Il nuovo Regolamento sulla Cyber Resilienza

La cybersicurezza è stata riconosciuta come una delle sfide principali per l’Unione Europea.

Sulla Gazzetta Ufficiale dell’Unione Europea di mercoledì 20 novembre è stato pubblicato il Regolamento (UE) 2024/2847 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica il Regolamento (UE) n. 168/2013 (omologazione e vigilanza del mercato dei veicoli a motore a due o tre ruote e dei quadricicli), il Regolamento (UE) 2019/1020 (vigilanza del mercato e conformità dei prodotti) e la Direttiva (UE) 2020/1828 (Regolamento sulla ciberresilienza).

Considerato l’inevitabile incremento del numero e della varietà dei dispositivi connessi e l’impatto che gli attacchi informatici possono avere sull’economia, sulla democrazia e sulla sicurezza e salute dei consumatori, il Legislatore ha voluto rafforzare l’approccio già intrapreso con la cibersicurezza, legiferando in materia di ciberresilienza definendo i requisiti essenziali di cibersicurezza per l’immissione sul mercato dell’Unione di prodotti con elementi digitali.

Con il Regolamento pubblicato sono quindi state stabilite le condizioni limite per lo sviluppo di prodotti con elementi digitali sicuri, a garanzia del fatto che i prodotti hardware e software siano immessi sul mercato con un minor numero di vulnerabilità e che i fabbricanti prendano la sicurezza in seria considerazione durante l’intero ciclo di vita di un prodotto.

Il Regolamento, che fissa:

  • norme per la messa a disposizione sul mercato di prodotti con elementi digitali per garantirne la cibersicurezza,
  • i requisiti essenziali di cibersicurezza per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali,
  • gli obblighi per gli operatori economici in relazione ai prodotti per quanto riguarda la cibersicurezza,
  • i requisiti essenziali di cibersicurezza per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante il periodo in cui si prevede che i prodotti siano in uso e gli obblighi per gli operatori economici in relazione a tali processi,
  • le norme sulla vigilanza del mercato, compreso il monitoraggio, e sull’applicazione delle norme e dei requisiti,

si applica, in generale, ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete.

Per quanto riguarda, in particolare, il rapporto con il Regolamento (UE) 2023/1230 ‘ macchine’, al considerando (53) leggiamo

  • I fabbricanti di prodotti (‘macchine’) che rientrano nell’ambito di applicazione del Regolamento (UE) 2023/1230 che sono anche prodotti con elementi digitali come definiti nel presente Regolamento dovrebbero rispettare sia i requisiti essenziali di cui al presente Regolamento sia i requisiti essenziali di cibersicurezza di cui al presente Regolamento e di tutela della salute di cui al Regolamento (UE) 2023/1230.
  • requisiti essenziali di cibersicurezza di cui al presente Regolamento e alcuni requisiti essenziali stabiliti nel Regolamento (UE) 2023/1230 potrebbero affrontare rischi di cibersicurezza simili.
  • La conformità ai requisiti essenziali di cibersicurezza di cui al presente Regolamento potrebbe pertanto facilitare la conformità ai requisiti essenziali che coprono anche determinati rischi di cibersicurezza di cui al Regolamento (UE) 2023/1230, in particolare quelli riguardanti la protezione contro la corruzione e la sicurezza e l’affidabilità dei sistemi di controllo di cui all’allegato III, sezioni 1.1.9 e 1.2.1, di tale Regolamento.
  • Tali sinergie devono essere dimostrate dal fabbricante, ad esempio attraverso l’applicazione, se disponibili, di norme armonizzate o altre specifiche tecniche riguardanti i requisiti essenziali di cibersicurezza pertinenti a seguito di una valutazione dei rischi che copra tali rischi di cibersicurezza.
  • Il fabbricante dovrebbe inoltre seguire le procedure di valutazione della conformità applicabili di cui al presente Regolamento e al Regolamento (UE) 2023/1230.
  • La Commissione e le organizzazioni europee di normazione, nei lavori preparatori a sostegno dell’attuazione del presente Regolamento e del Regolamento (UE) 2023/1230 e dei relativi processi di normazione, dovrebbero promuovere la coerenza nel modo in cui sono valutati i rischi di cibersicurezza e nel modo in cui tali rischi devono essere contemplati da norme armonizzate per quanto riguarda i requisiti essenziali pertinenti. In particolare, la Commissione e le organizzazioni europee di normazione dovrebbero tenere conto del presente Regolamento nella preparazione e nello sviluppo di norme armonizzate per agevolare l’attuazione del Regolamento (UE) 2023/1230 per quanto concerne, in particolare, gli aspetti di cibersicurezza relativi alla protezione contro la corruzione e la sicurezza e l’affidabilità dei sistemi di controllo di cui all’allegato III, sezioni 1.1.9 e 1.2.1, di tale Regolamento.
  • La Commissione dovrebbe fornire orientamenti per sostenere i fabbricanti soggetti al presente Regolamento che sono anche soggetti al Regolamento (UE) 2023/1230, in particolare per facilitare la dimostrazione della conformità ai pertinenti requisiti essenziali di cui al presente Regolamento e al Regolamento (UE) 2023/1230.

Fondamentale quindi è e sarà seguire attentamente l’attività di normazione orizzontale e verticale, in modo da poter avere quanto prima degli strumenti (norme e norme armonizzate), che consentano ai fabbricanti di macchine l’applicazione dei principi di ciberresilienza.

Orizzonte temporale il 2027, con il Regolamento (UE) 2023/1230 che diverrà pienamente applicabile dal 20 gennaio e il Regolamento (UE) 2024/2487 che lo diverrà dall’11 dicembre.

 

A cura di Marco Carleo

Home page

ANIMA Federazione delle Associazioni Nazionali dell'Industria Meccanica Varia ed Affine

Via Scarsellini, 11/13 - 20161 Milano (Italy) Tel.(+39) 02-45418500  Fax (+39) 02-45418545 Email - anima@anima.it

Rimani in contatto con noi | Note legali | Privacy policy

Esegui ricerca