Legge sulla sicurezza informatica: quadro UE per i certificati di sicurezza informatica

In futuro, ci sarà un cosiddetto "European Cybersecurity Certification Group" e uno "Stakeholder Participation Group", attraverso il quale gli stati membri o l'industria possono presentare proposte alla Commissione UE se appare necessaria una certificazione regolamentata a livello europeo per un certo gruppo di prodotti. Se la proposta viene accettata, l'Agenzia europea per la sicurezza informatica (ENISA) elaborerà i dettagli con la partecipazione delle industrie interessate. La Commissione UE ha poi l'ultima parola e il sistema di certificazione diventa valido in tutta Europa.

Da questo momento in poi, i sistemi nazionali perdono la loro validità. Il quadro di certificazione è fondamentalmente volontario, ma il legislatore si riserva il diritto di introdurre un obbligo nel quadro di ulteriori atti legislativi.

Miglioramenti considerati

Nel trilogo, il Parlamento europeo e gli Stati membri hanno anche ottenuto miglioramenti significativi in termini di trasparenza e partecipazione dell'industria. Per esempio, ora è previsto un piano di lavoro pubblico. Tuttavia, un grande difetto di progettazione è stato eliminato solo in modo insufficiente: L'opzione di autodichiarazione del produttore, importante per l'innovazione e l'efficienza, è ora prevista, ma solo per un livello base di sicurezza informatica. In linea di principio, la legge sulla cybersicurezza si basa in gran parte sulla certificazione di terzi, che secondo la VDMA, la Federazione tedesca dell'ingegneria e.V.,  adatto solo in casi eccezionali e altrimenti procedura di valutazione costosa e macchinosa.

La VDMA vede il Cybersecurity Act solo come un primo passo. Il mercato unico europeo ha invece bisogno di una regolamentazione giuridica uniforme che garantisca lo scambio sicuro dei dati delle aziende e dei prodotti.