Cyber Resilienza dei prodotti digitali: verso un Regolamento europeo

La Commissione europea fa il punto sul percorso di approvazione di un Regolamento europeo in materia di Cyber-resilienza: dai appresentanti degli Stati membri (Coreper) arriva una posizione comune sulla proposta di regolamento relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali (regolamento sulla Cyber-resilienza) che integri il CyberSecurity-Act .

A quali prodotti digitali si applica? quali requisiti intende fissare in materia di cybersicurezza? Quali sono le responsabilità che fissa per i fabbricanti dei prodotti digitali e quali gli obiettivi finali per il Mercato?

Regolamento sulla ciber-resilienza: per quali prodotti digitali?

il regolamento intende garantire la sicurezza dei prodotti con componenti digitali, quali telecamere per uso domestico, frigoriferi intelligenti, televisori e giocattoli, prima del loro ingresso nel mercato, per garantire un mercato unico digitale sicuro e protetto.

Il regolamento proposto si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o alla rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cibersicurezza in virtù delle norme dell’UE vigenti,, ad esempio i dispositivi medici o i prodotti nei settori dell’aviazione o automobilistico.

Infine, la proposta di regolamento consente anche ai consumatori di tener conto della cibersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali, offrendo agli utenti la possibilità di scegliere in modo consapevole prodotti hardware e software aventi le adeguate caratteristiche di cibersicurezza.

Cyber-resilienza: i requisiti obbligatori dei prodotti digitali sul mercato europeo

I prodotti dell’internet delle cose e gli altri oggetti connessi dovranno rispettare un livello minimo di cibersicurezza quando sono venduti nell’UE, garantendo così che imprese e consumatori siano efficacemente protetti dalle minacce informatiche.

Il progetto di regolamento introduce requisiti obbligatori in materia di cibersicurezza per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell’UE.

Regolamento sulla Cyber-resilienza: responsabilità dei fabbricanti per i prodotti digitali

La posizione comune del Consiglio mantiene l’impostazione generale della proposta della Commissione, in particolare per quanto riguarda:

• le norme volte a riequilibrare la responsabilità in materia di conformità verso i fabbricanti, che sono tenuti a garantire la conformità ai requisiti di sicurezza per i prodotti con elementi digitali immessi sul mercato dell’UE, il che comprende obblighi quali la valutazione dei rischi di cibersicurezza, la dichiarazione di conformità e la cooperazione con le autorità competenti
• i requisiti essenziali per i processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cibersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi
• le misure volte a migliorare la trasparenza in materia di sicurezza dei prodotti hardware e software per i consumatori e gli utenti commerciali e un quadro di vigilanza del mercato per far rispettare tali misure

Le Modifiche al Regolamento sulla Ciber resilienza, apportate dal Consiglio

Il testo del Consiglio modifica varie parti della proposta della Commissione, riguardanti tra l’altro gli aspetti seguenti:

• l’ambito di applicazione della normativa proposta, anche in relazione alle specifiche categorie di prodotti cui si applicherebbero i requisiti del regolamento
• gli obblighi di segnalazione degli incidenti o delle vulnerabilità attivamente sfruttate alle autorità nazionali competenti (gruppi di intervento per la sicurezza informatica in caso di incidente — CSIRT) anziché all’Agenzia dell’UE per la cibersicurezza (ENISA), incaricata di istituire una piattaforma unica di segnalazione
• gli elementi per la determinazione della durata prevista del prodotto da parte dei fabbricanti
• le misure di sostegno alle piccole imprese e alle microimprese
• una dichiarazione semplificata di conformità

Prossime tappe

L’accordo odierno sulla posizione comune del Consiglio (“mandato negoziale”) consentirà alla presidenza spagnola di avviare i negoziati con il Parlamento europeo (“triloghi“) sulla versione definitiva della normativa proposta.

Regolamento sulla Cyber-resilienza: percorso legislativo

L’idea di un Regolamento sulla Cyber-resilienza nasce dal Consiglio che nelle conclusioni del 2 dicembre 2020 sulla cibersicurezza dei dispositivi connessi, ha richiesto di valutare un atto legislativo orizzontale su tutti gli aspetti attinenti alla cibersicurezza dei dispositivi connessi, quali la disponibilità, l’integrità e la riservatezza, e che specifichi anche le condizioni necessarie per l’immissione sul mercato.

L’idea fu rilanciata dalla Presidente Ursula von der Leyen nel suo discorso sullo stato dell’Unione del settembre 2021 e ancora dal Consiglio nelle conclusioni del Consiglio sullo sviluppo della posizione dell’Unione europea in materia di deterrenza informatica, del 23 maggio 2022, in cui si invita la Commissione a proporre requisiti comuni in materia di cibersicurezza per i dispositivi connessi prima della fine del 2022.

Il 15 settembre 2022 la Commissione ha adottato la proposta di regolamento del Parlamento europeo e del Consiglio relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica il regolamento (UE) 2019/1020 (“regolamento sulla ciberresilienza”), che integrerà il quadro dell’UE in materia di cibersicurezza: la direttiva sulla sicurezza delle reti e dell’informazione (direttiva NIS), la direttiva relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS 2) e il regolamento UE sulla cibersicurezza.

Cybersicurezza – leggi anche

Per approfondire i contenuti della Cybersicurezza e gli adeguamenti nazionali, suggeriamo i seguenti articoli di InSic

Cibersicurezza e protezione dei dati: informazione e formazione per il professionista della Security

Come proteggersi da un attacco Hacker?
InSic suggerisce la consultazione del seguente Libro di EPC Editore:

Cybersecurity e cyberwarfare
Caria Giovanni Battista, Iaselli Michele
Libro
Edizione: gennaio 2023

L’opera che vede come curatori e in parte anche autori Michele Iaselli e Giovanni Caria con il coinvolgimento di esperti di sicurezza informatica e giuristi specializzati nel settore, ha come focus la cyberwar intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico la cyberwarfare intesa come attacchi informatici condotti non contro singole aziende, ma contro intere nazioni.

Per formarsi in materia di CyberSecurity, consigliamo il Corso di Istituto informa:

Cyber Security e Cyber Strategy Aziendale
data di inizio 27/06/2023

Corso di formazione che esplora i concetti fondamentali in tema di cyber security anche alla luce dei recenti mutamenti normativi introdotti (es. Direttiva NIS, GDPR, ecc.), con particolare riferimento alle metodologie di valutazione dei rischi ed alle best practices internazionali. 

Valido come Aggiornamento per “Professionista della security”, “DPO”, “HSE Manager” e “Auditor/Esperto 231” certificati da ICMQ/CERSA (8 crediti formativi)