Cyber Resilience Act: in Gazzetta il Regolamento UE sulla cibersicurezza dei prodotti digitali – Reg. 2024/2847

20.11.24 -

In gazzetta europea il Cyber Resilience Act, approvato con Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali.

Il Regolamento che si applica dall’11 dicembre 2027, modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza) che adesso contengono i richiami alla nuova disciplina in tema di cyber-resilienza.

  • Cosa si intende per cyber resilienza e a quali prodotti digitali si applica? Di cosa si occupa il Regolamento e quali novità porta con sé?

Regolamento 2024/2847: cosa prevede, campo di applicazione, finalità ed obiettivi

Il Regolamento 2024/2847 è il risultato di oltre due anni di lavoro (la proposta di regolamento della Commissione sulle misure orizzontali di cybersicurezza per prodotti con elementi digitali risale al 2022).

Con il Cyber Resilience Act l’UE stabilisce norme per la messa a disposizione sul mercato di prodotti con elementi digitali per garantire la cibersicurezza di tali prodotti ed i requisiti essenziali di cibersicurezza per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali. Fissa anche obblighi per gli operatori economici in relazione a tali prodotti, i requisiti essenziali di cibersicurezza per i processi di gestione delle vulnerabilità e le norme sulla vigilanza del mercato (Capo V), compreso il monitoraggio, e sull’applicazione delle norme e dei requisiti fissati nel Regolamento.

Il Cyber Resilience Act: contenuto, gli articoli e gli allegati

Il Regolamento contiene 71 articoli e 8 Allegati (l’allegato più importante è l’Allegato I che riporta in un elenco i REQUISITI ESSENZIALI DI CIBERSICUREZZA

Si applica dall’11 dicembre 2027 ma l’articolo 14 (Obblighi di segnalazione delle vulnerabilità del prodotto digitale da parte dei fabbricanti) si applica a decorrere dall’11 settembre 2026 e il capo IV (articoli da 35 a 51 sulla notifica degli organismi di valutazione della conformità) si applica a decorrere dall’11 giugno 2026.

Il Regolamento si articola in diversi Capi che trattano aspetti molto specifici: dopo le “Disposizioni generali” (Capo I) si fa riferimento agli Obblighi degli operatori economici e in materia di software liberi e open source (Capo II).

Conformità dei prodotti digitali europei

Nel Capo III si chiarisce la conformità del prodotto con elementi digitali dettando la Presunzione di conformità (art.27), la dichiarazione di conformità (art.28 e si veda l’allegato V e VI per quella “semplificata”) e le regole per la marcatura CE dei prodotti digitali sicuri. Sulle procedure di valutazione della conformità si veda l’allegato VIII che indica le diverse fasi procedurali.

  • Sulla presunzione di conformità: l’articolo 27 prevede che i prodotti con elementi digitali e i processi messi in atto dal fabbricante che sono conformi alle norme armonizzate o a parti di esse i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea si presumono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I.
  • La dichiarazione di conformità UE invece, è redatta dai fabbricanti in conformità dell’articolo 13, paragrafo 12 (e seguendo lo schema contenuto nell’Allegato V al Cyber Act), e attesta il rispetto dei requisiti essenziali di cibersicurezza applicabili (contenuti all’allegato I).
  • La marcatura CE è soggetta ai principi generali stabiliti all’articolo 30 del regolamento (CE) n. 765/2008.

L’articolo 31 invece tratta la “documentazione tecnica“: contiene tutti i dati o i dettagli pertinenti relativi ai mezzi utilizzati dal fabbricante per garantire che il prodotto con elementi digitali e i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I. Gli elementi contenuti nella Documentazione sono previsti all’allegato VII.

Nel Capo IV gli obblighi di notifica fra Stati membri e Commissione e la Vigilanza sul Mercato (Capo V). Il capo VI assegna alla Commissione il potere di adottare atti delegati.

Interessante il Capo VII sulla riservatezza delle informazioni e dei dati su questi prodotti digitali da parte di chi applica il Cyber Resilience act (si veda in particolare l’art.63 e l’art.64 sulle sanzioni in caso di violazione del Regolamento).

A quali prodotti si applica il Cyber Resilience Act?

Il Regolamento 2024/2847 si applica ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete.

Cos’è o cosa si intende per «prodotto con elementi digitali»:

Il prodotto con elementi digitali è qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immesso sul mercato separatamente.

L’Allegato II del Regolamento fornisce un catalogo di prodotti e li distingue in classi e l’Allegato IV indica quali sono quelli “critici”.

Esenzioni del Cyber Resilience Act

L’articolo 2 contiene poi esenzioni dal rispetto dei requisiti essenziali di cibersicurezza fissati nel Regolamento (art.2 comma 5) e esclusioni dal campo di applicazione del Cyber Resilience Act (art.2, infra) per

  • quei prodotti con elementi digitali disciplinati in altri regolamenti come il regolamento (UE) 2017/745, 2017/746 e 2019/2144 e a quei prodotti digitali certificati in conformità del regolamento (UE) 2018/1139
  • l’equipaggiamento che rientra nell’ambito di applicazione della direttiva n. 2014/90/UE del Parlamento europeo e del Consiglio.
  • I pezzi di ricambio messi a disposizione sul mercato per sostituire componenti identici in prodotti con elementi digitali e fabbricati secondo le stesse specifiche dei componenti che sono destinati a sostituire.

Sistemi di IA ad alto rischio

L’articolo 13 tratta i sistemi di IA ad alto rischio, definiti all’art.6 del regolamento (UE) 2024/1689: si tratta di elementi digitali che rientrano nell’ambito di applicazione del presente regolamento e sono conformi ai requisiti relativi alla cibersicurezza qualora soddisfino i requisiti essenziali di cibersicurezza di cui all’allegato I, parte I del Cyber Resilience Act e i processi messi in atto dal fabbricante siano coerenti con i requisiti previsti nella Parte II dell’allegato I.

Inoltre, il conseguimento del livello di protezione della cibersicurezza richiesta a norma dell’articolo 15 del regolamento (UE) 2024/1689 deve essere dimostrato nella dichiarazione di conformità UE rilasciata a norma del presente Cyber Resilience Act.

NormativaIn risaltoIn primo pianoNewsapprofondimentiProdotti & tecnologieSentenzeQuesitoDispositivi di Protezione individuale - DPIINAILmembershipCovid-19norme tecnicheSafety ExpoTesto Unico di Sicurezza - D.Lgs. 81/2008
Articoli correlati