Cyber Resilience Act, c’è l’accordo tra Consiglio e Parlamento europeo: il testo verso l’approvazione finale

Il Consiglio e il Parlamento europeo hanno raggiunto un accordo sulla proposta di regolamento europeo sulla ciber-resilienza che introduce requisiti di sicurezza per tutti i prodotti digitali (prodotti connessi direttamente o indirettamente a un altro dispositivo o una rete). Il testo dovrà ora prima essere approvato dai rappresentanti degli Stati membri e, successivamente, confermato da entrambe le istituzioni. Le norme si applicheranno a partire da tre anni dall’entrata in vigore del regolamento.

Pubblicato il 01 Dic 2023

Michelle Crisantemi

Il Consiglio e il Parlamento europeo hanno raggiunto un accordo sul Cyber Resilience Act, il regolamento europeo sulla cyber resilienza che introduce requisiti di cyber security per tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete, con alcune eccezioni (come i dispositivi medici, prodotti aeronautici e le automobili).

Il nuovo regolamento introduce requisiti di cibersicurezza a livello di UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell’UE, tutelare i consumatori e assicurare la sicurezza dei prodotti digitali lungo tutta la supply chain.

Nello specifico, il testo introduce norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti, che devono rispettare determinati obblighi, quali la fornitura di valutazioni dei rischi di cibersicurezza, il rilascio di dichiarazioni di conformità e la collaborazione con le autorità competenti.

Definisce, inoltre, i processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cibersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi

Infine, introduce misure intese a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utilizzatori commerciali un quadro di vigilanza del mercato ai fini dell’applicazione delle norme

Le novità rispetto alla proposta originale della Commissione

Il testo approvato dal Consiglio e dal Pe mantiene quindi l’impostazione originale della proposta della Commissione. Il testo aveva, tuttavia, subito già alcune modifiche a seguito della discussione interna tra i rappresentanti degli Stati UE. Il testo che ne era risultato aveva dato via al negoziato tra Consiglio e Parlamento.

WHITEPAPER

Scopri gli impatti che l’obbligo di DPIA avrà per le aziende e nelle PA. Scarica la guida 2023

Cybersecurity

Legal Risk Management

Inizio modulo

Leggi l'informativa sulla privacy

Email*

  • Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)

Fine modulo

Il testo dell’accordo tra i due co-legislatori europei presenta delle modifiche rispetto alla proposta originale della Commissione, rispetto a:

  • l’ambito di applicazione della normativa proposta, con una metodologia più semplice per la classificazione dei prodotti digitali che saranno disciplinati dal nuovo regolamento
  • la determinazione della durata prevista del prodotto da parte dei fabbricanti. Anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno di almeno cinque anni, tranne per i prodotti che dovrebbero essere utilizzati per un periodo più breve
  • gli obblighi di segnalazione relativi alle vulnerabilità attivamente sfruttate e agli incidenti. Le autorità nazionali competenti saranno le prime destinatarie di tali segnalazioni, ma è stato rafforzato il ruolo dell’Agenzia dell’UE per la cibersicurezza (ENISA)
  • periodo di applicazione delle norme. Le nuove norme si applicheranno tre anni dopo l’entrata in vigore del regolamento, il che dovrebbe dare ai fabbricanti tempo sufficiente per adeguarsi ai nuovi requisiti
  • sostengo alle PMI. I co-legislatori hanno concordato ulteriori misure di sostegno per le piccole imprese e microimprese, comprese specifiche attività di sensibilizzazione e formazione, nonché il sostegno alle procedure di prova e di valutazione della conformità

In seguito all’accordo provvisorio raggiunto oggi, nelle prossime settimane proseguiranno i lavori a livello tecnico per definire i dettagli del nuovo regolamento. La presidenza spagnola sottoporrà il testo di compromesso ai rappresentanti degli Stati membri (Coreper) per approvazione una volta conclusi i lavori.