Il 29 ottobre la Commissione UE ha reso pubblica la approvazione di nuove regole relative alla cybersicurezza degli strumenti che utilizzano la rete in modalità wireless cioè prevalentemente con trasmissioni radio dei segnali.
La decisione comporta un passo avanti nella sicurezza dei dispositivi wireless che deve essere garantita dai produttori fin dalla progettazione e dalla produzione degli apparecchi e prima che essi siano messi sul mercato.
Cybersicurezza: la strategia Ue per una difesa comune, tra lacune normative e pochi fondi
I dispositivi interessati
I dispositivi interessati sono numerosissimi e vanno dai telefoni cellulari ai tablet, ai giocattoli e alle attrezzature per l’infanzia come i baby monitor fino alle attrezzature indossabili come gli smartwatch e i fitness tracker. Molti in realtà sono già a norma anche rispetto gli obbiettivi che la Commissione si pone, ma proprio per questo l’intervento annunciato assuma ancor più significato. Esso, infatti, sta a dimostrare la chiara volontà della Commissione di allargare sempre di più il potere regolatorio della UE rispetto alle nuove tecnologie e, dunque, alla società digitale e alla sua evoluzione.
Al fine di introdurre queste nuove regole la Commissione ha annunciato la sua intenzione di ricorrere allo strumento degli atti delegati previsti dal Trattato, come aveva già fatto la Commissione Junker approvando il Regolamento 2019/320 UE del 12 dicembre 2018 che integrala Direttiva 2014/53 del Parlamento e del Consiglio UE per quanto riguarda l’applicazione dei requisiti essenziali di cui all’art.3, paragrafo 3, lettera g) di tale direttiva, al fine di garantire la localizzazione del chiamante nelle comunicazioni di emergenza dei dispositivi mobili.
L’obiettivo delle nuove norme: rafforzare la resistenza cibernetica della UE
In sostanza la adozione di nuovi atti delegati annunciata dalla Commissione si inserisce nella prospettiva di rafforzare la resistenza cibernetica della UE, secondo l’indirizzo già annunciato dalla Commissione nel discorso della Presidente Ursula von der Leyen del 15 settembre 2021, nel quale la Commissione aveva anticipato la sua intenzione di proporre un Cyber Resilience Act finalizzato a prevedere standards di cybersicurezza comuni a tutti i devices fabbricati e messi sul mercato europeo sia da fabbricanti residenti in UE che da fabbricanti operanti fuori dal territorio dell’Unione.
Ora, utilizzando il potere, conferitole dalla Direttiva NIS2, di adottare atti delegati previsti dal Trattato sul funzionamento della UE, la Commissione estende regole comune di cybersecurity ai dispositivi digitali impiegati in settori critici dell’economia e della società.
Gli atti delegati adottati dalla Commissione completano in sostanza le tutele della NIS2 seguendo una impostazione della cybersecurity essenziale soprattutto in vista del 5G e della Internet of things e come tutti gli atti delegati essi prenderanno in esame soprattutto gli aspetti applicativi e attuativi della normativa europea già in vigore senza affrontare nuovi temi generali.
Proprio la futura, e ormai prossima, evoluzione dell’economia digitale verso la interconnessione fra le cose, e quindi la necessità di assicurare una attuazione uniforme della normativa già in vigore giustifica però la adozione di questi atti delegati.
Come affermato da Els Bruggeman, head of policy and enforcement at Euroconsumer, “If the Commission wants to become a leader in Cybersecurity, it must work on common EU approach to cyber threats that enables consumers trust to IoT”.
Atti delegati, un ruolo cruciale per il Mercato unico digitale
In sostanza il pacchetto di atti delegati annunciato dalla Commissione sembra destinato a svolgere un ruolo assolutamente strategico sia al fine di assicurare la possibilità di costruire, anche in sede di attuazione della normativa già in vigore un solido e ben strutturato “Mercato Unico Digitale”, che al fine di rafforzare la fiducia dei cittadini europei nell’evoluzione del Mercato digitale e, in particolare, della IoT.
La adozione di atti delegati, nel caso in esame, è fondata non solo su quanto previsto dalla Direttiva NIS2 ma anche dalla esigenza di provvedere rapidamente a imporre standard adeguati coerenti con la normativa UE, cercando di forzare le lentezze tipiche del processo decisionale UE.
Infatti, una volta adottati e pubblicati gli atti delegati sono inviati al Parlamento e al Consiglio che hanno due mesi per esaminarli e “scrutinarli”. Se non vi sono obiezioni gli Atti delegati sono pubblicati nella GU della UE e iniziano a scorrere i 30 mesi previsti per la loro effettiva entrata in vigore. I 30 mesi, peraltro, sono un periodo sufficiente per garantire alla industria una “applicazione dolce” delle nuove regole e anche per consentire alla stessa Commissione di sollecitare le European Standardisation Organisations a sviluppare standard armonizzati a supporto della applicazione della nuova regolazione. Tali standard dovranno essere individuati con il supporto e il coinvolgimento delle stesse industrie e dovranno essere rivisti dalla stessa Commissione per garantire la loro compatibilità con la nuova regolazione e con quella a cui questa dà concreta attuazione.
Una volta definiti questi nuovi standard, essi, se rispettati, comporteranno la presunzione che fabbricanti e venditori delle apparecchiature abbiano adottato le misure necessarie al rispetto della nuova regolazione.
Le industrie, tuttavia, saranno libere di adottare proprie specificazioni tecniche pe garantire il rispetto delle regole, fermo restando che esse possono partecipare in modo attivo allo sviluppo degli stessi standard.
In sostanza il regolatore UE vuole garantire che gli standard adottati non costituiscano un indebito freno allo sviluppo delle SMEs, sia per non incorrere in violazioni della concorrenza sia per non frenare lo sviluppo dell’economia digitale.
Merita infine sottolineare che la posta in gioco rispetto a questa regolazione è di assoluta importanza per il regolatore UE anche per rafforzare la fiducia dei cittadini che gli atti delegati comportano requisiti che dovranno essere rispettati e garantiti anche da fabbricanti esterni alla UE e dagli importatori dei dispositivi all’interno del territorio UE.
Gli Stati membri a loro volta dovranno individuare le modalità per garantire la sorveglianza del mercato e, a tal fine, in linea con la Radio Equipment Directive, dovranno indicare ognuno una “national Market Surveillance Authority” che vigili sulla loro applicazione e garantisca che solo i prodotti compliant con la nuova regolazione e gli standard successivamente individuati possano essere messi sul mercato nazionale.
Trasferimento dati, normazioni specifiche, Autorità sempre più specializzate
In sostanza ancora una volta assistiamo a una prassi che si sta affermando in modo preoccupante nella UE: quella cioè di “costruire” sistemi normativi specializzati di settore per garantire la protezione dei dati e delle reti di trasmissione, moltiplicando così anche le Autorità di controllo che, di conseguenza, diventano anche esse tendenzialmente settoriali.
Si tratta di una tendenza comprensibile proprio perché nella società e nel mercato digitale l’ampiezza dei trasferimenti di dati che costituiscono le nuove forme di relazione tra fornitori e consumatori è destinata a crescere costantemente e a spingere a normazioni specifiche, adatte alle peculiarità di ciascun tipo di relazioni. Con la conseguenza che anche il controllo sul rispetto di questa regolazione specialistica sembra meglio garantito da autorità a loro volta specializzate e tra loro connesse da propri sistemi di relazioni (network).
Evoluzione digitale e mercato unico: il quadro complessivo
Il quadro complessivo che ne deriva è peraltro facilmente leggibile.
Innanzitutto, questo conferma che la Commissione, come ha sempre detto la sua Presidente, è attenta a garantire che il Mercato unico non sia messo in crisi dall’evoluzione digitale proprio perché la costruzione del Mercato unico è la ragione prima e tuttora vitale dell’esistenza della UE.
In secondo luogo, seguendo questa linea, la Commissione mostra di voler rafforzare le ragioni di competitività della UE e del suo Digital Single Market anche in epoca digitale e di voler regolare anche l’implementazione della cybersecurity con specifico riguardo ai devices che utilizzano la trasmissione radio. Emerge da tutto questo la consapevolezza della Commissione che la cybersecurity è un elemento essenziale per incrementare la fiducia dei cittadini nell’economia digitale e, soprattutto, nella Internet of things che, a rete 5g completata, diventerà un elemento essenziale dell’economia digitale anche con riguardo alle auto a guida autonoma e al contesto complessivo delle c.d. smart cities.
Infine, proprio perché l’intento è quello di rafforzare il Mercato digitale e dunque l’area di scambio economico che si vuole regolare e rafforzare anche per incrementare la capacità di competizione della UE nel mondo digitale, si prevede che le nuove regole debbano essere rispettate anche dai fabbricanti di dispositivi operanti in aree esterne alla UE quando questi siano destinata alla EEA e dagli importatori dei relativi apparecchi all’interno di questa area.
Aggirare gli ostacoli di un sistema decisionale troppo lento
L’ultima considerazione riguarda il ricordo agli atti delegati, strumento previsto dal TFUE ma raramente utilizzato alla Commissione, che ora la Commissione sembra voler utilizzare anche per “aggirare” gli ostacoli posti da un sistema decisionale UE troppo lento per far fronte ai mutamenti e ai bisogni dell’epoca digitale.
Si tratta insomma di una “scommessa” che solo l’esperienza ci potrà dire se vinta o no.
Una sfida che riguarda il contenuto degli atti delegati, peraltro ancora non pienamente noto; il processo relativo alla loro definitiva adozione ed entrata in vigore; gli effetti che essi, se adottati in via definitiva, compresa la necessaria individuazione degli standards da adottare e delle Autorità nazionali di vigilanza istituite dagli Stati, potranno avere sulla capacità competitiva dell’Unione e sulla forza regolatoria della Commissione.
Per questo l’annuncio della Commissione dal quale siamo partiti in queste brevi considerazioni merita la massima attenzione: il che spiega anche il contenuto di queste certamente molto sintetiche riflessioni.
