I rappresentanti dei Paesi UE hanno raggiunto l’accordo sul Cyber Resilience Act, la proposta di regolamento relativa ai requisiti orizzontali di cybersecurity per i prodotti con elementi digitali.
La normativa europea mira a garantire che i prodotti con componenti digitali, come telecamere domestiche connesse, frigoriferi intelligenti, TV e giocattoli, siano sicuri prima di essere immessi sul mercato.
Indice degli argomenti
Prodotti smart più sicuri lungo tutta la supply chain europea
La proposta di regolamento introduce requisiti obbligatori di sicurezza informatica per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software, al fine di evitare la sovrapposizione di requisiti derivanti da diverse legislazioni degli Stati membri dell’UE.
Quando approvato definitivamente, il Cyber Resilience Act si applicherà a tutti i prodotti che sono collegati direttamente o indirettamente a un altro dispositivo o rete.
Sono previste alcune eccezioni per i prodotti per i quali i requisiti di cybersecurity sono già definiti nelle norme UE esistenti, ad esempio per i dispositivi medici, l’aviazione o le automobili.
La proposta mira a colmare le lacune sulla disciplina, a chiarire i collegamenti e a rendere più coerente la legislazione esistente in materia di cybersecurity, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell’Internet of Things (IoT), diventino sicuri lungo l’intera catena di fornitura e per tutto il loro ciclo di vita.
Inoltre, il Cyber Resilience Act consentirà anche ai consumatori di prendere in considerazione la cybersecurity nella scelta e nell’utilizzo di prodotti che contengono elementi digitali, offrendo agli utenti l’opportunità di scegliere con cognizione di causa prodotti hardware e software con le adeguate caratteristiche di cybersecurity.
Che cosa prevede il Cyber Resilience Act
La posizione comune raggiunta dai rappresentanti degli Stati membri mantiene diversi punti saldi della proposta di regolamento presentata dalla Commissione lo scorso anno.
Nello specifico, il testo concordato mantiene alcuni delle disposizioni principali, tra cui:
- regole per riequilibrare la responsabilità della conformità verso i produttori, che devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’UE, compresi obblighi come la valutazione del rischio di cybersecurity, la dichiarazione di conformità e la collaborazione con le autorità competenti
- requisiti essenziali per i processi di gestione delle vulnerabilità da parte dei produttori per garantire la sicurezza informatica dei prodotti digitali e obblighi per gli operatori economici, come importatori o distributori, in relazione a tali processi
- misure per migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utenti commerciali, e un quadro di sorveglianza del mercato per far rispettare queste regole
Tuttavia, il testo del Consiglio modifica varie parti della proposta della Commissione, tra cui i seguenti aspetti:
- l’ambito di applicazione della legislazione proposta, anche per quanto riguarda le categorie specifiche di prodotti che dovrebbero essere conformi ai requisiti del regolamento
- obblighi di segnalazione di vulnerabilità o incidenti attivamente sfruttati alle autorità nazionali competenti (“computer security incident response teams” – CSIRT) anziché all’Agenzia dell’UE per la sicurezza informatica (ENISA), con l’istituzione da parte di quest’ultima di una piattaforma di segnalazione unica
- elementi per la determinazione della durata di vita prevista dei prodotti da parte dei produttori misure di sostegno per le piccole e micro imprese una dichiarazione di conformità semplificata
“L’IoT e gli altri oggetti connessi devono essere dotati di un livello di base di sicurezza informatica quando vengono venduti nell’UE, garantendo che le imprese e i consumatori siano effettivamente protetti dalle minacce informatiche. Si tratta di un’importante pietra miliare per la presidenza spagnola e speriamo di portare avanti il più possibile i negoziati con il Parlamento”, commenta Carme Artigas Brugal, Segretario di Stato per la digitalizzazione e l’intelligenza artificiale.
L’accordo raggiunto dà il via al “mandato negoziale” del Consiglio, che ora dovrà intraprendere le negoziazioni con il Parlamento Europeo, per giungere a un testo condiviso.
