NEWS

 

Accordo raggiunto per il Cyber Resilience Act

Il 30 novembre 2023, Presidenza del Consiglio UE e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta legislativa relativa ai requisiti di cibersicurezza per i prodotti con elementi digitali, che mira a garantire che prodotti quali fotocamere domestiche connesse, frigoriferi, televisori e giocattoli siano sicuri prima della loro immissione sul mercato (regolamento sulla ciberresilienza).

Accordo raggiunto per il Cyber Resilience Act

Il nuovo regolamento introduce requisiti di cibersicurezza a livello di UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell'UE.

Il regolamento si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cibersicurezza in virtù delle norme dell'UE vigenti, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili.

La proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la normativa in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell'Internet delle cose, siano resi sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita.

Infine, il regolamento consentirà ai consumatori di tener conto della cibersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali rendendo più facile individuare prodotti hardware e software con caratteristiche di cibersicurezza adeguate.

Il testo concordato in via provvisoria mantiene l'impostazione generale della proposta della Commissione, in particolare per quanto riguarda:

- norme volte a riequilibrare l'assunzione di responsabilità in materia di conformità verso i fabbricanti, che devono rispettare determinati obblighi, quali la fornitura di valutazioni dei rischi di cibersicurezza, il rilascio di dichiarazioni di conformità e la collaborazione con le autorità competenti;
- i processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cibersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi;
- misure intese a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utilizzatori commerciali;
- un quadro di vigilanza del mercato ai fini dell'applicazione delle norme.

I colegislatori propongono tuttavia varie modifiche a parti della proposta della Commissione, soprattutto per quanto concerne:

- l'ambito di applicazione della normativa proposta, con una metodologia più semplice per la classificazione dei prodotti digitali che saranno disciplinati dal nuovo regolamento;
- la determinazione della durata prevista del prodotto da parte dei fabbricanti: anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno di almeno cinque anni, tranne per i prodotti che dovrebbero essere utilizzati per un periodo più breve;
- gli obblighi di segnalazione relativi alle vulnerabilità attivamente sfruttate e agli incidenti: le autorità nazionali competenti saranno le prime destinatarie di tali segnalazioni, ma è stato rafforzato il ruolo dell'Agenzia dell'UE per la cibersicurezza (ENISA) che sarà coinvolta in caso di incidenti informatici, ricevendo tempestive informazioni dagli Stati membri per valutare e gestire i rischi.

Le nuove norme si applicheranno tre anni dopo l'entrata in vigore del regolamento, il che dovrebbe dare ai fabbricanti tempo sufficiente per adeguarsi ai nuovi requisiti e sono state concordate ulteriori misure di sostegno per le piccole imprese e microimprese, comprese specifiche attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e di valutazione della conformità

Si ricorda che il regolamento sulla ciberresilienza, basato sulla strategia dell'UE in materia di cibersicurezza del 2020 e sulla strategia dell'UE per l'Unione della sicurezza del 2020, è stato annunciato nel discorso sullo stato dell'Unione del 2021, nell'ambito del piano per costruire un'Europa pronta per l'era digitale, e integrerà la legislazione esistente, in particolare il quadro NIS2 adottato nel 2022.

La legge sulla ciberresilienza è la prima normativa di questo tipo al mondo. Ovviamente migliorerà il livello di sicurezza informatica dei prodotti digitali a vantaggio dei consumatori e delle imprese di tutta l'UE, grazie all'introduzione di proporzionati requisiti obbligatori in materia di cibersicurezza per tutti i prodotti hardware e software, dai baby monitor, agli smart watch e ai giochi per computer, ai firewall e ai router.

Una volta adottato il regolamento i fabbricanti di hardware e software dovranno, quindi, attuare misure di cibersicurezza durante l'intero ciclo di vita del prodotto, dalla progettazione allo sviluppo, come pure dopo la sua immissione sul mercato. I prodotti software e hardware dovranno recare la marcatura CE, che indica la loro conformità ai requisiti del regolamento, per poter essere venduti nell'UE.Di conseguenza sarà necessaria una certificazione specifica per i fornitori secondo le norme del Regolamento UE 2019/881 sulla cybersicurezza.

L'accordo raggiunto deve ancora essere approvato formalmente dal Parlamento europeo e dal Consiglio. Una volta adottato, il regolamento sulla ciberresilienza entrerà in vigore il 20° giorno successivo alla pubblicazione nella Gazzetta ufficiale.

Dall'entrata in vigore i fabbricanti, gli importatori e i distributori di prodotti hardware e software disporranno di 36 mesi per adeguarsi alle nuove prescrizioni, ma per quanto riguarda l'obbligo di comunicazione in caso di incidenti e vulnerabilità il periodo di tolleranza è più limitato, pari a 21 mesi.

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Articoli correlati

Prev Da una norma ISO le indicazioni per gestire la continuità operativa quando un’emergenza colpisce i dati aziendali
Next L’Italia tra i primi Paesi UE a riconoscere per legge il diritto all’oblio oncologico

Galleria Video

Privacy Day Forum: il servizio di Ansa

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su Linkedin

Argomenti in evidenza