Entrato in vigore il 10 dicembre 2024, il Cyber Resilience Act mira a stabilire requisiti generali di sicurezza informatica per i prodotti che contengono elementi digitali commercializzati nell’Unione Europea.
Con i primi requisiti applicabili a partire dal 2027, il regolamento stabilisce:
- norme per la messa a disposizione sul mercato di prodotti con elementi digitali per garantire la cybersicurezza di tali prodotti;
- requisiti essenziali di cybersicurezza per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti per quanto riguarda la cybersicurezza;
- requisiti essenziali di cybersicurezza per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza dei prodotti con elementi digitali durante il periodo in cui si prevede che i prodotti siano in uso e obblighi per gli operatori economici in relazione a tali processi;
- norme sulla vigilanza del mercato, compreso il monitoraggio, e sull’applicazione delle norme e dei requisiti previsti.
A chi si applica:
La legge sulla cyber resilienza si applica a tutti i prodotti con elementi digitali messi a disposizione sul mercato, la cui finalità o utilizzo include una connessione dati logica o fisica, diretta o indiretta, a un dispositivo o a una rete.
Quali sono i requisiti per i prodotti con elementi digitali:
Il regolamento prevede che i prodotti con elementi digitali devono essere messi sul mercato soltanto se:
- soddisfano i requisiti essenziali di cybersicurezza e, a condizione che siano correttamente installati, siano oggetto di un’adeguata manutenzione e siano utilizzati conformemente alla loro finalità prevista o in condizioni ragionevolmente prevedibili e, se applicabile, siano stati installati i necessari aggiornamenti di sicurezza, e
- i processi messi in atto dal fabbricante sono conformi ai requisiti di cybersicurezza.
Quali sono i prodotti con elementi digitali importanti:
Il Regolamento fa distinzione tra due tipologie di prodotti: importanti e critici.
I prodotti con elementi digitali “importanti” sono contenuti nell’allegato III del regolamento. Si tratta di prodotti di sicurezza informatica e prodotti i cui malfunzionamenti e compromissioni possono avere impatti significativi su altri sistemi informatici o sulle persone.
Quali sono i prodotti con elementi digitali critici:
I prodotti con elementi digitali “critici” sono contenuti nell’allegato IV del regolamento e devono ottenere un certificato europeo di cybersicurezza con livello di affidabilità almeno “sostanziale”.
Obblighi per gli operatori economici:
Il Regolamento stabilisce inoltre ruoli e responsabilità per i produttori, importatori, distributori ed altre entità coinvolte nella commercializzazione di prodotti digitali.
Di particolare importanza sono le indicazioni per i fabbricanti, i quali devono garantire che i prodotti rispettino i requisiti di sicurezza e fornire aggiornamenti di sicurezza per almeno 5 anni. Sono inoltre responsabili della gestione delle vulnerabilità e devono notificare rapidamente gli incidenti di sicurezza.
Gli importatori devono verificare che i prodotti siano conformi al regolamento prima di importarli nell’UE. Se riscontrano problemi, devono impedirne la distribuzione e informare le autorità.
Per quanto riguarda i distributori, questi ultimi devono garantire che i prodotti immessi sul mercato siano conformi e informare le autorità in caso di problemi di sicurezza.
Sono inoltre previsti obblighi specifici per i software open source, per i quali il regolamento introduce anche requisiti semplificati per le PMI.
Perchè il Cyber Resilience Act è importante:
Il Cyber Resilience Act rappresenta un passo cruciale per rafforzare la sicurezza digitale in Europa, imponendo standard rigorosi per garantire un mercato più sicuro per dispositivi e software connessi.
Vuoi saperne di più?