Il Cyber Resilience Act (cepAnalisi su COM(2022) 454)

"Bruxelles intende obbligare l'industria informatica a migliorare massicciamente la sicurezza informatica già nella fase di progettazione e sviluppo. Successivamente, i consumatori dovrebbero essere in grado di riconoscere le caratteristiche di sicurezza al momento dell'acquisto. Se a ciò si aggiunge una scadenza specifica per l'eliminazione delle vulnerabilità, si rafforza certamente la fiducia dei clienti. "La Commissione non può che congratularsi per la propria proposta", afferma l'economista del CEP Philipp Eckhardt, che ha analizzato il progetto di legge insieme all'esperta giuridica del CEP, Anastasia Kotovskaia.

Secondo gli esperti del Cep, un punto debole però rimane ancora la categorizzazione dei prodotti “critici” nelle classi 1 e 2. "Questa tassonomia è vaga sostanzialmente inconcludente", afferma Kotovskaia. In questo contesto poi, il trasferimento da parte degli Stati membri alla Commissione europea dei relativi poteri di adottare atti delegati, appare giuridicamente piuttosto discutibile.

Il Cyber Resilience Act (CRA) prevede di entrare in vigore solo due anni dopo la sua adozione. Il CEP ritiene che questo lasso di tempo sia eccessivamente ambizioso. Il CRA è stato concepito per mantenere un livello uniforme ed elevato di sicurezza informatica per i prodotti hardware e software, dalle stampanti ai router, fino agli elettrodomestici intelligenti e ai sistemi di controllo industriale. "La proposta della Commissione appare assolutamente adatta allo scopo. Tuttavia, le parti interessate hanno bisogno di tempo sufficiente per un'attenta ed adeguata attuazione dell'atto giuridico", sottolineano gli esperti del CEP.