Le aziende digital avvertono sui rischi della nuova legge europea sulla cybersecurity.
Più di un anno fa, a settembre 2022, la Commissione Europea ha infatti pubblicato la bozza di legge sulla sicurezza informatica, la cui entrata in vigore è prevista per il 2024.
Ma un gruppo di aziende, tra cui Ericsson, Nokia, Siemens, Robert Bosch, Schneider Electric ed ESET, ha lanciato un’allerta riguardo a questa proposta di legge, sostenendo che potrebbe creare ostacoli e interruzioni nelle catene di approvvigionamento.
In particolare, le aziende hanno chiesto maggiore flessibilità, suggerendo che la legislazione permetta possibilità di autovalutazione e una significativa riduzione del numero di prodotti in oggetto.
Un impatto negativo su milioni di dispositivi connessi
In una lettera inviata alla Commissione Europea, il gruppo industriale Digital Europe, che rappresenta l’industria per la trasformazione digitale in Europa e comprende 106 aziende globali dei settori informatica, telecomunicazioni ed elettronica di consumo, ha affermato che l’ampio campo di applicazione della bozza di legge avrebbe un impatto su milioni di dispositivi connessi (dagli elettrodomestici ai giocattoli fino agli strumenti di cybersecurity).
Secondo le aziende, la misura legislativa impedirebbe la commercializzazione di dispositivi sicuri per i clienti europei, che si vedrebbero quindi privati di alcuni importanti prodotti di queste aziende.
Sì alle regole, no a conformità certificate da terzi
Le aziende firmatarie sostengono da sempre la necessità di regole orizzontali sulla cybersecurity per i prodotti connessi invece di una serie di regolamentazioni settoriali diverse. Ma ritengono che la proposta attuale non sia in grado di regolamentare in maniera adeguata i diversi tipi di prodotti.
Un punto critico per i produttori è la richiesta di dimostrare la conformità attraverso certificatori terzi per una categoria di prodotti ad alto rischio con funzionalità di cybersecurity, come la gestione delle password o il rilevamento delle intrusioni.
Cosa chiedono le aziende?
Il gruppo sostiene che questi componenti siano fondamentali per l’economia e che la valutazione attraverso terze parti possa causare ostacoli simili a quelli causati dalla pandemia di Covid-19 nelle catene di approvvigionamento europee, danneggiando la competitività.
Sono state sollevate preoccupazioni anche riguardo all’obbligo di segnalare le vulnerabilità non ancora risolte, riporta Adnkronos. Le aziende ritengono che i produttori debbano essere autorizzati a valutare la priorità della risoluzione delle vulnerabilità rispetto alla segnalazione immediata, basandosi su ragioni legate alla cybersecurity.
Le aziende hanno inoltre proposto di concedere almeno 48 mesi per lo sviluppo di uno standard più armonizzato.