"La Commissione ha presentato una proposta per un nuovo Cyber Resilience Act per proteggere i consumatori e le imprese da prodotti con caratteristiche di sicurezza inadeguate": si tratta di "una prima legislazione di questo tipo in tutta l'UE [che] introduce requisiti obbligatori di cybersecurity per i prodotti con elementi digitali, durante tutto il loro ciclo di vita", annuncia l'esecutivo UE in un comunicato.

A seguito di una strategia di sicurezza informatica delineata dall'esecutivo dell'UE un anno fa, la nuova legislazione mira a garantire che "i prodotti digitali, come i prodotti wireless e cablati e il software, siano più sicuri per i consumatori in tutta l'UE".

In particolare, "oltre ad aumentare la responsabilità dei produttori obbligandoli a fornire supporto alla sicurezza e aggiornamenti del software per risolvere le vulnerabilità individuate, consentirà ai consumatori di avere informazioni sufficienti sulla sicurezza informatica dei prodotti che acquistano e utilizzano", aggiunge Bruxelles.

Il regolamento proposto si applica a tutti i prodotti che sono direttamente o indirettamente collegati a un altro dispositivo o a una rete, anche se sono previste alcune eccezioni per i prodotti per i quali i requisiti di sicurezza informatica sono già stabiliti da norme UE esistenti, ad esempio per i dispositivi medici, l'aviazione o le automobili. Secondo l'istituzione, sono coperti anche le applicazioni mobili e i videogiochi.

La normativa prevede che, "per garantire l'effettiva applicazione degli obblighi previsti dalla presente legge, ciascuna autorità di vigilanza del mercato ha il potere di imporre o richiedere l'imposizione di sanzioni amministrative pecuniarie".

In caso di mancato rispetto dei requisiti essenziali di sicurezza informatica, sono previste multe fino a 15 milioni di euro o, se il trasgressore è un'azienda, fino al 2,5% del suo fatturato mondiale totale annuo per l'esercizio finanziario precedente. L'inosservanza di qualsiasi altro obbligo previsto dal regolamento è soggetta a sanzioni amministrative fino a 10 milioni di euro o, se il trasgressore è un'impresa, fino al 2% del suo fatturato annuo.

La fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità di vigilanza del mercato in risposta a una richiesta è invece soggetta a multe fino a 5 milioni di euro o, se il trasgressore è un'impresa, fino all'1% del suo fatturato annuo, secondo la proposta di regolamento.

Spetterà ora al Parlamento europeo e al Consiglio deliberare sulla proposta di legge sulla resilienza informatica, con Bruxelles che sottolinea "la buona volontà" dei colegislatori e spera che l'iniziativa proceda rapidamente.

Dopo l'entrata in vigore, le parti interessate avranno 24 mesi di tempo per adeguarsi ai nuovi requisiti, con l'eccezione di un periodo di grazia più limitato di 12 mesi in relazione all'obbligo di segnalazione per i produttori.

I dati del Centro comune di ricerca della Commissione europea per il 2021 rivelano che gli attacchi ransomware colpiscono un'organizzazione ogni 11 secondi in tutto il mondo e che il costo annuale globale stimato della criminalità informatica raggiunge i 5,5 trilioni di euro.

Anche i costi annuali delle violazioni dei dati sono stimati in almeno 10 miliardi di euro, mentre i costi annuali dei tentativi di interruzione del traffico internet sono stimati in 65 miliardi di euro.