19 luglio 2023: la Commissione per l’Industria del Parlamento Europeo modifica la proposta del Cyber Resilience Act. Come anticipato in un precedente articolo, vediamo quali sono i punti rimasti saldi del Regolamento EU per i prodotti digitali connessi in rete e cosa sta cambiando.
Obiettivo del Cyber Resilience Act
Il Cyber Resilience Act parte dal presupposto secondo cui tutelare i consumatori e le organizzazioni dai rischi di sicurezza informatica significhi proteggere i loro dati e le loro infrastrutture.
La normativa oggetto del Cyber Resilience Act ha infatti la prerogativa di garantire che i prodotti con componenti digitali siano cybersicuri prima di essere immessi nel mercato comunitario.
Da qui lo stretto legame con il Nuovo Regolamento Macchine (Reg. UE 2023/1230): la marcatura CE ai sensi del Cyber Resilience Act sarà valida anche ai fini dei requisiti essenziali di sicurezza presenti nella versione ora aggiornata della Direttiva 2006/42/CE, ed effettiva dal 2027.
Scopri di più su come prepararti in vista del Cyber Resilience Act
Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin
Le conferme sul testo del Cyber Resilience Act
Rispetto alla prima versione del Cyber Resilience Act, restano invariati i punti circa:
- la responsabilità della conformità dei prodotti da parte dei produttori, compresi gli obblighi attorno al Cyber Security Risk Assessment, alla dichiarazione di conformità e alla collaborazione con le autorità competenti
- la gestione delle vulnerabilità da parte di produttori, importatori e distributori di prodotti digitali connessi in rete; gli operatori economici avranno 12 mesi dall’entrata in vigore del Cyber Resilience Act per segnalare eventuali vulnerabilità, ma con una differenza rispetto a quanto presentato nella proposta di Regolamento originaria. Continua a leggere per saperne di più.
- la volontà di imporre un quadro di sorveglianza del mercato per far rispettare queste regole
E i cambiamenti rispetto alla versione precedente
Nella versione precedentemente proposta dalla Commissione Europea risultava una suddivisione dei prodotti di cyber security in 2 + 1 classi di rischio, con una diversa richiesta di attenzione, in questo modo:
- Classe II (prodotti critici con obbligo di organismo di certificazione), per esempio sistemi operativi per server, desktop e dispositivi mobili, firewall, sistemi di rilevamento e/o prevenzione delle intrusioni per uso industriale, dispositivi IoT
- Classe I (prodotti critici), per esempio software per sistemi di gestione delle identità e software per la gestione degli accessi privilegiati, VPN, PLC, SCADA
- Categoria di default, soggetta a autodichiarazione (prodotti non critici)
Adesso rimaniamo in attesa di scoprire come sarà riorganizzata la categorizzazione dei prodotti che dovranno essere conformi al Cyber Resilience Act.
Ne restano in ogni caso esclusi i dispositivi medici, i dispositivi per l’aviazione e le automobili.
Come anticipato, si preannuncia una variazione anche nel riferimento per la segnalazione delle vulnerabilità: non più l’Agenzia ENISA, ma una piattaforma di segnalazione unica, tuttavia istituita da ENISA stessa.
Se da un lato si pensa a una versione semplificata della dichiarazione di conformità, le organizzazioni di tutela dei consumatori chiedono al contrario che le valutazioni del livello di cyber security dei prodotti più complessi siano svolte da enti di terza parte, a maggiore garanzia che le connessioni dirette o indirette fra dispositivi di rete siano conformi con quanto stabilito dal Regolamento.
Aspettando ulteriori sviluppi, tieni a mente queste informazioni: l’ambito trattato dal Cyber Resilience Act ha decisamente carattere di urgenza.
Domande? Commenti?
Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin
Torna all'elenco degli articoli
