NEWS

Accordo raggiunto per il Cyber Resilience Act

Il 30 novembre 2023, Presidenza del Consiglio UE e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta legislativa relativa ai requisiti di cibersicurezza per i prodotti con elementi digitali, che mira a garantire che prodotti quali fotocamere domestiche connesse, frigoriferi, televisori e giocattoli siano sicuri prima della loro immissione sul mercato (regolamento sulla ciberresilienza).

Accordo raggiunto per il Cyber Resilience Act

Il nuovo regolamento introduce requisiti di cibersicurezza a livello di UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell'UE.

Il regolamento si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cibersicurezza in virtù delle norme dell'UE vigenti, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili.

La proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la normativa in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell'Internet delle cose, siano resi sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita.

Infine, il regolamento consentirà ai consumatori di tener conto della cibersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali rendendo più facile individuare prodotti hardware e software con caratteristiche di cibersicurezza adeguate.

Il testo concordato in via provvisoria mantiene l'impostazione generale della proposta della Commissione, in particolare per quanto riguarda:

- norme volte a riequilibrare l'assunzione di responsabilità in materia di conformità verso i fabbricanti, che devono rispettare determinati obblighi, quali la fornitura di valutazioni dei rischi di cibersicurezza, il rilascio di dichiarazioni di conformità e la collaborazione con le autorità competenti;
- i processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cibersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi;
- misure intese a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utilizzatori commerciali;
- un quadro di vigilanza del mercato ai fini dell'applicazione delle norme.

I colegislatori propongono tuttavia varie modifiche a parti della proposta della Commissione, soprattutto per quanto concerne:

- l'ambito di applicazione della normativa proposta, con una metodologia più semplice per la classificazione dei prodotti digitali che saranno disciplinati dal nuovo regolamento;
- la determinazione della durata prevista del prodotto da parte dei fabbricanti: anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno di almeno cinque anni, tranne per i prodotti che dovrebbero essere utilizzati per un periodo più breve;
- gli obblighi di segnalazione relativi alle vulnerabilità attivamente sfruttate e agli incidenti: le autorità nazionali competenti saranno le prime destinatarie di tali segnalazioni, ma è stato rafforzato il ruolo dell'Agenzia dell'UE per la cibersicurezza (ENISA) che sarà coinvolta in caso di incidenti informatici, ricevendo tempestive informazioni dagli Stati membri per valutare e gestire i rischi.

Le nuove norme si applicheranno tre anni dopo l'entrata in vigore del regolamento, il che dovrebbe dare ai fabbricanti tempo sufficiente per adeguarsi ai nuovi requisiti e sono state concordate ulteriori misure di sostegno per le piccole imprese e microimprese, comprese specifiche attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e di valutazione della conformità

Si ricorda che il regolamento sulla ciberresilienza, basato sulla strategia dell'UE in materia di cibersicurezza del 2020 e sulla strategia dell'UE per l'Unione della sicurezza del 2020, è stato annunciato nel discorso sullo stato dell'Unione del 2021, nell'ambito del piano per costruire un'Europa pronta per l'era digitale, e integrerà la legislazione esistente, in particolare il quadro NIS2 adottato nel 2022.

La legge sulla ciberresilienza è la prima normativa di questo tipo al mondo. Ovviamente migliorerà il livello di sicurezza informatica dei prodotti digitali a vantaggio dei consumatori e delle imprese di tutta l'UE, grazie all'introduzione di proporzionati requisiti obbligatori in materia di cibersicurezza per tutti i prodotti hardware e software, dai baby monitor, agli smart watch e ai giochi per computer, ai firewall e ai router.

Una volta adottato il regolamento i fabbricanti di hardware e software dovranno, quindi, attuare misure di cibersicurezza durante l'intero ciclo di vita del prodotto, dalla progettazione allo sviluppo, come pure dopo la sua immissione sul mercato. I prodotti software e hardware dovranno recare la marcatura CE, che indica la loro conformità ai requisiti del regolamento, per poter essere venduti nell'UE.Di conseguenza sarà necessaria una certificazione specifica per i fornitori secondo le norme del Regolamento UE 2019/881 sulla cybersicurezza.

L'accordo raggiunto deve ancora essere approvato formalmente dal Parlamento europeo e dal Consiglio. Una volta adottato, il regolamento sulla ciberresilienza entrerà in vigore il 20° giorno successivo alla pubblicazione nella Gazzetta ufficiale.

Dall'entrata in vigore i fabbricanti, gli importatori e i distributori di prodotti hardware e software disporranno di 36 mesi per adeguarsi alle nuove prescrizioni, ma per quanto riguarda l'obbligo di comunicazione in caso di incidenti e vulnerabilità il periodo di tolleranza è più limitato, pari a 21 mesi.

Note Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Prev Da una norma ISO le indicazioni per gestire la continuità operativa quando un’emergenza colpisce i dati aziendali
Next L’Italia tra i primi Paesi UE a riconoscere per legge il diritto all’oblio oncologico

Privacy Day Forum 2023: Smartphone usati & Privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy