Torna indietro
Digitalizzazione - Punto normativo
  • #Cybersecurity
  • #organismi notificati

Cyber Resilience Act: cibersicurezza per i prodotti con elementi digitali

E’ stato pubblicato (GU UE serie L del 20 novembre scorso) il Cyber Resilience Act, il Regolamento relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali, che modifica i Regolamenti UE 168/2013 e UE 2019/1020 e la Direttiva UE 2020/1828. 

Il Regolamento stabilisce:

  • Norme per la messa a disposizione sul mercato di prodotti con elementi digitali – qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immessi sul mercato separatamente – per garantire la cibersicurezza di tali prodotti
  • Requisiti essenziali di cibersicurezza per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali, e obblighi per gli operatori economici in relazione a tali prodotti per quanto riguarda la cibersicurezza
  • Requisiti essenziali di cibersicurezza per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti, per garantire la cibersicurezza dei prodotti con elementi digitali, durante il periodo in cui si prevede che i prodotti siano in uso, e obblighi per gli operatori economici in relazione a tali processi.
  • Norme sulla vigilanza del mercato.

Il Regolamento si applicherà, in particolare, ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista, o il cui utilizzo ragionevolmente prevedibile, include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete.

Restano fuori dall’ambito di applicazione i dispositivi medici e i dispositivi medici in vitro e i veicoli di cui al Regolamento UE 2019/2144 e all’equipaggiamento marittimo di cui alla Direttiva UE 2014/90. Sono esclusi anche i prodotti con elementi digitali sviluppati o modificati esclusivamente per scopi di sicurezza nazionale o di difesa, i prodotti specificamente progettati per trattare informazioni classificate e i pezzi di ricambio di cui all’art. 2, comma 6.

I prodotti verranno classificati in base al loro grado di rischio. A titolo esemplificativo, sono individuati i “prodotti con elementi digitali importanti” (sistemi di gestione delle password) e i “prodotti con elementi digitali critici” (dispositivi hardware con cassette di sicurezza).

Sulla base del rischio, si applicano diverse procedure di valutazione della conformità, indicate all’art. 32. Per i prodotti più “rischiosi” è previsto il coinvolgimento di un organismo notificato.

L’accreditamento, pur non essendo un prerequisito obbligatorio per la notifica, rimane lo strumento privilegiato per attestare la competenza e l’indipendenza degli organismi di valutazione della conformità (Conformity Assessment Bodies - CAB).

Un ulteriore coinvolgimento dei CAB potrà essere richiesto una volta che la Commissione avrà adottato, in attuazione dell’art. 8, atti delegati per determinare quali prodotti con elementi digitali critici debbano ottenere “un certificato europeo di cibersicurezza a un livello di affidabilità almeno ‘sostanziale’ nell’ambito di un sistema europeo di certificazione della cibersicurezza adottato a norma del Regolamento UE 2019/881”.

Le nuove norme si applicheranno a decorrere dall’11 dicembre 2027, ma a partire dall’11 dicembre 2026 dovranno essere implementati gli artt. da 35 a 51.

Resta sempre aggiornato

Iscriviti alla nostra newsletter
La tua iscrizione non può essere convalidata.
La tua iscrizione è avvenuta correttamente.