Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio del 23 ottobre 2024 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i Regolamenti (UE) n. 168/2013 e (UE) 2019/1020.

Giustizia istockphoto 1491771681 612x612

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo (1),

previa consultazione del Comitato delle regioni,

deliberando secondo la procedura legislativa ordinaria (2),

considerando quanto segue:

(1)La cibersicurezza è una delle sfide principali per l’Unione. Il numero e la varietà dei dispositivi connessi aumenteranno esponenzialmente nei prossimi anni. Gli attacchi informatici costituiscono una questione di interesse pubblico dal momento che hanno un impatto determinante non solo sull’economia dell’Unione, ma anche sulla democrazia, nonché sulla sicurezza dei consumatori e sulla salute. Occorre pertanto rafforzare l’approccio dell’Unione alla cibersicurezza, occuparsi della ciberresilienza a livello dell’Unione nonché migliorare il funzionamento del mercato interno, definendo un quadro giuridico uniforme per i requisiti essenziali di cibersicurezza per l’immissione sul mercato dell’Unione di prodotti con elementi digitali. È opportuno affrontare i due problemi principali che comportano ulteriori costi per gli utilizzatori e la società: un basso livello di cibersicurezza dei prodotti con elementi digitali, testimoniato da vulnerabilità diffuse e dalla fornitura insufficiente e incoerente di aggiornamenti di sicurezza per porvi rimedio così come un’insufficiente comprensione delle informazioni e un accesso limitato alle stesse da parte degli utilizzatori, che impediscono loro di scegliere prodotti con proprietà di cibersicurezza adeguate o di utilizzarli in modo sicuro.

(2)Il presente regolamento mira a stabilire le condizioni limite per lo sviluppo di prodotti con elementi digitali sicuri, garantendo che i prodotti hardware e software siano immessi sul mercato con un minor numero di vulnerabilità e che i fabbricanti prendano la sicurezza in seria considerazione durante l’intero ciclo di vita di un prodotto. Si propone inoltre di creare le condizioni che consentano agli utilizzatori di tenere conto della cibersicurezza nella scelta e nell’utilizzo dei prodotti con elementi digitali, ad esempio migliorando la trasparenza per quanto riguarda il periodo di assistenza dei prodotti con elementi digitali messi a disposizione sul mercato.

(3)Il pertinente diritto dell’Unione in vigore comprende diverse serie di norme orizzontali che affrontano taluni aspetti legati alla cibersicurezza da diversi punti di vista, comprese misure per migliorare la sicurezza della catena di approvvigionamento digitale. Tuttavia il diritto dell’Unione vigente in materia di cibersicurezza, tra cui il regolamento (UE) 2019/881 del Parlamento e del Consiglio (3) e la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (4), non contempla direttamente requisiti obbligatori per la sicurezza dei prodotti con elementi digitali.

(4)Sebbene il diritto dell’Unione vigente si applichi a determinati prodotti con elementi digitali, non esiste un quadro normativo orizzontale dell’Unione che stabilisca requisiti di cibersicurezza completi per tutti i prodotti con elementi digitali. I vari atti adottati e le diverse iniziative intraprese finora a livello nazionale e dell’Unione affrontano solo parzialmente i problemi e i rischi individuati in materia di cibersicurezza, creando un mosaico legislativo all’interno del mercato interno, aumentando l’incertezza del diritto sia per i fabbricanti sia per gli utilizzatori di tali prodotti e imponendo alle imprese e alle organizzazioni un onere aggiuntivo inutile per conformarsi a una serie di requisiti e obblighi per tipi di prodotti simili. La cibersicurezza di tali prodotti ha una dimensione transfrontaliera particolarmente forte, poiché i prodotti con elementi digitali fabbricati in uno Stato membro o in un paese terzo sono spesso utilizzati da organizzazioni e consumatori in tutto il mercato interno. Ciò rende necessaria una regolamentazione del settore a livello dell’Unione per garantire un quadro normativo armonizzato e la certezza del diritto per gli utilizzatori, le organizzazioni e le imprese, comprese le microimprese e le piccole e medie imprese quali definite nell’allegato della raccomandazione 2003/361/CE della Commissione (5). Il panorama normativo dell’Unione dovrebbe essere armonizzato introducendo requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali. Inoltre si dovrebbe garantire la certezza del diritto per gli operatori economici e gli utilizzatori in tutta l’Unione, nonché una migliore armonizzazione del mercato interno e proporzionalità per le micro, piccole e medie imprese, creando condizioni più agevoli per gli operatori economici che intendono entrare in tale mercato.

(5)Per quanto riguarda le microimprese e le piccole e medie imprese, nel determinare la categoria in cui rientra un’impresa dovrebbero essere applicate integralmente le disposizioni dell’allegato della raccomandazione 2003/361/CE. Pertanto, nel calcolo degli effettivi e delle soglie finanziarie che definiscono le categorie di imprese, dovrebbero essere applicate anche le disposizioni dell’articolo 6 dell’allegato della raccomandazione 2003/361/CE relativa alla determinazione dei dati di un’impresa in considerazione di tipi specifici di imprese, quali imprese associate o collegate.

(6)La Commissione dovrebbe fornire orientamenti per assistere gli operatori economici, in particolare le microimprese e le piccole e medie imprese, nell’applicazione del presente regolamento. Tali orientamenti dovrebbero riguardare, tra l’altro, l’ambito di applicazione del presente regolamento, in particolare il trattamento dei dati a distanza e le sue implicazioni per gli sviluppatori di software liberi e open source, l’applicazione dei criteri utilizzati per determinare i periodi di assistenza per i prodotti con elementi digitali, l’interazione tra il presente regolamento e altre disposizioni di diritto dell’Unione e il concetto di modifica sostanziale.

(7)A livello dell’Unione diversi documenti programmatici e politici, come la comunicazione congiunta della Commissione europea e dell’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, del 16 dicembre 2020, dal titolo «La strategia dell’UE in materia di cibersicurezza per il decennio digitale», le conclusioni del Consiglio del 2 dicembre 2020 sulla cibersicurezza dei dispositivi connessi e del 23 maggio 2022 sullo sviluppo della posizione dell’Unione europea in materia di deterrenza informatica e la risoluzione del Parlamento europeo del 10 giugno 2021 sulla strategia dell’UE in materia di cibersicurezza per il decennio digitale (6), hanno chiesto l’introduzione di requisiti specifici dell’Unione in materia di cibersicurezza per i prodotti digitali o connessi e diversi paesi terzi hanno adottato di propria iniziativa misure volte ad affrontare la questione. Nella relazione finale della Conferenza sul futuro dell’Europa, i cittadini hanno chiesto «un ruolo più incisivo dell’UE nella lotta contro le minacce alla cibersicurezza». Affinché l’Unione possa svolgere un ruolo di primo piano a livello internazionale nel settore della cibersicurezza, è importante istituire un quadro normativo ambizioso.

(8)Per aumentare il livello generale di cibersicurezza di tutti i prodotti con elementi digitali immessi sul mercato interno è necessario introdurre requisiti essenziali di cibersicurezza orientati agli obiettivi e tecnologicamente neutri per tali prodotti, applicabili orizzontalmente.

(9)In determinate condizioni tutti i prodotti con elementi digitali integrati in un sistema di informazione elettronico più ampio o connessi a un tale sistema possono fungere da vettore di attacco per soggetti malintenzionati. Di conseguenza anche l’hardware e il software che sono considerati meno critici possono facilitare la compromissione iniziale di un dispositivo o di una rete, consentendo a soggetti malintenzionati di ottenere un accesso privilegiato a un sistema o di muoversi lateralmente tra sistemi. I fabbricanti dovrebbero pertanto garantire che tutti i prodotti con elementi digitali siano progettati e sviluppati conformemente ai requisiti essenziali di cibersicurezza stabiliti nel presente regolamento. Tale obbligo si riferisce sia ai prodotti che possono essere connessi in modo fisico tramite interfacce hardware sia ai prodotti che sono connessi in modo logico, ad esempio tramite socket di rete, pipe, file, interfacce per programmi applicativi o qualsiasi altro tipo di interfaccia software. Poiché le minacce informatiche possono propagarsi attraverso vari prodotti con elementi digitali prima di raggiungere un determinato obiettivo, ad esempio concatenando più exploit di vulnerabilità, i fabbricanti dovrebbero garantire la cibersicurezza anche dei prodotti con elementi digitali che sono connessi solo indirettamente ad altri dispositivi o reti.

(10)Stabilendo requisiti di cibersicurezza per l’immissione sul mercato di prodotti con elementi digitali, si intende migliorare la cibersicurezza di tali prodotti sia per i consumatori che per le imprese. Tali requisiti garantiranno inoltre che la cibersicurezza sia presa in considerazione in tutte le catene di approvvigionamento, rendendo più sicuri i prodotti finali con elementi digitali e i loro componenti. Ciò include anche requisiti per l’immissione sul mercato di prodotti di consumo con elementi digitali destinati ai consumatori vulnerabili, come giocattoli e sistemi di monitoraggio dei neonati. I prodotti di consumo con elementi digitali classificati nel presente regolamento come prodotti con elementi digitali importanti presentano un rischio di cibersicurezza più elevato in quanto svolgono una funzione che comporta un rischio significativo di effetti negativi in termini di intensità e capacità di danneggiare la salute, la sicurezza o l’incolumità degli utilizzatori di tali prodotti e dovrebbero essere sottoposti a una procedura di valutazione della conformità più rigorosa. Ciò vale per prodotti quali i prodotti per case intelligenti con funzionalità di sicurezza, comprese serrature intelligenti, sistemi di monitoraggio dei neonati e sistemi di allarme, giocattoli connessi e tecnologie sanitarie indossabili personali. Inoltre, le procedure di valutazione della conformità più rigorose cui devono essere sottoposti altri prodotti con elementi digitali classificati nel presente regolamento come prodotti con elementi digitali importanti o critici contribuiranno a prevenire gli effetti negativi che lo sfruttamento delle vulnerabilità può avere sui consumatori.

Per saperne di più:

Tratto da:

Link:

EurLex

Foto:

Istockphoto (by Getty Images)

 

Nb: Ritenete che possiamo migliore le nostre attività, oppure siete soddisfatti?

Cliccando sul link sottostante potrete esprimere, in modo anonimo, una valutazione sul centro Europe Direct di Gioiosa Jonica ‘CalabriaEuropa’:

http://occurrence-survey.com/edic-users-satisfaction/page1.php?lang=it

Novità Legislative
Visite: 15

 

together logo en

KARMA Logo

Eurodesk marchio e logo colore

areerurali

readywomen

futuroeuropa

idebate1 idebate2 idebate3

 

philoxenia

 

 

 

latuaeu
scn

 

EdicCalabria&Europa'Eurokom'

ASSOCIAZIONE EUROKOM

Sede Legale: Via Cavour 4, 89040 Gerace (RC)

Sede Operativa: Palazzo Amaduri - Gioiosa Ionica (RC)

Servizio

Europe Direct "CalabriaEuropa" Palazzo Amaduri - Piazza Cinque Martiri Gioiosa Ionica (RC)

Tel.Fax: 00 39 0964 1901574

Email: associazioneeurokom@tiscali.it

Sito realizzato con il finanziamento della Commmissione europea - Rappresentanza in Italia Rappresentanza in Italia della Commissione europea

Contatore di visite

Oggi:
2068
Ieri:
27970
Settimana:
206631
Mese:
780471
Totali:
89282641
Oggi è il: 28-11-2024
Il tuo IP è: 3.144.92.165

Menu principale