Il Cyber Resilience Act dell’Unione Europea compie un nuovo passo in avanti: dal Consiglio Ue è arrivato il primo sì alla propria posizione negoziale sul sistema di norme che hanno l’obiettivo di garantire la sicurezza dei prodotti con componenti digitali, quali telecamere per uso domestico, frigoriferi intelligenti, televisori e giocattoli, prima del loro ingresso nel mercato.
Le norme in discussione stabiliranno una serie uniforme di requisiti di cybersicurezza per tutti i prodotti digitali nell’Unione europea. Gli eurodeputati hanno proposto definizioni più precise, tempi di applicazione e una “più equa distribuzione delle responsabilità”.
Il testo approvato inserisce i prodotti in elenchi diversi in base alla loro criticità e al livello di rischio per la sicurezza informatica che rappresentano.
I deputati hanno inoltre chiesto di ampliare questo elenco a prodotti come software per sistemi di gestione delle identità, gestori di password, lettori biometrici, assistenti domestici intelligenti, smartwatch e telecamere di sicurezza private. I prodotti dovrebbero anche avere aggiornamenti di sicurezza installati automaticamente e separatamente da quelli funzionali, si stabilisce nel testo approvato.
Obiettivi
Il progetto di regolamento introduce requisiti obbligatori di cybersicurezza per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diverse normative negli Stati membri dell’UE.
Il regolamento proposto si applicherà a tutti i prodotti che sono connessi direttamente o indirettamente a un altro dispositivo o a una rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cybersicurezza previsti dalle norme dell’UE vigenti, ad esempio i dispositivi medici o i prodotti nei settori dell’aviazione o automobilistici.
La proposta mira a colmare le lacune, a chiarire i collegamenti e a rendere più coerente la normativa in vigore in materia di cybersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell’internet delle cose, diventino sicuri lungo l’intera catena di approvvigionamento e per tutto il ciclo di vita.
Infine, la proposta di regolamento consente anche ai consumatori di tener conto della cybersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali, offrendo agli utenti la possibilità di scegliere in modo consapevole prodotti hardware e software aventi le adeguate caratteristiche di sicurezza.
Principali elementi mantenuti dalla proposta della Commissione
La posizione comune del Consiglio mantiene l’impostazione generale della proposta della Commissione, in particolare per quanto riguarda:
— le norme volte a riequilibrare la responsabilità in materia di conformità verso i fabbricanti, che sono tenuti a garantire la conformità ai requisiti di sicurezza per i prodotti con elementi digitali immessi sul mercato dell’UE, il che comprende obblighi quali la valutazione dei rischi di cybersicurezza, la dichiarazione di conformità e la cooperazione con le autorità competenti
— i requisiti essenziali per i processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cybersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi
— le misure volte a migliorare la trasparenza in materia di sicurezza dei prodotti hardware e software per i consumatori e gli utenti commerciali e un quadro di vigilanza del mercato per far rispettare tali misure
Modifiche apportate dal Consiglio
Il testo del Consiglio modifica varie parti della proposta della Commissione, riguardanti tra l’altro gli aspetti seguenti:
— l’ambito di applicazione della normativa proposta, anche in relazione alle specifiche categorie di prodotti cui si applicherebbero i requisiti del regolamento
— gli obblighi di segnalazione degli incidenti o delle vulnerabilità attivamente sfruttate alle autorità nazionali competenti (gruppi di intervento per la sicurezza informatica in caso di incidente — CSIRT) anziché all’Agenzia dell’UE per la cybersicurezza (ENISA), incaricata di istituire una piattaforma unica di segnalazione
— gli elementi per la determinazione della durata prevista del prodotto da parte dei fabbricanti
— le misure di sostegno alle piccole imprese e alle microimprese
— una dichiarazione semplificata di conformità
Prossime tappe
L’accordo sulla posizione comune del Consiglio (“mandato negoziale”) consentirà alla presidenza spagnola di avviare i negoziati con il Parlamento europeo (“triloghi”) sulla versione definitiva della normativa proposta.
“L’accordo raggiunto oggi in sede di Consiglio merita di essere celebrato. Si tratta di un accordo che porta avanti l’impegno dell’UE a favore di un mercato unico digitale sicuro e protetto. I prodotti dell’internet delle cose e gli altri oggetti connessi devono rispettare un livello minimo di cibersicurezza quando sono venduti nell’UE, garantendo così che imprese e consumatori siano efficacemente protetti dalle minacce informatiche. È un traguardo importante per la presidenza spagnola e ci auguriamo di portare avanti i negoziati con il Parlamento il più possibile”, ha commentato Carme Artigas Brugal, Segretario di Stato per la digitalizzazione e l’intelligenza artificiale.
https://www.cybersecitalia.it/cyber-resilience-act-arriva-il-primo-si-dal-parlamento-ue/25916/
