Il Cyber Resilience Act (cepAnalisi su COM(2022) 454)
cepAnalisi

Tecnologie dell'informazione

Il Cyber Resilience Act (cepAnalisi su COM(2022) 454)

Dr. Anastasia Kotovskaia, LL.M.
Dr. Anastasia Kotovskaia, LL.M.
Philipp Eckhardt
Philipp Eckhardt

I cyber-attacchi ai prodotti software e hardware causano enormi perdite finanziarie in tutto il mondo, oltre 5,5 trilioni di euro solo nel 2021. Con il Cyber Resilience Act (Legge sulla resilienza informatica), la Commissione si propone di stabilire regole uniformi di cybersecurity per produttori, importatori e distributori di “prodotti con elementi digitali” (PWDE). Il Centres for European Policy Network (CEP) valuta positivamente la bozza presentata. Unica eccezione: la differenziazione, non abbastanza trasparente, tra prodotti definiti “critici”.

cepAnalisi

Status

"Bruxelles intende obbligare l'industria informatica a migliorare massicciamente la sicurezza informatica già nella fase di progettazione e sviluppo. Successivamente, i consumatori dovrebbero essere in grado di riconoscere le caratteristiche di sicurezza al momento dell'acquisto. Se a ciò si aggiunge una scadenza specifica per l'eliminazione delle vulnerabilità, si rafforza certamente la fiducia dei clienti. "La Commissione non può che congratularsi per la propria proposta", afferma l'economista del CEP Philipp Eckhardt, che ha analizzato il progetto di legge insieme all'esperta giuridica del CEP, Anastasia Kotovskaia.

Secondo gli esperti del Cep, un punto debole però rimane ancora la categorizzazione dei prodotti “critici” nelle classi 1 e 2. "Questa tassonomia è vaga sostanzialmente inconcludente", afferma Kotovskaia. In questo contesto poi, il trasferimento da parte degli Stati membri alla Commissione europea dei relativi poteri di adottare atti delegati, appare giuridicamente piuttosto discutibile.

Il Cyber Resilience Act (CRA) prevede di entrare in vigore solo due anni dopo la sua adozione. Il CEP ritiene che questo lasso di tempo sia eccessivamente ambizioso. Il CRA è stato concepito per mantenere un livello uniforme ed elevato di sicurezza informatica per i prodotti hardware e software, dalle stampanti ai router, fino agli elettrodomestici intelligenti e ai sistemi di controllo industriale. "La proposta della Commissione appare assolutamente adatta allo scopo. Tuttavia, le parti interessate hanno bisogno di tempo sufficiente per un'attenta ed adeguata attuazione dell'atto giuridico", sottolineano gli esperti del CEP.

Scarica il PDF

Il Cyber Resilience Act (cepAnalisi su COM(2022) 454) (pubblicizzato 24.01.2023) PDF 646 KB Download
Il Cyber Resilience Act (cepAnalisi su COM(2022) 454)