L’UE svela il suo piano per la sicurezza dei dispositivi intelligenti
I legislatori dell'Unione Europea hanno proposto una nuova serie di norme sui prodotti da applicare ai dispositivi intelligenti che hanno lo scopo di costringere i produttori di hardware connesso a Internet - come lavatrici "intelligenti" o giocattoli connessi - a prestare la massima attenzione alla sicurezza dei dispositivi.
La proposta di legge sulla resilienza informatica dell'UE introdurrà requisiti obbligatori di sicurezza informatica per i prodotti che hanno "elementi digitali" venduti in tutto il blocco, con requisiti che si applicano durante tutto il loro ciclo di vita - il che significa che i produttori di gadget dovranno fornire supporto di sicurezza continuo e aggiornamenti per correggere le vulnerabilità emergenti - la Commissione detto oggi.
Il progetto di regolamento si concentra anche sui produttori di dispositivi intelligenti che comunicano ai consumatori "informazioni sufficienti e accurate" per garantire agli acquirenti la capacità di comprendere considerazioni di sicurezza al momento dell'acquisto e di configurare i dispositivi in modo sicuro dopo l'acquisto.
Le sanzioni proposte dalla Commissione per il mancato rispetto dei requisiti “essenziali” di sicurezza informatica arrivano fino a 15 milioni di euro o al 2,5% del fatturato annuo mondiale, mentre altre violazioni degli obblighi normativi prevedono una sanzione massima di 10 milioni di euro o il 2% del fatturato.
L'esecutivo dell'UE ha affermato che la proposta di regolamento si applicherà a tutti i prodotti che sono collegati "direttamente o indirettamente a un altro dispositivo o rete" - con alcune eccezioni per i prodotti per i quali i requisiti di sicurezza informatica sono già stabiliti nelle norme UE esistenti, come i dispositivi medici, aviazione e automobili.
In una sintesi delle misure proposte, che si basano su un quadro legislativo per la legislazione UE sui prodotti aggiornato nel 2008, la Commissione ha affermato che stabiliranno:
(a) norme per l'immissione sul mercato di prodotti con elementi digitali per garantirne la sicurezza informatica;
(b) requisiti essenziali per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti;
(c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la sicurezza informatica dei prodotti con elementi digitali durante l'intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi. I produttori dovranno inoltre segnalare le vulnerabilità e gli incidenti sfruttati attivamente;
d) norme sulla vigilanza e sull'applicazione delle norme del mercato.
"Le nuove regole riequilibreranno la responsabilità nei confronti dei produttori, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali resi disponibili sul mercato dell'UE", si legge in un comunicato stampa. "Di conseguenza, andranno a vantaggio dei consumatori e dei cittadini, nonché delle imprese che utilizzano prodotti digitali, migliorando la trasparenza delle proprietà di sicurezza e promuovendo la fiducia nei prodotti con elementi digitali, nonché garantendo una migliore protezione dei loro diritti fondamentali, come come tutela della vita privata e dei dati."
Una sessione di domande e risposte della Commissione sull'iniziativa prevede inoltre che i produttori siano sottoposti a "un processo di valutazione della conformità per dimostrare se i requisiti specificati relativi a un prodotto sono stati soddisfatti". Si sottolinea che ciò potrebbe essere effettuato tramite un'autovalutazione o una valutazione della conformità da parte di terzi "a seconda della criticità del prodotto in questione".
Laddove fosse dimostrata la conformità ai requisiti applicabili, i produttori di dispositivi potrebbero apporre il marchio CE dell'UE, indicando la conformità degli elementi digitali alla normativa sulla sicurezza del prodotto.
La non conformità sarebbe gestita dalle autorità di vigilanza del mercato nominate dagli Stati membri che sarebbero responsabili dell'applicazione della normativa, con poteri proposti non solo per ordinare di porre fine alla non conformità ma anche per "eliminare il rischio" vietando la vendita di un prodotto o limitando in altro modo la sua disponibilità sul mercato. Le autorità competenti potrebbero anche ordinare il ritiro o il richiamo dei prodotti contraffatti. Fornire informazioni errate, incomplete o fuorvianti alle autorità di regolamentazione e di vigilanza rischierebbe una multa fino a 5 milioni di euro o l’1% del fatturato.