Il Consiglio e il Parlamento europeo hanno raggiunto un accordo sul Cyber Resilience Act, il regolamento europeo sulla cyber resilienza che introduce requisiti di cyber security per tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete, con alcune eccezioni (come i dispositivi medici, prodotti aeronautici e le automobili).
Il nuovo regolamento introduce requisiti di cibersicurezza a livello di UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell’UE, tutelare i consumatori e assicurare la sicurezza dei prodotti digitali lungo tutta la supply chain.
Nello specifico, il testo introduce norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti, che devono rispettare determinati obblighi, quali la fornitura di valutazioni dei rischi di cibersicurezza, il rilascio di dichiarazioni di conformità e la collaborazione con le autorità competenti.
Definisce, inoltre, i processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cibersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi
Infine, introduce misure intese a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utilizzatori commerciali un quadro di vigilanza del mercato ai fini dell’applicazione delle norme
Le novità rispetto alla proposta originale della Commissione
Il testo approvato dal Consiglio e dal Pe mantiene quindi l’impostazione originale della proposta della Commissione. Il testo aveva, tuttavia, subito già alcune modifiche a seguito della discussione interna tra i rappresentanti degli Stati UE. Il testo che ne era risultato aveva dato via al negoziato tra Consiglio e Parlamento.
Il testo dell’accordo tra i due co-legislatori europei presenta delle modifiche rispetto alla proposta originale della Commissione, rispetto a:
- l’ambito di applicazione della normativa proposta, con una metodologia più semplice per la classificazione dei prodotti digitali che saranno disciplinati dal nuovo regolamento
- la determinazione della durata prevista del prodotto da parte dei fabbricanti. Anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno di almeno cinque anni, tranne per i prodotti che dovrebbero essere utilizzati per un periodo più breve
- gli obblighi di segnalazione relativi alle vulnerabilità attivamente sfruttate e agli incidenti. Le autorità nazionali competenti saranno le prime destinatarie di tali segnalazioni, ma è stato rafforzato il ruolo dell’Agenzia dell’UE per la cibersicurezza (ENISA)
- periodo di applicazione delle norme. Le nuove norme si applicheranno tre anni dopo l’entrata in vigore del regolamento, il che dovrebbe dare ai fabbricanti tempo sufficiente per adeguarsi ai nuovi requisiti
- sostengo alle PMI. I co-legislatori hanno concordato ulteriori misure di sostegno per le piccole imprese e microimprese, comprese specifiche attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e di valutazione della conformità
In seguito all’accordo provvisorio raggiunto oggi, nelle prossime settimane proseguiranno i lavori a livello tecnico per definire i dettagli del nuovo regolamento. La presidenza spagnola sottoporrà il testo di compromesso ai rappresentanti degli Stati membri (Coreper) per approvazione una volta conclusi i lavori.
Il testo integrale dovrà essere confermato da entrambe le istituzioni e sottoposto alla messa a punto giuridico-linguistica prima dell’adozione formale da parte dei co-legislatori.