Il Consiglio UE ha raggiunto una posizione comune sul Cyber Resilience Act, ovvero la proposta di Regolamento sulla ciberresilienza che definisce i requisiti di sicurezza per i prodotti digitali.
Il Cyber Resilience Act introduce requisiti obbligatori in materia di cibersicurezza per la progettazione, sviluppo, produzione e messa in commercio di prodotti software e hardware.
Scopo di questa regolamentazione unica è quello di evitare la sovrapposizione di requisiti diversi connessi alle singole normative nazionali.
Il Regolamento sulla ciberresilienza si applicherà a qualsiasi prodotto connesso direttamente o indirettamente ad un altro dispositivo o alla rete.
Eccezioni sono prevesiste solo per quei prodotti (esp. dispositivi medici o prodotti dell’aviazione o delle automobili) già soggetti a requisiti di cibersicurezza previsti da normative europee.
Il Cyber Resilience Act vuole inoltre rendere consapevoli i consumatori del tema cibersicurezza quando scelgono e usano prodotti digitali, offrendo la possibilità di scegliere in modo consapevole prodotti software e hardware aventi le adeguate caratteristiche di cibersicurezza.
La posizione comune del Consiglio mantiene l’impostazione originale della proposta della Commissione, con particolare riguardo:
- alla responsabilità dei fabbricanti in materia di conformità
- ai processi di gestione delle vulnerabilità per i fabbricanti
- alla trasparenza in materia di sicurezza dei prodotti software e hardware
- alla vigilanza sul mercato
Inoltre, il testo del Consiglio interviene modificando i seguenti profili:
- ambito di applicazione
- obblighi di segnalazione degli incidenti o delle vulnerabilità sfruttate
- determinazione da parte dei fabbricanti della durata prevista del prodotto
- sostegno alle piccole e micro imprese
- dichiarazione semplificata di conformità
Alla posizione comune del Consiglio faranno adesso seguito i negoziati con il Parlamento europeo (triloghi) sulla versione definitiva del Cyber Resilience Act.
