti di sicurezza per diversi anni dopo l’acquisto. Tale periodo deve riflettere quello di utilizzo previsto dei prodotti.
Grazie a queste misure la nuova legge consentirà agli utenti di compiere scelte più informate e più sicure, in quanto i fabbricanti dovranno diventare più trasparenti e responsabili in merito alla sicurezza dei loro prodotti.
Prossime tappe
L’accordo raggiunto deve ancora essere approvato formalmente dal Parlamento europeo e dal Consiglio. Una volta adottata, la legge sulla ciberresilienza entrerà in vigore il 20o giorno successivo alla pubblicazione nella Gazzetta ufficiale.
Dall’entrata in vigore i fabbricanti, gli importatori e i distributori di prodotti hardware e software disporranno di 36 mesi per adeguarsi alle nuove prescrizioni, ma per quanto riguarda l’obbligo di comunicazione in caso di incidenti e vulnerabilità il periodo di tolleranza è più limitato, pari a 21 mesi.
Contesto
La cibersicurezza è una delle principali priorità della Commissione europea. Dobbiamo agire energicamente per rendere sicuri i nostri prodotti digitali, sia software che hardware.
La legge sulla ciberresilienza, basata sulla strategia dell’UE in materia di cibersicurezza del 2020 e sulla strategia dell’UE per l’Unione della sicurezza del 2020, è stata annunciata nel discorso sullo stato dell’Unione del 2021, nell’ambito del piano per costruire un’Europa pronta per l’era digitale, e integrerà la legislazione esistente, in particolare il quadro NIS2 adottato nel 2022.
L’anno scorso il numero di attacchi alla catena di approvvigionamento del software è triplicato e ogni giorno piccole imprese e operatori critici come gli ospedali sono vittime di reati informatici. Ogni 11 secondi un’organizzazione è colpita da attacchi ransomware, per un costo stimato di 20 miliardi di € l’anno. Solo nel 2021 i criminali informatici sono riusciti a piratare dispositivi e a sferrare circa 10 milioni di attacchi distribuiti di negazione del servizio (DDoS) a livello mondiale, rendendo siti web e servizi online inaccessibili per i loro utenti.
Per ulteriori informazioni
Legge sulla ciberresilienza
Proposta di legge sulla ciberresilienza
Legge sulla ciberresilienza – Domande e risposte (aggiornamento)
Scheda informativa: legge sulla ciberresilienza
Valutazione d’impatto: legge sulla ciberresilienza