Un gruppo di aziende, tra cui Ericsson e Nokia, ha lanciato un’allerta riguardo a una proposta di legge europea sulla cybersecurity, sostenendo che potrebbe creare ostacoli e interruzioni nelle catene di approvvigionamento. In una lettera inviata alla Commissione Europea, il gruppo industriale Digital Europe ha affermato che l’ampio campo di applicazione della bozza di legge avrebbe un impatto su milioni di dispositivi connessi, che vanno dagli elettrodomestici ai giocattoli agli strumenti di cybersecurity, impedendo la commercializzazione di prodotti sicuri per i clienti europei, che si vedrebbero quindi privati di alcuni importanti prodotti di queste aziende. La Commissione Europea ha pubblicato la bozza di legge a settembre 2022, con l’entrata in vigore prevista per il 2024. Oltre a Nokia ed Ericsson, nella lettera di Digital Europe hanno apposto la loro firma anche Siemens, Robert Bosch, Schneider Electric ed ESET.

Le aziende firmatarie sostengono da sempre la necessità di regole orizzontali sulla cybersecurity per i prodotti connessi, invece di una serie di regolamentazioni settoriali diverse. Inoltre, ritengono che la proposta attuale non sia in grado di regolamentare in maniera adeguata i diversi tipi di prodotti. Un punto critico per i produttori è la richiesta di dimostrare la conformità attraverso certificatori terzi per una categoria di prodotti ad alto rischio con funzionalità di cybersecurity, come la gestione delle password o il rilevamento delle intrusioni. Il gruppo sostiene che questi componenti siano fondamentali per l’economia e che la valutazione attraverso terze parti possa causare ostacoli simili a quelli causati dalla pandemia di Covid-19 nelle catene di approvvigionamento europee, danneggiando la competitività.

Sono state sollevate preoccupazioni anche riguardo all’obbligo di segnalare le vulnerabilità non ancora risolte. Le aziende ritengono che i produttori debbano essere autorizzati a valutare la priorità della risoluzione delle vulnerabilità rispetto alla segnalazione immediata, basandosi su ragioni legate alla cybersecurity. Di conseguenza, le aziende hanno chiesto maggiore flessibilità, suggerendo che la legislazione permetta possibilità di autovalutazione e una significativa riduzione del numero di prodotti inclusi nella categoria. Hanno inoltre proposto di concedere almeno 48 mesi per lo sviluppo di uno standard più armonizzato.