INFORMATION TECHNOLOGY
UE: il Consiglio approva una posizione comune sul regolamento sulla cyber-resilienza.
Per garantire la sicurezza dei prodotti con componenti digitali, quali telecamere per uso domestico, frigoriferi intelligenti, televisori e giocattoli, prima del loro ingresso nel mercato, i rappresentanti degli Stati membri (Coreper) sono giunti a una posizione comune sulla proposta di regolamento relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali (regolamento sulla ciberresilienza).
Il progetto di regolamento introduce requisiti obbligatori in materia di cibersicurezza per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell'UE.
Il regolamento proposto si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o alla rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cibersicurezza in virtù delle norme dell'UE vigenti,, ad esempio i dispositivi medici o i prodotti nei settori dell'aviazione o automobilistico.
La proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la normativa in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell'internet delle cose, diventino sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita.
Infine, la proposta di regolamento consente anche ai consumatori di tener conto della cibersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali, offrendo agli utenti la possibilità di scegliere in modo consapevole prodotti hardware e software aventi le adeguate caratteristiche di cibersicurezza.
La posizione comune del Consiglio mantiene l'impostazione generale della proposta della Commissione, in particolare per quanto riguarda:
— le norme volte a riequilibrare la responsabilità in materia di conformità verso i fabbricanti, che sono tenuti a garantire la conformità ai requisiti di sicurezza per i prodotti con elementi digitali immessi sul mercato dell'UE, il che comprende obblighi quali la valutazione dei rischi di cibersicurezza, la dichiarazione di conformità e la cooperazione con le autorità competenti
— i requisiti essenziali per i processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cibersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi
— le misure volte a migliorare la trasparenza in materia di sicurezza dei prodotti hardware e software per i consumatori e gli utenti commerciali e un quadro di vigilanza del mercato per far rispettare tali misure.
Il testo del Consiglio modifica varie parti della proposta della Commissione, riguardanti tra l'altro gli aspetti seguenti:
— l'ambito di applicazione della normativa proposta, anche in relazione alle specifiche categorie di prodotti cui si applicherebbero i requisiti del regolamento
— gli obblighi di segnalazione degli incidenti o delle vulnerabilità attivamente sfruttate alle autorità nazionali competenti (gruppi di intervento per la sicurezza informatica in caso di incidente — CSIRT) anziché all'Agenzia dell'UE per la cibersicurezza (ENISA), incaricata di istituire una piattaforma unica di segnalazione
— gli elementi per la determinazione della durata prevista del prodotto da parte dei fabbricanti
— le misure di sostegno alle piccole imprese e alle microimprese
— una dichiarazione semplificata di conformità
L'accordo sulla posizione comune del Consiglio ("mandato negoziale") consentirà alla presidenza spagnola di avviare i negoziati con il Parlamento europeo ("triloghi") sulla versione definitiva della normativa proposta.
Il progetto di regolamento introduce requisiti obbligatori in materia di cibersicurezza per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell'UE.
Il regolamento proposto si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o alla rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cibersicurezza in virtù delle norme dell'UE vigenti,, ad esempio i dispositivi medici o i prodotti nei settori dell'aviazione o automobilistico.
La proposta mira a colmare le lacune, chiarire i collegamenti e rendere più coerente la normativa in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell'internet delle cose, diventino sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita.
Infine, la proposta di regolamento consente anche ai consumatori di tener conto della cibersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali, offrendo agli utenti la possibilità di scegliere in modo consapevole prodotti hardware e software aventi le adeguate caratteristiche di cibersicurezza.
La posizione comune del Consiglio mantiene l'impostazione generale della proposta della Commissione, in particolare per quanto riguarda:
— le norme volte a riequilibrare la responsabilità in materia di conformità verso i fabbricanti, che sono tenuti a garantire la conformità ai requisiti di sicurezza per i prodotti con elementi digitali immessi sul mercato dell'UE, il che comprende obblighi quali la valutazione dei rischi di cibersicurezza, la dichiarazione di conformità e la cooperazione con le autorità competenti
— i requisiti essenziali per i processi di gestione delle vulnerabilità per i fabbricanti al fine di garantire la cibersicurezza dei prodotti digitali e gli obblighi per gli operatori economici, come gli importatori o i distributori, in relazione a tali processi
— le misure volte a migliorare la trasparenza in materia di sicurezza dei prodotti hardware e software per i consumatori e gli utenti commerciali e un quadro di vigilanza del mercato per far rispettare tali misure.
Il testo del Consiglio modifica varie parti della proposta della Commissione, riguardanti tra l'altro gli aspetti seguenti:
— l'ambito di applicazione della normativa proposta, anche in relazione alle specifiche categorie di prodotti cui si applicherebbero i requisiti del regolamento
— gli obblighi di segnalazione degli incidenti o delle vulnerabilità attivamente sfruttate alle autorità nazionali competenti (gruppi di intervento per la sicurezza informatica in caso di incidente — CSIRT) anziché all'Agenzia dell'UE per la cibersicurezza (ENISA), incaricata di istituire una piattaforma unica di segnalazione
— gli elementi per la determinazione della durata prevista del prodotto da parte dei fabbricanti
— le misure di sostegno alle piccole imprese e alle microimprese
— una dichiarazione semplificata di conformità
L'accordo sulla posizione comune del Consiglio ("mandato negoziale") consentirà alla presidenza spagnola di avviare i negoziati con il Parlamento europeo ("triloghi") sulla versione definitiva della normativa proposta.
