È dello scorso 29 ottobre l’uscita di un atto delegato della Commissione Europea sulla direttiva sulle apparecchiature radio che mira alla definizione di nuovi requisiti di sicurezza informatica per le aziende produttrici di dispositivi wireless tra cui, per citarne alcuni, smartwatch, fitness tracker, baby monitor, giocattoli e tablet.
Nella nota dell’esecutivo UE gli obiettivi dell’Europa sono chiari. Si legge, infatti: “Questo atto stabilisce nuovi requisiti legali per le garanzie di sicurezza informatica, di cui i produttori dovranno tenere conto nella progettazione e produzione dei prodotti interessati”.
E ancora: “Proteggerà inoltre la privacy e i dati personali dei cittadini, preverrà i rischi di frode monetaria e garantirà una migliore resilienza delle nostre reti di comunicazione. Le misure proposte oggi riguarderanno dispositivi wireless come telefoni cellulari, tablet e altri prodotti in grado di comunicare su Internet; giocattoli e attrezzature per l’infanzia come baby monitor; così come una gamma di attrezzature indossabili come smartwatch o fitness tracker”.
L’atto delegato si apre con un’analisi del contesto da cui nasce il bisogno di nuove normative. Parlamento europeo e Consiglio hanno, infatti, espresso più volte, soprattutto per la sempre più larga diffusione di dispositivi wireless nell’uso quotidiano di tutti, dagli adulti ai bambini, la necessità di rafforzare la sicurezza informatica nell’UE, riconoscendo la crescente importanza di apparecchiature radio connesse, tra cui macchine, sensori e reti che compongono l’Internet of Things (IoT) e i relativi problemi di sicurezza.
Sono diverse le parti della catena interessate per poter garantire che l’intero ecosistema rimanga sicuro. Nella nota UE si citano, per esempio:
- gli operatori di rete e i fornitori di servizi, che si devono occupare della sicurezza delle loro piattaforme;
- i produttori di apparecchiature devono curare la sicurezza nel processo di progettazione dei prodotti;
- gli utenti devono conoscere rischi e vulnerabilità delle loro azioni durante l’uso dei dispositivi e l’importanza di eseguire i necessari aggiornamenti delle apparecchiature;
- gli Stati membri possono stabilire priorità.
Le parti dell’intero ecosistema possono garantire la sicurezza di tutti solo se lo sono esse stesse.
Privacy incorporata nei prodotti e servizi IT: ecco come aumentare la competitività delle aziende
Indice degli argomenti
Obiettivi e tempi
L’obiettivo è potenziare la sicurezza di tali prodotti, dalla fase di progettazione a quella di produzione ovviamente, per una maggiore tutela dei dati personali e della privacy degli utenti, una più efficace protezione da frodi monetarie e una più forte resilienza delle reti di comunicazione.
Questo atto, come già annunciato da Ursula von der Leyen, Presidente dell’Unione Europea, sarà integrato anche da una legge sulla resilienza informatica per mettere sotto protezione ancora più dispositivi in tutto il loro ciclo di vita.
Se Consiglio e Parlamento non avranno nulla da eccepire, l’atto delegato entrerà in vigore a seguito di due mesi di controllo e le aziende avranno 30 mesi di tempo per adeguarsi alle nuove norme di sicurezza. L’entrata in vigore effettiva è prevista per la seconda metà del 2024.
Per far sì che tutti riescano a raggiungere l’obiettivo, la Commissione Europea chiederà alle organizzazioni europee di strutturare norme in materia, altrimenti saranno gli organismi notificati preposti a valutare le aziende produttrici e quindi a rilasciare la conformità dei loro prodotti.
Il Cyber Resilience Act
Come già accennato, l’atto delegato del 29 ottobre scorso sarà implementato con una legge sulla resilienza informatica, il Cyber Resilience Act, di cui si è annunciato nel dicembre 2020 all’interno della strategia dell’Unione Europea sulla cyber security allo scopo di disegnare standard comuni a livello europeo nell’ambito della sicurezza cyber, congiuntamente alla strutturazione di un polo informativo comune del quinto dominio europeo.
La normativa riguarderà, in particolare, tutti i device che hanno la possibilità di connettersi al web, quindi smartphone, tablet, fotocamere, apparecchiature IoT, così come giocattoli e prodotti per l’infanzia, i dispositivi cosiddetti wearables, quindi smartwatch e fitness tracker.
Sono esclusi dalla normativa “i veicoli a motore, i sistemi di telepedaggio stradale, le apparecchiature per il controllo a distanza degli aeromobili senza pilota, nonché le apparecchiature radio specifiche non aviotrasportate che possono essere installate sugli aeromobili”, dato che questi sono già normati a parte, così come i dispositivi medici e quelli medici in vitro.
Considerazioni dalla Commissione Europea
L’esigenza di nuovi requisiti di sicurezza per i dispositivi elettronici wireless, come ha dichiarato Margrethe Vestager, vp esecutiva della Commissione Europea, è nata dalla volontà di mettere in sicurezza di tutti i prodotti di cui usufruiamo ogni giorno, così da poterci affidare a questi stessi strumenti per le nostre comunicazioni privati o aziendali senza il rischio di attacchi cyber.
Il Commissario per il mercato interno, Thierry Breton, si è invece espresso sottolineando il bisogno di unificare la sicurezza a livello europeo: “Con i requisiti che stiamo introducendo oggi miglioreremo notevolmente la sicurezza di un’ampia gamma di prodotti e rafforzeremo la nostra resilienza contro le minacce informatiche, in linea con le nostre ambizioni digitali in Europa. Si tratta di un passo significativo nella creazione di una serie completa di standard europei comuni di sicurezza informatica per i prodotti (compresi gli oggetti connessi) e i servizi portati sul nostro mercato”.
