Il Parlamento UE, ha approvato in prima lettura, con emendamenti, il 12 marzo 2024 la Risoluzione legislativa sulla proposta di regolamento avanzata dalla Commissione (n. COM/2022/454), ovvero sul c.d. Regolamento sulla ciberresilienza (c.d. Cyber Resilience Act), relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica il Regolamento (UE) 2019/1020.
La Risoluzione segue all’accordo provvisorio raggiunto da Parlamento UE e dal Consiglio lo scorso 20 dicembre 2023, in base al quale il Consiglio si è impegnato ad approvare la posizione del Parlamento.
Il Cyber Resilience Act si applica a tutti i prodotti (hardware e software) con componenti connessi, direttamente o indirettamente, con altri dispositivi o reti, compresi i software free e open-source quando siano resi disponibili sul mercato nell’ambito di un’attività commerciale.
Sono esplicitamente esclusi i prodotti soggetti ad altre normative che già prevedono logiche analoghe al Regolamento in questione in termini di certificazione, quali i dispositivi medici e i dispositivi medico-diagnostici in vitro, i veicoli a motore e i relativi componenti.
Sono previsti specifici requisiti per produttori, importatori e distributori, relativamente ai prodotti (Allegato I), ai processi di gestione della conformità ed alle attività di divulgazione delle informazioni sulle vulnerabilità (c.d. vulnerability disclosure) all’ENISA ed agli utenti:
- assenza di vulnerabilità note al momento dell’immissione sul mercato, anche con riferimento ai componenti utilizzati
- gestione delle vulnerabilità e degli aggiornamenti durante il ciclo di vita del prodotto, mantenendo dove possibile separati gli aggiornamenti funzionali da quelli di sicurezza, e fornendo strumenti per l’aggiornamento automatico.
- processi di security by design, configurazioni sicure per default, meccanismi di autenticazione per l’accesso e di tracciamento degli eventi di sicurezza, nonché di cancellazione sicura dei dati
Inoltre:
- I prodotti con componenti digitali immessi sul mercato, compresi quindi i prodotti software, dovranno riportare il marchio CE: per poter apporre tale marchio, i prodotti dovranno soddisfare i requisiti posti dal Cyber Resilience Act sui prodotti e sui processi messi in atto
- Dovrà essere fornita, insieme al prodotto, la documentazione necessaria per comprendere il suo corretto contesto di utilizzo, e su come utilizzarlo in modo sicuro
- I prodotti saranno quindi divisi in quattro categorie:
- i prodotti non critici
- quelli critici di classe I (riconducibili agli elenchi in Allegato III, da aggiornare ogni due anni)
- quelli critici di classe II (riconducibili agli elenchi in Allegato III)
- quelli altamente critici, individuati caso per caso dalla Commissione Europea: in questi casi sarà richiesta una certificazione secondo lo schema di certificazione europea citato all’inizio di questo articolo.
Per i prodotti delle classi I e II, in particolare, sarà essenziale l’attività da parte della Commissione Europea, attraverso atti delegati, per la creazione di norme (tecniche) armonizzate che possano essere utilizzate in relazione alla loro certificazione.
Un’attenzione specifica viene data anche ai sistemi di AI classificati come ad alto rischio secondo l’AI Act, nonché ai prodotti che ricadono sotto il Regolamento macchine.
Il testo del Regolamento passa ora al Consiglio UE per la sua approvazione, quindi entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta Ufficiale.