Inizia a prendere forma il Regolamento europeo sulla Cyber-resilienza: la presidenza del Consiglio e i negoziatori del Parlamento europeo hanno infatti raggiunto un accordo provvisorio sulla proposta legislativa relativa ai requisiti di cybersicurezza per i prodotti con elementi digitali, che mira a garantire che prodotti quali fotocamere domestiche connesse, frigoriferi, televisori e giocattoli siano sicuri prima della loro immissione sul mercato.
Prodotti digitali sicuri lungo tutta la catena di approvvigionamento
Il nuovo regolamento, che si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete, introduce requisiti di cybersicurezza a livello di Ue per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell’Ue. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cybersicurezza in virtù delle norme dell’Ue vigenti, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili.
La proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la normativa in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell’internet delle cose, siano resi sicuri lungo l’intera catena di approvvigionamento e per tutto il ciclo di vita. Infine, il regolamento consentirà ai consumatori di tener conto della cybersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali rendendo più facile individuare prodotti hardware e software con caratteristiche di cybersicurezza adeguate.
Mantenuta l’impostazione proposta dalla Commissione
Il testo concordato in via provvisoria mantiene l’impostazione generale della proposta della Commissione, in particolare per quanto riguarda le norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti (che devono rispettare determinati obblighi, quali la fornitura di valutazioni dei rischi di cybersicurezza, il rilascio di dichiarazioni di conformità e la collaborazione con le autorità competenti); i processi di gestione delle vulnerabilità per i fabbricanti (al fine di garantire la cybersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi); le misure intese a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utilizzatori commerciali; un quadro di vigilanza del mercato ai fini dell’applicazione delle norme.
Principali modifiche dei colegislatori
I colegislatori hanno comunque apportato alcune modifiche, soprattutto per quanto concerne l’ambito di applicazione della normativa proposta (con una metodologia più semplice per la classificazione dei prodotti digitali che saranno disciplinati dal nuovo regolamento); la determinazione della durata prevista del prodotto da parte dei fabbricanti (anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno di almeno cinque anni, tranne per i prodotti che dovrebbero essere utilizzati per un periodo più breve); gli obblighi di segnalazione relativi alle vulnerabilità attivamente sfruttate e agli incidenti (le autorità nazionali competenti saranno le prime destinatarie di tali segnalazioni, ma è stato rafforzato il ruolo dell’Agenzia dell’Ue per la cybersicurezza).
Le nuove norme si applicheranno tre anni dopo l’entrata in vigore del regolamento, il che dovrebbe dare ai fabbricanti tempo sufficiente per adeguarsi ai nuovi requisiti. Nel quadro sono state concordate ulteriori misure di sostegno per le piccole imprese e microimprese, comprese specifiche attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e di valutazione della conformità.
Ora al lavoro sui dettagli
In seguito all’accordo provvisorio, nelle prossime settimane proseguiranno i lavori a livello tecnico per definire i dettagli del nuovo regolamento. La presidenza spagnola sottoporrà il testo di compromesso ai rappresentanti degli Stati membri (Coreper) per approvazione una volta conclusi i lavori.
Tappa importante verso un mercato unico digitale sicuro
“L’accordo odierno è una tappa importante verso un mercato unico digitale sicuro e protetto in Europa – afferma José Luis Escrivá, ministro spagnolo della Trasformazione digitale -. I dispositivi connessi hanno bisogno di un livello base di cybersicurezza quando sono venduti nell’UE, in modo da garantire che imprese e consumatori siano adeguatamente protetti dalle minacce informatiche. È esattamente questo che il regolamento sulla ciberresilienza conseguirà una volta entrato in vigore”.