Nelle ultime settimane l’attenzione di molti commentatori si è accentrata sulla definitiva entrata in vigore del Digital Services Act (Dma), che precede di poco l’entrata in vigore del DMA (Digital Markets Act).
Nell’attesa di vederne dispiegati gli effetti merita però appuntare lo sguardo su un altro aspetto che pure è riconducibile a una nuova proposta di Regolamento da tempo presentata dalla Commissione e che ora sembra essere sempre più al centro dell’attenzione dei decisori europei e degli Stati membri: il Cyber Resilience Act. La sua approvazione dovrebbe avvenire entro il 2023 per entrare poi in vigore entro il 2024.
Ha come obiettivo tutelare la cybersicurezza rispetto all’uso dei prodotti digitali.
Il Cyber Resilience Act, punti chiave
Come è noto, la Commissione ha proposto il Cybersecurity Resilience Act il 14 settembre 2022 con l’intento di proteggere i consumatori e il mondo del businesses da prodotti operanti nel mondo digitale grazie a connessioni digitali che presentino inadeguate caratteristiche relative alla sicurezza.
Con la presentazione di questo Regolamento la Commissione ha dato seguito alla promessa fatta dalla Presidente von der Laeyen nel suo discorso del settembre 2021 sullo Stato dell’Unione; discorso nel quale la Presidente già aveva richiamato la necessità di procedere rapidamente a realizzare quanto indicato nella EU Cybersecurity Strategy del 2020 e nella EU Security Union Strategy dello stesso anno.
Le reti
Il dato interessante del fenomeno legato alla presentazione del Regolamento sulla Cyber Resilience è che al centro di questa regolazione non stanno tanto le regole relative all’uso dei dati digitali, quanto le reti di trasmissione stesse e le modalità tecniche con le quali i dati sono scambiati.
Responsabilità dei produttori
Non solo: un’attenzione specifica è dedicata anche a porre al centro la responsabilità dei fabbricanti dei prodotti che consentono gli scambi di dati e i loro trattamenti, con particolare riguardo a garantire adeguati supporti e strumenti per individuare e affrontare gli aspetti di vulnerabilità di volta in volta individuati. A questo si deve aggiungere che la proposta ha anche lo scopo esplicito di assicurare ai consumatori e agli utilizzatori degli apparecchi di volta volta usati di avere informazioni adeguate circa la cybersicurezza dei prodotti di volta in volta acquistati e usati.
Il punto sulla normativa Cyber Resilience Act
L’esame di questa proposta, che comprende anche la messa in opera di istituzioni di vigilanza comuni efficaci e di centri di ricerca adeguati a seguire lo sviluppo delle tecnologie, sta andando rapidamente avanti e riguarda:
- regole armonizzate quando vengono immessi sul mercato prodotti o software con componenti digitali;
- un insieme di requisiti di cybersicurezza che guidino la progettazione, il disegno, lo sviluppo e la manutenzione di ciascun prodotto con obblighi che devono essere rispettati a ogni tappa della catena del valore;
- obblighi di garantire la verifica della sicurezza per l’intero ciclo di vita di ciascun prodotto.
Inoltre, quando la nuova regolazione entrerà in vigore i prodotti connessi a Internet dovranno avere il marchio CE per assicurare di essere conformi a nuovi standard.
Il sistema di controlli
Il Cyber Resilience Act dedica anche attenzione alla definizione di un sistema di controlli a elevata competenza tecnologica e espande a questo fine ulteriormente e competenze dell’ENISA.
European cybersecurity Competence center
Inoltre, nello sforzo tecnologico di offrire strumenti e istituzioni tecnologicamente idonee ad assicurare controlli efficienti e adeguati merita ricordare anche l’European Cybersecurity Competence Centre che nel maggio 2023 ha iniziato la sua attività a Bucarest, al quale è affidato il compito di dedicarsi a supportare l’innovazione e la politica industriale nel campo della cybersicurezza così come a sviluppare e coordinare i progetti europei di cybersecurity.
Si tratta di un primo passo sulla strada che la Commissione sta seguendo per costruire un European Cyber Shield che possa in futuro collaborare con una rete di centri nazionali coordinati per costruire un ecosistema di sicurezza e di innovazione cibernetica attraverso tutta la Unione Europea.
Il valore del Cyber Resilience Act per le nostre imprese
Proprio il Cyber Resilience Act presenta un aspetto estremamente interessante e importante su quanto sta accadendo in Europa nell’epoca digitale.
In pochissimi anni, infatti, l’Unione Europea è passata dall’obiettivo dominante di costruire un mercato unico digitale che consentisse di proseguire la strada del mercato unico economico intrapresa dall’Europa fin dal Piano Schumann a una normativa che ha invece come finalità quella di garantire un omogeneo ed elevato livello di sicurezza per produttori e consumatori nello spazio unico digitale europeo.
Un obbiettivo che tutti, e prima di tutto le imprese, dovrebbero vedere con grande favore perché non solo concorre a proseguire la tradizione del mercato unico come insieme di regole adeguate a disciplinare la competizione economica nell’ambito di un mercato ampio e ricco come quello europeo, ma ha anche mira a costruire un’area economica la cui regolazione assicuri un’alta affidabilità dei prodotti e servizi offerti nell’ambito del mercato digitale.
Si dà così alle imprese europee non solo la garanzia di poter operare in un mercato di centinaia di milioni di consumatori ma anche di poter produrre, in ragione delle garanzie che le regole di questo mercato comportano, sistemi di scambio digitale dei dati più affidabili e quindi più competitivi di quelli offerti dalle imprese di altre aree del mondo globale.
Insomma col Cyber Resilience Act la UE non gioca più le sue carte essenzialmente sulla tutela e l’evoluzione del mercato unico anche in epoca digitale, né mira ad affermare una mera sovranità digitale europea, ma cerca esplicitamente di fare della Unione e delle sue regole un mercato in grado di dare maggiori garanzie e sicurezza ai consumatori, assicurando anche una costante vigilanza sullo sviluppo delle tecnologie che, in epoca digitale, è estremamente veloce e continuo.
Per questo il Cyber Resilience Act apre la via a una nuova epoca anche della economia dell’UE nel contesto digitale.
Un’epoca che sarà certamente molto sfidante per le imprese europee ma offrirà anche ad esse nuove e importanti opportunità.
L’importanza di Digital Services Act e Digital Markets Act
L’interesse e l’attenzione rispetto a Dsa e Dma è assolutamente comprensibile perché essi segnano l’effettivo e concreto procedere dello sforzo europeo per l’attuazione del Digital Services Act Package presentato dalla Commissione nel dicembre 2020.
Ovviamente è presto per poter dare un giudizio sulla efficacia che la nuova regolazione potrà avere sia rispetto all’ambizioso, e un po’ fuorviante, obbiettivo di costruire la c.d. sovranità digitale europea ponendo limiti e vincoli alle regole e all’uso dei dati nella società globalizzata, sia rispetto alla ancor meno chiara ambizione di porre vincoli alle imprese operanti fuori della UE rispetto al trattamento e all’uso dei dati, particolarmente quando si tratti di dati personali.
E’ meglio dire che con la piena entrata in vigore del DSA e del DMA anche la UE diventa a pieno titolo partecipe della competizione mondiale a regolare i trattamenti e la utilizzazione dei dati nell’economia e nei servizi digitali, guadagnandosi così a pieno il diritto ad essere compartecipe di uno sforzo globale alla costruzione di una competizione globale relativa all’uso dei dati digitali che di fatto è appena iniziata anche se lo sviluppo economico legato al trattamento dei dati è un fenomeno ormai ben noto e concretamente in atto da tempo.
Non resta dunque che attendere di vedere più concretamente quali saranno gli effetti concreti di questi due nuovi Regolamenti europei sullo sviluppo dell’economia europea, da un lato, e della capacità dell’Unione Europea di essere protagonista sempre più incisiva di una competizione mondiale per l’utilizzazione dei dati che di fatto solo ora sembra cominciare a svilupparsi su un quadro regolatorio solido e coerente con le ambizioni dell’Unione Europea di continuare a svilupparsi come uno spazio economico coeso, forte e competitivo.
.
