INNOVAZIONE

Cyber-resilienza, accordo Parlamento-Consiglio Ue sulle nuove regole: prodotti digitali più duraturi

Il pacchetto introduce requisiti di sicurezza per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di hardware e software. Il ministro spagnolo Escrivà: “Una tappa importante verso un mercato unico sicuro”

Pubblicato il 01 Dic 2023

europa-commissione-170828155452

Inizia a prendere forma il Regolamento europeo sulla Cyber-resilienza: la presidenza del Consiglio e i negoziatori del Parlamento europeo hanno infatti raggiunto un accordo provvisorio sulla proposta legislativa relativa ai requisiti di cybersicurezza per i prodotti con elementi digitali, che mira a garantire che prodotti quali fotocamere domestiche connesse, frigoriferi, televisori e giocattoli siano sicuri prima della loro immissione sul mercato.

Prodotti digitali sicuri lungo tutta la catena di approvvigionamento

Il nuovo regolamento, che si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete, introduce requisiti di cybersicurezza a livello di Ue per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell’Ue. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cybersicurezza in virtù delle norme dell’Ue vigenti, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili.

WHITEPAPER
Supply chain planning: una guida ai trend delle migliori soluzioni del 2023 secondo Gartner
Eprocurement
Esourcing

La proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la normativa in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell’internet delle cose, siano resi sicuri lungo l’intera catena di approvvigionamento e per tutto il ciclo di vita. Infine, il regolamento consentirà ai consumatori di tener conto della cybersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali rendendo più facile individuare prodotti hardware e software con caratteristiche di cybersicurezza adeguate.

Mantenuta l’impostazione proposta dalla Commissione

Il testo concordato in via provvisoria mantiene l’impostazione generale della proposta della Commissione, in particolare per quanto riguarda le norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti (che devono rispettare determinati obblighi, quali la fornitura di valutazioni dei rischi di cybersicurezza, il rilascio di dichiarazioni di conformità e la collaborazione con le autorità competenti); i processi di gestione delle vulnerabilità per i fabbricanti (al fine di garantire la cybersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi); le misure intese a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utilizzatori commerciali; un quadro di vigilanza del mercato ai fini dell’applicazione delle norme.

Principali modifiche dei colegislatori

I colegislatori hanno comunque apportato alcune modifiche, soprattutto per quanto concerne l’ambito di applicazione della normativa proposta (con una metodologia più semplice per la classificazione dei prodotti digitali che saranno disciplinati dal nuovo regolamento); la determinazione della durata prevista del prodotto da parte dei fabbricanti (anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno di almeno cinque anni, tranne per i prodotti che dovrebbero essere utilizzati per un periodo più breve); gli obblighi di segnalazione relativi alle vulnerabilità attivamente sfruttate e agli incidenti (le autorità nazionali competenti saranno le prime destinatarie di tali segnalazioni, ma è stato rafforzato il ruolo dell’Agenzia dell’Ue per la cybersicurezza).

Le nuove norme si applicheranno tre anni dopo l’entrata in vigore del regolamento, il che dovrebbe dare ai fabbricanti tempo sufficiente per adeguarsi ai nuovi requisiti. Nel quadro sono state concordate ulteriori misure di sostegno per le piccole imprese e microimprese, comprese specifiche attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e di valutazione della conformità.

Ora al lavoro sui dettagli

In seguito all’accordo provvisorio, nelle prossime settimane proseguiranno i lavori a livello tecnico per definire i dettagli del nuovo regolamento. La presidenza spagnola sottoporrà il testo di compromesso ai rappresentanti degli Stati membri (Coreper) per approvazione una volta conclusi i lavori.

Tappa importante verso un mercato unico digitale sicuro

“L’accordo odierno è una tappa importante verso un mercato unico digitale sicuro e protetto in Europa – afferma José Luis Escrivá, ministro spagnolo della Trasformazione digitale -. I dispositivi connessi hanno bisogno di un livello base di cybersicurezza quando sono venduti nell’UE, in modo da garantire che imprese e consumatori siano adeguatamente protetti dalle minacce informatiche. È esattamente questo che il regolamento sulla ciberresilienza conseguirà una volta entrato in vigore”.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articolo 1 di 3