Cyber Resilience Act alle battute finali. Il regolamento si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete.
Parlamento e Consiglio europeo hanno raggiunto un accordo provvisorio sul Cyber Resilience Act, la legge proposta dalla Commissione a settembre 2022 che prevede una serie di requisiti di sicurezza per i prodotti digitali a vantaggio di cittadini e aziende. Rispetto al testo originario sono state apportate alcune modifiche.
Cyber Resilience Act: obiettivi principali del nuovo regolamento
Secondo i dati evidenziati dalla Commissione, gli attacchi ransomware colpiscono un’organizzazione ogni 11 secondi in tutto il mondo e il costo annuale globale stimato della criminalità informatica ha raggiunto nel 2021 i 5,5 trilioni di euro. Il nuovo regolamento introduce requisiti di cibersicurezza a livello di UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell’UE.
Il regolamento si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cibersicurezza in virtù delle norme dell’UE vigenti,, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili. La proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la normativa in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell’internet delle cose, siano resi sicuri lungo l’intera catena di approvvigionamento e per tutto il ciclo di vita.
Infine, il regolamento consentirà ai consumatori di tener conto della cibersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali rendendo più facile individuare prodotti hardware e software con caratteristiche di cibersicurezza adeguate.
Principali modifiche apportate
I colegislatori propongono tuttavia varie modifiche a parti della proposta della Commissione, soprattutto per quanto concerne:
- l’ambito di applicazione della normativa proposta, con una metodologia più semplice per la classificazione dei prodotti digitali che saranno disciplinati dal nuovo regolamento
- la determinazione della durata prevista del prodotto da parte dei fabbricanti: anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno di almeno cinque anni, tranne per i prodotti che dovrebbero essere utilizzati per un periodo più breve
- gli obblighi di segnalazione relativi alle vulnerabilità attivamente sfruttate e agli incidenti: le autorità nazionali competenti saranno le prime destinatarie di tali segnalazioni, ma è stato rafforzato il ruolo dell’Agenzia dell’UE per la cibersicurezza (ENISA)
- le nuove norme si applicheranno tre anni dopo l’entrata in vigore del regolamento, il che dovrebbe dare ai fabbricanti tempo sufficiente per adeguarsi ai nuovi requisiti
- sono state concordate ulteriori misure di sostegno per le piccole imprese e microimprese, comprese specifiche attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e di valutazione della conformità
Prossime tappe
“L’accordo è una tappa importante verso un mercato unico digitale sicuro e protetto in Europa. I dispositivi connessi hanno bisogno di un livello base di cibersicurezza quando sono venduti nell’UE, in modo da garantire che imprese e consumatori siano adeguatamente protetti dalle minacce informatiche. È esattamente questo che il regolamento sulla ciberresilienza conseguirà una volta entrato in vigore”, ha dichiarato José Luis Escrivá, ministro spagnolo della Trasformazione digitale.
In seguito all’accordo provvisorio raggiunto il 30 novembre, nelle prossime settimane proseguiranno i lavori a livello tecnico per definire i dettagli del nuovo regolamento. La presidenza spagnola sottoporrà il testo di compromesso ai rappresentanti degli Stati membri (Coreper) per approvazione una volta conclusi i lavori. Il testo integrale dovrà essere confermato da entrambe le istituzioni e sottoposto alla messa a punto giuridico-linguistica prima dell’adozione formale da parte dei colegislatori.
Dopo gli ultimi passaggi formali, il testo del nuovo Regolamento entrerà ufficialmente in vigore e sarà applicabile dopo 3 anni, per consentire ai diversi soggetti chiamati in causa di adeguarsi.