Cybersicurezza IoT: fronte comune degli Stati UE

Gli Stati del Consiglio UE il 19 luglio 2023 hanno raggiunto un accordo sulla bozza di legislazione orizzontale necessaria per affrontare  gli aspetti pertinenti della cybersicurezza dei dispositivi connessi.

L’accordo del 19 luglio 2023

Per assicurare che i prodotti con componenti digitali, come le videocamere domestiche connesse, i frigoriferi smart, le TV e i giocattoli, siano sicuri prima di entrare nel mercato, i rappresentanti degli Stati membri (Coreper) hanno concordato una posizione sulla proposta normativa relativa alla cybersicurezza orizzontale requisiti per i prodotti con elementi digitali (cd. cyber resilience act). Il “mandato negoziale” consentirà alla presidenza spagnola di avviare negoziati con il Parlamento europeo (cd. “triloghi”) sulla versione finale del regolamento proposto.

Goals

La bozza di regolamento introduce requisiti obbligatori di sicurezza informatica per:

• la progettazione,
• lo sviluppo,
• la produzione,
• la messa a disposizione sul mercato,

di prodotti hardware e software per evitare la sovrapposizione di requisiti derivanti da differenti discipline legislative negli Stati membri dell’UE.

Il regolamento proposto si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o rete.

Vi sono alcune eccezioni per i prodotti, per i quali i requisiti di cybersicurezza sono già stabiliti nelle norme dell’UE già vigenti, quali:

• i dispositivi medici,
• l’aviazione,
• le automobili.

La proposta di regolamento presenta plurimi obiettivi:

• colmare le lacune,
• chiarire i nessi,
• rendere più coerente la normativa vigente in materia di cibersicurezza,
• garantire che i prodotti con componenti digitali (come i prodotti dell'”Internet delle cose” – IoT) diventino sicuri lungo l’intera catena di approvvigionamento e lungo tutta la loro intero ciclo di vita,
• consentire ai consumatori di tenere conto della sicurezza informatica nella selezione e nell’utilizzo di prodotti che contengono elementi digitali, offrendo agli utenti l’opportunità di effettuare scelte informate in merito a prodotti hardware e software con le adeguate caratteristiche di sicurezza informatica.

Elementi mantenuti dalla proposta della Commissione

La posizione comune del Consiglio UE mantiene l’imprinting generale della proposta della Commissione, in particolare relativamente:

• alle norme per riequilibrare la responsabilità della conformità verso i fabbricanti, i quali devono garantire la conformità ai requisiti di sicurezza dei prodotti con elementi digitali messi a disposizione sul mercato dell’UE, inclusi gli obblighi come la valutazione del rischio di cybersicurezza, la dichiarazione di conformità e la cooperazione con le autorità competenti,
• ai requisiti essenziali per i processi di gestione delle vulnerabilità per i produttori al fine di garantire la sicurezza informatica dei prodotti digitali e gli obblighi per gli operatori economici, come importatori o distributori, in relazione a tali processi,
• alle misure per migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utenti aziendali e un quadro di sorveglianza del mercato per far rispettare tali norme.

Gli emendamenti del Consiglio

Il testo licenziato dal Consiglio modifica svariate parti della proposta della Commissione, in specie:

• l’ ambito di applicazione della normativa proposta, anche per quanto riguarda le specifiche categorie di prodotti che dovrebbero soddisfare i requisiti del regolamento,
• gli obblighi di segnalazione di vulnerabilità o degli incidenti, sfruttati attivamente alle autorità nazionali competenti (“gruppi di risposta agli incidenti di sicurezza informatica” – CSIRT) anziché all’Agenzia dell’UE per la cibersicurezza (ENISA), con quest’ultima che istituisce un’unica piattaforma di segnalazione,
• gli elementi per la determinazione della durata prevista del prodotto da parte dei fabbricanti,
• le misure di sostegno alle piccole e micro imprese,
• la dichiarazione di conformità semplificata.