Secondo Siemens, Ericsson, Schneider Electric e il gruppo industriale DigitalEurope, le onerose norme proposte dall’UE con il Cyber Resilience Act, che riguardano i rischi di cybersicurezza dei dispositivi smart, potrebbero influire negativamente sulle supply chain con risultati simili a quelli che si sono avuti durante la pandemia.

Proposto dalla Commissione Europea lo scorso anno (la strada da percorrere per arrivare a un testo unico definitivo è però ancora lunga), il Cyber Resilience Act è già stato critica aspramente dall’ambiente open-source e richiede ai produttori di valutare i rischi di cybersicurezza dei loro prodotti e di adottare misure per risolvere i problemi per un periodo di cinque anni o per tutta la durata di vita prevista dei prodotti.

Le norme proposte da questo pacchetto legislativo (domani prenderanno il via i negoziati all’interno dell’UE in vista dell’adozione definitiva della legge) si applicherebbero anche agli importatori e ai distributori di dispositivi connessi a Internet. “La legge, così com’è, rischia di creare dei colli di bottiglia che impatteranno negativamente sul mercato unico”, hanno scritto gli amministratori delegati delle quattro aziende in una lettera congiunta al capo dell’industria dell’Unione Europea Thierry Breton e al capo del settore digitale dell’UE Vera Jourova.

Cyber Resilience Act

I CEO di Siemens, Ericsson, Schneider Electric e DigitalEurope hanno inoltre dichiarato che questi colli di bottiglia potrebbero interessare milioni di prodotti, dalle lavatrici ai giocattoli fino agli stessi prodotti di cybersecurity, oltre a componenti vitali per pompe di calore, macchine frigorifere e manifatture ad alta tecnologia. Questo si deve principalmente sia alla mancanza di esperti indipendenti per condurre le valutazioni, sia alle croniche lentezze della burocrazia.

“Rischiamo non solo di creare un blocco nelle catene di approvvigionamento europee come quello avvenuto durante la pandemia, ma anche di sconvolgere il mercato unico e di danneggiare la nostra competitività“, hanno dichiarato le aziende. Tra gli altri firmatari della lettera figurano gli amministratori delegati di Nokia, Robert Bosch GmbH e della società di software slovacca ESET.

Tutte queste aziende hanno rimarcato il fatto che l’elenco dei prodotti a rischio più elevato soggetti alla norma dovrebbe essere notevolmente ridotto e che i produttori dovrebbero essere autorizzati a correggere i rischi di vulnerabilità noti piuttosto che condurre prima delle valutazioni. Chiedono inoltre una maggiore flessibilità per l’autovalutazione dei rischi di sicurezza informatica.