Dai baby-monitor agli smart-watch, i prodotti e i software che contengono una componente digitale sono onnipresenti nella nostra vita quotidiana. Meno evidente per molti utenti è il rischio per la sicurezza che tali prodotti e software possono presentare.
Il Cyber Resilience Act (CRA) mira a salvaguardare i consumatori e le imprese che acquistano o utilizzano prodotti o software con un componente digitale. La legge vedrebbe caratteristiche di sicurezza inadeguate diventare un ricordo del passato con l'introduzione di requisiti di cibersicurezza obbligatori per i produttori e i rivenditori di tali prodotti, con questa protezione che si estende per tutto il ciclo di vita del prodotto.
Il problema affrontato dal regolamento è duplice.
Il primo è il livello inadeguato di sicurezza informatica inerente a molti prodotti, o gli aggiornamenti di sicurezza inadeguati di tali prodotti e software.
La seconda è l'incapacità dei consumatori e delle imprese di determinare attualmente quali prodotti sono cibersicuri o di configurarli in modo da garantire che la loro sicurezza informatica sia protetta.
Il Cyber Resilience Act garantirà:
- norme armonizzate per l'immissione sul mercato di prodotti o software dotati di una componente digitale;
- un quadro di requisiti di cibersicurezza che disciplinano la pianificazione, la progettazione, lo sviluppo e la manutenzione di tali prodotti, con obblighi da rispettare in ogni fase della catena del valore;
- l'obbligo di fornire il dovere di diligenza per l'intero ciclo di vita di tali prodotti.
Con l'entrata in vigore del regolamento, i software e i prodotti connessi a Internet recano la marcatura CE per indicare che sono conformi alle nuove norme. Richiedendo ai produttori e ai rivenditori di dare priorità alla sicurezza informatica, i clienti e le imprese avrebbero il potere di fare scelte meglio informate, fiduciosi delle credenziali di sicurezza informatica dei prodotti con marchio CE.
Il regolamento è stato annunciato nella strategia dell'UE per la cibersicurezza del 2020 e integra altre normative in questo settore, in particolare il quadro NIS2.
Si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o rete, ad eccezione di esclusioni specifiche quali software o servizi open source già disciplinati dalle norme esistenti, come nel caso dei dispositivi medici, dell'aviazione e delle automobili.
Il regolamento dovrebbe entrare in vigore all'inizio del 2024. I fabbricanti dovranno applicare le norme 36 mesi dopo la loro entrata in vigore. La Commissione riesaminerà periodicamente la legge e riferirà sul suo funzionamento.
Contenuti correlati
Quadro generale
L'Unione europea lavora su vari fronti per promuovere la resilienza informatica, salvaguardare la nostra comunicazione e i nostri dati e mantenere la società e l'economia online sicure.
Vedere anche
La legge dell'UE sulla solidarietà informatica migliorerà la preparazione, l'individuazione e la risposta agli incidenti di cibersicurezza in tutta l'UE.
Gli operatori di servizi essenziali (OES), le autorità nazionali di certificazione della cibersicurezza (NCCA) e le autorità nazionali competenti (ANC) per la cibersicurezza sono tra i candidati selezionati che riceveranno 11 milioni di EUR in finanziamenti dal bando per la...
The European Cybersecurity Network and Cybersecurity Competence Centre help the EU retain and develop cybersecurity technological and industrial capacities.
Lo Stakeholder Cybersecurity Certification Group è stato istituito per fornire consulenza su questioni strategiche riguardanti la certificazione della cibersicurezza.
La legge sulla cibersicurezza rafforza l'Agenzia dell'UE per la cibersicurezza (ENISA) e istituisce un quadro di certificazione della cibersicurezza per prodotti e servizi.
Il quadro di certificazione della cibersicurezza dell'UE per i prodotti TIC consente la creazione di sistemi di certificazione dell'UE personalizzati e basati sul rischio.
La direttiva NIS2 è la legislazione dell'UE in materia di cibersicurezza. Esso prevede misure giuridiche per rafforzare il livello generale di cibersicurezza nell'UE.