La legge sulla ciberresilienza migliora gli standard di cibersicurezza dei prodotti che contengono una componente digitale, imponendo ai fabbricanti e ai dettaglianti di garantire la cibersicurezza durante l'intero ciclo di vita dei loro prodotti.
Dai baby-monitor agli smart-watch, i prodotti e i software che contengono una componente digitale sono onnipresenti nella nostra vita quotidiana. Meno evidente per molti utenti è il rischio per la sicurezza che tali prodotti e software possono presentare.
La legge sulla ciberresilienza (CRA) mira a salvaguardare i consumatori e le imprese che acquistano prodotti software o hardware con una componente digitale. La legge sulla ciberresilienza affronta il livello inadeguato di cibersicurezza in molti prodotti e la mancanza di aggiornamenti tempestivi della sicurezza per prodotti e software. Affronta inoltre le sfide che i consumatori e le imprese devono attualmente affrontare quando cercano di determinare quali prodotti sono sicuri e di configurarli in modo sicuro. I nuovi requisiti renderanno più facile tenere conto della cibersicurezza nella selezione e nell'utilizzo di prodotti che contengono elementi digitali. Sarà più semplice identificare i prodotti hardware e software con le funzionalità di sicurezza informatica adeguate.
La legge sulla ciberresilienza introduce requisiti obbligatori in materia di cibersicurezza per i fabbricanti e i dettaglianti, disciplinando la pianificazione, la progettazione, lo sviluppo e la manutenzione di tali prodotti. Tali obblighi devono essere rispettati in ogni fase della catena del valore. L'atto impone inoltre ai produttori di fornire assistenza durante il ciclo di vita dei loro prodotti. Alcuni prodotti critici di particolare rilevanza per la cibersicurezza dovranno inoltre essere sottoposti a una valutazione da parte di terzi da parte di un organismo autorizzato prima di essere venduti nel mercato dell'UE.
Il regolamento si applica a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o rete, ad eccezione di determinate esclusioni quali determinati software o servizi open source già disciplinati dalle norme vigenti, come nel caso dei dispositivi medici, dell'aviazione e delle automobili. I prodotti recheranno lamarcatura CE per indicare che sono conformi ai requisiti delle agenzie di rating del credito. Le nuove norme riequilibreranno la responsabilità nei confronti dei fabbricanti, che devono garantire che i loro prodotti con elementi digitali soddisfino le norme di cibersicurezza per il mercato dell'UE. Ciò consentirà agli acquirenti di prendere decisioni più informate, confidando nella cibersicurezza dei prodotti recanti il marchio CE.
La legge sulla ciberresilienza è entrata in vigore il 10 dicembre 2024. I principali obblighi introdotti dalla legge si applicheranno a decorrere dall'11 dicembre 2027.
Inoltre, è in fase di istituzione il gruppo di esperti sulla normativa sulla ciberresilienza (gruppo di esperti CRA). Il gruppo di esperti assisterà e consiglierà la Commissione su questioni pertinenti per l'attuazione della legge sulla ciberresilienza.
La legge sulla ciberresilienza si basa sullastrategia dell'UE per la cibersicurezza del 2020 esulla strategia dell'UE per l'Unione della sicurezza. Essa integra altre normative in questo settore, in particolare ladirettiva NIS2.
Contenuti correlati
Quadro generale