La legislazione digitale di interesse per il settore della meccanica, che mano a mano sarà adottata, comprende:
• Data Act (Regolamento sulla condivisione dei dati industriali - dic 2025 approssimativamente);
• Cyber Resilience Act (Regolamento sulla cybersicurezza delle macchine connesse - fine 2026), il cosiddetto CRA;
• AI Liability Directive (2028 approssimativamente, con relativo recepimento per i singoli stati membri): direttiva sulla responsabilità dei prodotti contenenti elementi di intelligenza artificiale.
A ciò si aggiunge, con particolare riferimento alle macchine, il nuovo requisito essenziale di sicurezza e di tutela della salute 1.1.9 ‘Protezione dall’alterazione (Protection against corruption)’ del Nuovo Regolamento Macchine (pienamente applicabile dal gennaio 2027).
Sussiste altresì una "Legislazione accessoria" richiamata dal CRA, il Regolamento Delegato che interviene sulla Direttiva Apparecchiature Radio (RED) e il GPDR sui dati personali, laddove applicabile.
Il Regolamento Delegato, in particolare, impone ai prodotti "connessi" il rispetto dei requisiti di conformità all'articolo 3.3, lettere d), e) ed f), della direttiva RED.
Sostanzialmente è un richiamo "indiretto" al rispetto dell'art. 3.3 della RED per un certo tipo di equipments: quelli in grado di dialogare con la rete (che di fatto sono radio equipments a tutti gli effetti, su frequenze comunemente da 2,4 GHz a oltre 5 GHz - 6 GHz per la WiFi6e sino a 10 Gb/s - e saltuariamente con sistemi industriali in ultra SHF sino a 10 GHz per le connessioni machine-to-machine - point to point - e remotizzazioni varie e con buona probabilità in generale anche sistemi LoRaWAN - long range WAN - , Bluetooth, NFC, ZigBee della domotica, Z Wave, Dongle vari ecc.).
Questo Regolamento Delegato, viene, come detto, esplicitamente richiamato nel CRA nell'ambito della regolamentazione della Cybersicurezza dei prodotti industriali: è probabilmente un tentativo di declinare l'articolo 3.3 della RED per i sistemi soggetti a Cybersicurezza ed ovviamente connessi.
Il Regolamento Delegato richiede di applicare (e conseguentemente certificare) la sicurezza informatica, la privacy dei dati personali e la protezione dalle frodi per i dispositivi wireless connessi ad internet disponibili sul mercato dell'UE.
È entrato in vigore il 1° febbraio 2022 e sarà obbligatorio dal 1° agosto 2025, unitamente alla legislazione sopra richiamata.
ORGALIM ha chiarito con la specifica posizione "Internal Market: Common understanding of the term “Internet-connected radio equipment" il significato di internet connected device.
Il regolamento delegato (UE) 2022/30 definisce infatti, all'articolo 1, le "apparecchiature radio connesse a Internet" come "qualsiasi apparecchiatura radio in grado di comunicare autonomamente su Internet, sia direttamente che tramite altre apparecchiature".
In mancanza di norme armonizzate, un utile strumento per iniziare a orientarsi anche sulle necessarie valutazioni dei rischi delle macchine connesse è attualmente la norma "IEC 62443 Cybersecurity for industrial products". Questo almeno fino a quando la Commissione europea pubblicherà i relativi standard armonizzati.