4797302

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Summaries of EU legislation
Requisiti orizzontali di cibersicurezza per prodotti con ele...

Help

Search tips

Need more search options? Use the Advanced search

Summaries of EU Legislation

Help

Requisiti orizzontali di cibersicurezza per prodotti con elementi digitali (regolamento sulla ciberresilienza)

SINTESI DI:

Regolamento (UE) 2024/2847 sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali

QUAL È L’OBIETTIVO DEL REGOLAMENTO?

Il regolamento (UE) 2024/2847, il regolamento sulla ciberresilienza, mira a rafforzare la cibersicurezza in tutta l’Unione europea (Unione). Stabilisce un quadro globale per garantire che i prodotti e i servizi digitali siano:

sicuri sin dalla progettazione;
resilienti contro le minacce informatiche e
in grado di fornire una protezione continua per tutto il loro ciclo di vita.

Il documento affronta le crescenti sfide alla cibersicurezza poste dalla crescente connettività dei dispositivi e dall’aumento degli attacchi informatici, che hanno un impatto economico e sociale significativo.

PUNTI CHIAVE

Il regolamento sulla ciberresilienza ha diversi obiettivi fondamentali.

Migliorare la cibersicurezza in tutta l’Unione stabilendo requisiti obbligatori in materia di cibersicurezza per i prodotti con elementi digitali.
Promuovere pratiche sicure incoraggiando i fabbricanti a integrare la cibersicurezza nelle fasi di progettazione e sviluppo dei prodotti.
Garantire la trasparenza e la responsabilità imponendo ai fabbricanti di fornire informazioni chiare sulle caratteristiche di cibersicurezza dei loro prodotti e di assumersi la responsabilità di affrontare le vulnerabilità.
Promuovere un mercato unico per la cibersicurezza armonizzando le norme in tutti gli Stati membri dell’Unione per ridurre la frammentazione e garantire condizioni di parità.

Ambito di applicazione

Il regolamento si applica a una vasta gamma di prodotti con elementi digitali immessi sul mercato dell’Unione, indipendentemente dalla sede del fabbricante, che possono collegarsi direttamente o indirettamente ad altri dispositivi o reti, tra cui:

prodotti hardware (ad esempio dispositivi utilizzati nell’ambito dell’internet delle cose, elettrodomestici intelligenti, sistemi di controllo industriale, microchip);
prodotti software (ad esempio videogiochi, app, programmi per computer).

Alcuni prodotti sono esclusi, come ad esempio:

dispositivi medici già disciplinati da regolamenti specifici dell’Unione;
prodotti per l’aviazione e l’industria automobilistica regolamentati dalla legislazione specifica del settore;
equipaggiamento marittimo.

Requisiti chiave per i fabbricanti

Sicurezza nella progettazione

I fabbricanti devono integrare la cibersicurezza nella progettazione e nello sviluppo dei prodotti. Ciò include, tra l’altro, configurazioni sicure per impostazione predefinita, livelli adeguati di crittografia e meccanismi di controllo degli accessi.

Valutazione e mitigazione del rischio

I fabbricanti sono tenuti a condurre una valutazione del rischio e a mantenerla aggiornata, nonché a implementare misure volte ad affrontare le vulnerabilità identificate durante il ciclo di vita del prodotto.
Se i fabbricanti si affidano a componenti o servizi di terzi, devono esercitare la dovuta diligenza al momento dell’integrazione nei loro prodotti.

Trasparenza e documentazione

I fabbricanti devono fornire una documentazione chiara e completa, che comprenda:

una descrizione delle caratteristiche di cibersicurezza del prodotto;
istruzioni per un’installazione, una configurazione e un utilizzo sicuri;
informazioni su come segnalare le vulnerabilità;
una dichiarazione di conformità per confermare la conformità al regolamento.

Segnalazione degli incidenti

I fabbricanti sono tenuti a:

segnalare senza indugio alle autorità nazionali competenti e all’Agenzia dell’Unione europea per la cibersicurezza (ENISA) gli incidenti gravi in materia di cibersicurezza e le vulnerabilità sfruttate attivamente;
informare gli utenti sui rischi potenziali e fornire orientamenti sulla loro mitigazione.

Aggiornamenti del software e supporto

I fabbricanti devono fornire aggiornamenti sulla sicurezza durante il periodo di supporto del prodotto, che deve riflettere il periodo di utilizzo previsto del prodotto.
Gli aggiornamenti devono affrontare le vulnerabilità e garantire il mantenimento della sicurezza del prodotto.

Obblighi per importatori e distributori

Il regolamento attribuisce anche agli importatori e ai distributori la responsabilità di garantire che i prodotti siano conformi ai requisiti di cibersicurezza.

Gli importatori devono verificare che i fabbricanti abbiano rispettato il regolamento e garantire che i prodotti siano etichettati e documentati correttamente.
I distributori devono assicurarsi che i prodotti rechino la marcatura CE e che siano state fornite informazioni e istruzioni all’utente, prima di renderli disponibili sul mercato.
I prodotti recheranno la marcatura CE per indicare la loro conformità ai requisiti del regolamento sulla ciberresilienza.
I fabbricanti di paesi terzi devono rispettare il regolamento per accedere al mercato dell’Unione, influenzando potenzialmente le norme globali sulla cibersicurezza.

Applicazione

Per garantire la conformità, il regolamento stabilisce un solido quadro di applicazione.

Le autorità nazionali di vigilanza del mercato controlleranno la conformità ed eseguiranno ispezioni.
La mancata conformità può comportare sanzioni significative, che possono includere:
- ammende fino al 2,5 % del fatturato annuo globale del fabbricante;
- divieto o limitazione della disponibilità di un prodotto;
- il ritiro o il richiamo di un prodotto.
Le autorità degli Stati membri condivideranno le informazioni e coordineranno le misure esecutive.

A PARTIRE DA QUANDO SI APPLICA IL REGOLAMENTO?

Il regolamento si applica a partire dall’11 dicembre 2027, con alcune eccezioni:

gli obblighi di notifica delle vulnerabilità sfruttate attivamente e degli incidenti gravi si applicano a partire dall’11 settembre 2026;
la notifica degli organismi di valutazione della conformità si applica dall’11 giugno 2026.

CONTESTO

Per ulteriori informazioni, si veda:

Regolamento sulla ciberresilienza (Commissione europea).
Regolamento sulla ciberresilienza — Scheda informativa (Commissione europea).
Il programma Europa digitale (Commissione europea).

DOCUMENTO PRINCIPALE

Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza) (GU L 2024/2847 del 20.11.2024).

Le modifiche successive alla direttiva (UE) 2024/2847 sono state incorporate nel testo originale. La versione consolidata ha esclusivamente valore documentale.

DOCUMENTI CORRELATI

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale) (GU L, 2024/1689 del 12.7.2024).

Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).

Si veda la versione consolidata.

Direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU L 409 del 4.12.2020, pag. 1).

Si veda la versione consolidata.

Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (regolamento sulla cibersicurezza) (GU L 151 del 7.6.2019, pag. 15).

Regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sulla vigilanza del mercato e sulla conformità dei prodotti e che modifica la direttiva 2004/42/CE e i regolamenti (CE) n. 765/2008 e (UE) n. 305/2011 (GU L 169 del 25.6.2019, pag. 1).

Si veda la versione consolidata.

Regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio, del 27 novembre 2019, relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi, nonché di sistemi, componenti ed entità tecniche destinati a tali veicoli, per quanto riguarda la loro sicurezza generale e la protezione degli occupanti dei veicoli e degli altri utenti vulnerabili della strada, che modifica il regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio e abroga i regolamenti (CE) n. 78/2009, (CE) n. 79/2009 e (CE) n. 661/2009 del Parlamento europeo e del Consiglio e i regolamenti (CE) n. 631/2009, (UE) n. 406/2010, (UE) n. 672/2010, (UE) n. 1003/2010, (UE) n. 1005/2010, (UE) n. 1008/2010, (UE) n. 1009/2010, (UE) n. 19/2011, (UE) n. 109/2011, (UE) n. 458/2011, (UE) n. 65/2012, (UE) n. 130/2012, (UE) n. 347/2012, (UE) n. 351/2012, (UE) n. 1230/2012 e (UE) 2015/166 della Commissione (GU L 325 del 16.12.2019, pag. 1).

Si veda la versione consolidata.

Regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio, del 4 luglio 2018, recante norme comuni nel settore dell’aviazione civile, che istituisce un’Agenzia dell’Unione europea per la sicurezza aerea e che modifica i regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, e abroga i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il regolamento (CEE) n. 3922/91 del Consiglio (GU L 212 del 22.8.2018, pag. 1).

Si veda la versione consolidata.

Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (GU L 117 del 5.5.2017, pag. 1).

Si veda la versione consolidata.

Regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medico-diagnostici in vitro e che abroga la direttiva 98/79/CE e la decisione 2010/227/UE della Commissione (GU L 117 del 5.5.2017, pag. 176).

Si veda la versione consolidata.

Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti (GU L 157 del 15.6.2016, pag. 1).

Direttiva 2014/90/UE del Parlamento europeo e del Consiglio, del 23 luglio 2014, sull’equipaggiamento marittimo e che abroga la direttiva 96/98/CE del Consiglio (GU L 257 del 28.8.2014, pag. 146).

Si veda la versione consolidata.

Regolamento (UE) n. 168/2013 del Parlamento europeo e del Consiglio, del 15 gennaio 2013, relativo all’omologazione e alla vigilanza del mercato dei veicoli a motore a due o tre ruote e dei quadricicli (GU L 60 del 2.3.2013, pag. 52).

Si veda la versione consolidata.

ultimo aggiornamento: 18.2.2025

Top

Choose the experimental features you want to try

SINTESI DI:

QUAL È L’OBIETTIVO DEL REGOLAMENTO?

PUNTI CHIAVE

Ambito di applicazione

Requisiti chiave per i fabbricanti

Sicurezza nella progettazione

Valutazione e mitigazione del rischio

Trasparenza e documentazione

Segnalazione degli incidenti

Aggiornamenti del software e supporto

Obblighi per importatori e distributori

Applicazione

A PARTIRE DA QUANDO SI APPLICA IL REGOLAMENTO?

CONTESTO

DOCUMENTO PRINCIPALE

DOCUMENTI CORRELATI