Legge sulla ciberresilienza: il Consiglio e il Parlamento raggiungono un accordo sui requisiti di sicurezza per i prodotti digitali
La nuova legge introduce requisiti di cibersicurezza a livello dell’UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software, al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell’UE.
Il regolamento si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o a una rete. Sono previste alcune eccezioni per i prodotti per i quali i requisiti di cibersicurezza sono già stabiliti nelle norme vigenti dell’UE, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili.
La proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la legislazione vigente in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell’Internet delle cose (IoT), siano resi sicuri lungo tutta la catena di approvvigionamento e durante tutto il loro ciclo di vita.
Infine, il regolamento consentirà ai consumatori di tenere conto della cibersicurezza nella selezione e nell’utilizzo di prodotti che contengono elementi digitali, rendendo più facile per loro identificare i prodotti hardware e software con le adeguate caratteristiche di cibersicurezza.
Mantenimento dell’orientamento generale della proposta della Commissione
Il testo concordato in via provvisoria mantiene l’orientamento generale della proposta della Commissione, vale a dire per quanto riguarda:
- norme per riequilibrare la responsabilità della conformità nei confronti dei fabbricanti, che devono adempiere a determinati obblighi quali la fornitura di valutazioni dei rischi per la cibersicurezza, il rilascio di dichiarazioni di conformità e la cooperazione con le autorità competenti
- processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cibersicurezza dei prodotti digitali e obblighi per gli operatori economici, quali importatori o distributori, in relazione a tali processi
- misure volte a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utenti commerciali
- un quadro di vigilanza del mercato per far rispettare le norme.
Principali modifiche dei colegislatori
Tuttavia, i colegislatori propongono vari adeguamenti di alcune parti della proposta della Commissione, principalmente per quanto riguarda:
- l’ambito di applicazione della legislazione proposta, con una metodologia più semplice per la classificazione dei prodotti digitali che rientreranno nell’ambito di applicazione del nuovo regolamento
- la determinazione della durata di vita prevista del prodotto da parte dei fabbricanti: sebbene rimanga il principio che il periodo di supporto per un prodotto digitale corrisponda alla sua durata di vita prevista, è indicato un periodo di supporto di almeno cinque anni, ad eccezione dei prodotti che dovrebbero essere utilizzati per un periodo di tempo più breve
- gli obblighi di segnalazione relativi alle vulnerabilità e agli incidenti sfruttati attivamente: le autorità nazionali competenti saranno i destinatari iniziali di tali segnalazioni, ma il ruolo dell’Agenzia dell’UE per la cibersicurezza (ENISA) è rafforzato
- Le nuove norme si applicheranno tre anni dopo l’entrata in vigore della legge, il che dovrebbe dare ai produttori il tempo sufficiente per adeguarsi ai nuovi requisiti
- Sono state concordate ulteriori misure di sostegno per le piccole e microimprese, tra cui specifiche attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e valutazione della conformità.
