La Commissione Europea ha pubblicato la bozza di legge sulla cybersecurity nel mese di settembre 2022, e la sua entrata in vigore è prevista per il 2024.
Ma un gruppo di aziende, tra cui Ericsson e Nokia, ha lanciato un’allerta riguardo alla proposta di legge, sostenendo che potrebbe creare ostacoli e interruzioni nelle catene di approvvigionamento.
In una lettera inviata alla Commissione Europea, il gruppo industriale Digital Europe ha affermato che l’ampio campo di applicazione della bozza di legge avrebbe un impatto su milioni di dispositivi connessi, che vanno dagli elettrodomestici ai giocattoli fino agli strumenti di cybersecurity.
Una proposta non in grado di regolamentare i diversi tipi di prodotti
Digital Europe rappresenta l’industria per la trasformazione digitale in Europa e comprende 106 aziende globali dei settori informatica, telecomunicazioni ed elettronica di consumo.
Secondo le aziende la misura legislativa impedirebbe la commercializzazione di dispositivi sicuri per i clienti europei, che si vedrebbero quindi privati di alcuni importanti prodotti di queste aziende.
Oltre a Nokia ed Ericsson, nella lettera di Digital Europe hanno apposto la loro firma anche Siemens, Robert Bosch, Schneider Electric ed ESET.
Le aziende firmatarie sostengono da sempre la necessità di regole orizzontali sulla cybersecurity per i prodotti connessi invece di una serie di regolamentazioni settoriali diverse. Ma ritengono che la proposta attuale non sia in grado di regolamentare in maniera adeguata i diversi tipi di prodotti.
La valutazione attraverso terze parti potrebbe ostacolare le catene di approvvigionamento
Un punto critico per i produttori è la richiesta di dimostrare la conformità attraverso certificatori terzi per una categoria di prodotti ad alto rischio con funzionalità di cybersecurity, come la gestione delle password o il rilevamento delle intrusioni.
Il gruppo sostiene che questi componenti siano fondamentali per l’economia e che la valutazione attraverso terze parti possa causare ostacoli simili a quelli causati dalla pandemia di Covid-19 nelle catene di approvvigionamento europee, danneggiando la competitività.
Poter valutare la priorità nella risoluzione delle vulnerabilità
Sono state sollevate preoccupazioni anche riguardo all’obbligo di segnalare le vulnerabilità non ancora risolte. Le aziende, riferisce Adnkronos, ritengono che i produttori debbano essere autorizzati a valutare la priorità della risoluzione delle vulnerabilità rispetto alla segnalazione immediata, basandosi su ragioni legate alla cybersecurity.
Di conseguenza, le aziende hanno chiesto maggiore flessibilità, suggerendo che la legislazione permetta possibilità di autovalutazione e una significativa riduzione del numero di prodotti inclusi nella categoria. Hanno inoltre proposto di concedere almeno 48 mesi per lo sviluppo di uno standard più armonizzato.
