Cyber Resilience Act, raggiunto l'accordo

Come è noto, lo scorso 30 novembre, Presidenza del Consiglio UE e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta legislativa relativa ai requisiti di cibersicurezza per i prodotti con elementi digitali, che mira a garantire che prodotti quali fotocamere domestiche connesse, frigoriferi, televisori e giocattoli siano sicuri prima della loro immissione sul mercato (regolamento sulla ciberresilienza).

Il nuovo regolamento introduce requisiti di cibersicurezza a livello di UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell'UE.

Il regolamento si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cibersicurezza in virtù delle norme dell'UE vigenti, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili.

Gli obiettivi della proposta

La proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la normativa in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell'Internet delle cose, siano resi sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita.

Il regolamento consentirà ai consumatori di tener conto della cibersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali rendendo più facile individuare prodotti hardware e software con caratteristiche di cibersicurezza adeguate.

Il testo concordato in via provvisoria mantiene l'impostazione generale della proposta della Commissione, in particolare per quanto riguarda:

- norme volte a riequilibrare l'assunzione di responsabilità in materia di conformità verso i fabbricanti, che devono rispettare determinati obblighi, quali la fornitura di valutazioni dei rischi di cibersicurezza, il rilascio di dichiarazioni di conformità e la collaborazione con le autorità competenti;

- i processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cibersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi;

- misure intese a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utilizzatori commerciali;

- un quadro di vigilanza del mercato ai fini dell'applicazione delle norme.

Alcune modifiche

I colegislatori propongono tuttavia varie modifiche a parti della proposta della Commissione, soprattutto per quanto concerne:

- l'ambito di applicazione della normativa proposta, con una metodologia più semplice per la classificazione dei prodotti digitali che saranno disciplinati dal nuovo regolamento;

- la determinazione della durata prevista del prodotto da parte dei fabbricanti: anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno di almeno cinque anni, tranne per i prodotti che dovrebbero essere utilizzati per un periodo più breve;

- gli obblighi di segnalazione relativi alle vulnerabilità attivamente sfruttate e agli incidenti: le autorità nazionali competenti saranno le prime destinatarie di tali segnalazioni, ma è stato rafforzato il ruolo dell'Agenzia dell'UE per la cibersicurezza (ENISA) che sarà coinvolta in caso di incidenti informatici, ricevendo tempestive informazioni dagli Stati membri per valutare e gestire i rischi.

I tempi per adeguarsi ai nuovi requisiti

Le nuove norme si applicheranno tre anni dopo l'entrata in vigore del regolamento, il che dovrebbe dare ai fabbricanti tempo sufficiente per adeguarsi ai nuovi requisiti e sono state concordate ulteriori misure di sostegno per le piccole imprese e microimprese, comprese specifiche attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e di valutazione della conformità

Si ricorda che il regolamento sulla ciberresilienza, basato sulla strategia dell'UE in materia di cybersicurezza del 2020 e sulla strategia dell'UE per l'Unione della sicurezza del 2020, è stato annunciato nel discorso sullo stato dell'Unione del 2021, nell'ambito del piano per costruire un'Europa pronta per l'era digitale, e integrerà la legislazione esistente, in particolare il quadro NIS2 adottato nel 2022.

La legge sulla ciberresilienza è la prima normativa di questo tipo al mondo. Ovviamente migliorerà il livello di sicurezza informatica dei prodotti digitali a vantaggio dei consumatori e delle imprese di tutta l'UE, grazie all'introduzione di proporzionati requisiti obbligatori in materia di cibersicurezza per tutti i prodotti hardware e software, dai baby monitor, agli smart watch e ai giochi per computer, ai firewall e ai router.

Misure di cibersicurezza durante l'intero ciclo di vita del prodotto

Una volta adottato il regolamento i fabbricanti di hardware e software dovranno, quindi, attuare misure di cibersicurezza durante l'intero ciclo di vita del prodotto, dalla progettazione allo sviluppo, come pure dopo la sua immissione sul mercato. I prodotti software e hardware dovranno recare la marcatura CE, che indica la loro conformità ai requisiti del regolamento, per poter essere venduti nell'UE.Di conseguenza sarà necessaria una certificazione specifica per i fornitori secondo le norme del Regolamento UE 2019/881 sulla cibersicurezza.

L'accordo raggiunto deve ancora essere approvato formalmente dal Parlamento europeo e dal Consiglio. Una volta adottato, il regolamento sulla ciberresilienza entrerà in vigore il 20° giorno successivo alla pubblicazione nella Gazzetta ufficiale.

Dall'entrata in vigore i fabbricanti, gli importatori e i distributori di prodotti hardware e software disporranno di 36 mesi per adeguarsi alle nuove prescrizioni, ma per quanto riguarda l'obbligo di comunicazione in caso di incidenti e vulnerabilità il periodo di tolleranza è più limitato, pari a 21 mesi.

Articolo di Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy (è stato uno degli speaker al Cyber & Privacy Forum 2023)