Il regolamento (UE) 2024/2847, il regolamento sulla ciberresilienza, mira a rafforzare la cibersicurezza in tutta l’Unione europea (Unione). Stabilisce un quadro globale per garantire che i prodotti e i servizi digitali siano:
sicuri sin dalla progettazione;
resilienti contro le minacce informatiche e
in grado di fornire una protezione continua per tutto il loro ciclo di vita.
Il documento affronta le crescenti sfide alla cibersicurezza poste dalla crescente connettività dei dispositivi e dall’aumento degli attacchi informatici, che hanno un impatto economico e sociale significativo.
PUNTI CHIAVE
Il regolamento sulla ciberresilienza ha diversi obiettivi fondamentali.
Migliorare la cibersicurezza in tutta l’Unione stabilendo requisiti obbligatori in materia di cibersicurezza per i prodotti con elementi digitali.
Promuovere pratiche sicure incoraggiando i fabbricanti a integrare la cibersicurezza nelle fasi di progettazione e sviluppo dei prodotti.
Garantire la trasparenza e la responsabilità imponendo ai fabbricanti di fornire informazioni chiare sulle caratteristiche di cibersicurezza dei loro prodotti e di assumersi la responsabilità di affrontare le vulnerabilità.
Promuovere un mercato unico per la cibersicurezza armonizzando le norme in tutti gli Stati membri dell’Unione per ridurre la frammentazione e garantire condizioni di parità.
Ambito di applicazione
Il regolamento si applica a una vasta gamma di prodotti con elementi digitali immessi sul mercato dell’Unione, indipendentemente dalla sede del fabbricante, che possono collegarsi direttamente o indirettamente ad altri dispositivi o reti, tra cui:
prodotti hardware (ad esempio dispositivi utilizzati nell’ambito dell’internet delle cose, elettrodomestici intelligenti, sistemi di controllo industriale, microchip);
prodotti software (ad esempio videogiochi, app, programmi per computer).
Alcuni prodotti sono esclusi, come ad esempio:
dispositivi medici già disciplinati da regolamenti specifici dell’Unione;
prodotti per l’aviazione e l’industria automobilistica regolamentati dalla legislazione specifica del settore;
equipaggiamento marittimo.
Requisiti chiave per i fabbricanti
Sicurezza nella progettazione
I fabbricanti devono integrare la cibersicurezza nella progettazione e nello sviluppo dei prodotti. Ciò include, tra l’altro, configurazioni sicure per impostazione predefinita, livelli adeguati di crittografia e meccanismi di controllo degli accessi.
Valutazione e mitigazione del rischio
I fabbricanti sono tenuti a condurre una valutazione del rischio e a mantenerla aggiornata, nonché a implementare misure volte ad affrontare le vulnerabilità identificate durante il ciclo di vita del prodotto.
Se i fabbricanti si affidano a componenti o servizi di terzi, devono esercitare la dovuta diligenza al momento dell’integrazione nei loro prodotti.
Trasparenza e documentazione
I fabbricanti devono fornire una documentazione chiara e completa, che comprenda:
una descrizione delle caratteristiche di cibersicurezza del prodotto;
istruzioni per un’installazione, una configurazione e un utilizzo sicuri;
informazioni su come segnalare le vulnerabilità;
una dichiarazione di conformità per confermare la conformità al regolamento.
Segnalazione degli incidenti
I fabbricanti sono tenuti a:
segnalare senza indugio alle autorità nazionali competenti e all’Agenzia dell’Unione europea per la cibersicurezza (ENISA) gli incidenti gravi in materia di cibersicurezza e le vulnerabilità sfruttate attivamente;
informare gli utenti sui rischi potenziali e fornire orientamenti sulla loro mitigazione.
Aggiornamenti del software e supporto
I fabbricanti devono fornire aggiornamenti sulla sicurezza durante il periodo di supporto del prodotto, che deve riflettere il periodo di utilizzo previsto del prodotto.
Gli aggiornamenti devono affrontare le vulnerabilità e garantire il mantenimento della sicurezza del prodotto.
Obblighi per importatori e distributori
Il regolamento attribuisce anche agli importatori e ai distributori la responsabilità di garantire che i prodotti siano conformi ai requisiti di cibersicurezza.
Gli importatori devono verificare che i fabbricanti abbiano rispettato il regolamento e garantire che i prodotti siano etichettati e documentati correttamente.
I distributori devono assicurarsi che i prodotti rechino la marcatura CE e che siano state fornite informazioni e istruzioni all’utente, prima di renderli disponibili sul mercato.
I prodotti recheranno la marcatura CE per indicare la loro conformità ai requisiti del regolamento sulla ciberresilienza.
I fabbricanti di paesi terzi devono rispettare il regolamento per accedere al mercato dell’Unione, influenzando potenzialmente le norme globali sulla cibersicurezza.
Applicazione
Per garantire la conformità, il regolamento stabilisce un solido quadro di applicazione.
Le autorità nazionali di vigilanza del mercato controlleranno la conformità ed eseguiranno ispezioni.
La mancata conformità può comportare sanzioni significative, che possono includere:
ammende fino al 2,5 % del fatturato annuo globale del fabbricante;
divieto o limitazione della disponibilità di un prodotto;
il ritiro o il richiamo di un prodotto.
Le autorità degli Stati membri condivideranno le informazioni e coordineranno le misure esecutive.
A PARTIRE DA QUANDO SI APPLICA IL REGOLAMENTO?
Il regolamento si applica a partire dall’, con alcune eccezioni:
gli obblighi di notifica delle vulnerabilità sfruttate attivamente e degli incidenti gravi si applicano a partire dall’;
la notifica degli organismi di valutazione della conformità si applica dall’.
Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del , relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza) (GU L 2024/2847 del ).
Le modifiche successive alla direttiva (UE) 2024/2847 sono state incorporate nel testo originale. La versione consolidata ha esclusivamente valore documentale.
DOCUMENTI CORRELATI
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del , che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale) (GU L, 2024/1689 del ).
Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del , relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del , pag. 80).
Direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del , relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU L 409 del , pag. 1).
Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del , relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (regolamento sulla cibersicurezza) (GU L 151 del , pag. 15).
Regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del , sulla vigilanza del mercato e sulla conformità dei prodotti e che modifica la direttiva 2004/42/CE e i regolamenti (CE) n. 765/2008 e (UE) n. 305/2011 (GU L 169 del , pag. 1).
Regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio, del , relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi, nonché di sistemi, componenti ed entità tecniche destinati a tali veicoli, per quanto riguarda la loro sicurezza generale e la protezione degli occupanti dei veicoli e degli altri utenti vulnerabili della strada, che modifica il regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio e abroga i regolamenti (CE) n. 78/2009, (CE) n. 79/2009 e (CE) n. 661/2009 del Parlamento europeo e del Consiglio e i regolamenti (CE) n. 631/2009, (UE) n. 406/2010, (UE) n. 672/2010, (UE) n. 1003/2010, (UE) n. 1005/2010, (UE) n. 1008/2010, (UE) n. 1009/2010, (UE) n. 19/2011, (UE) n. 109/2011, (UE) n. 458/2011, (UE) n. 65/2012, (UE) n. 130/2012, (UE) n. 347/2012, (UE) n. 351/2012, (UE) n. 1230/2012 e (UE) 2015/166 della Commissione (GU L 325 del , pag. 1).
Regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio, del , recante norme comuni nel settore dell’aviazione civile, che istituisce un’Agenzia dell’Unione europea per la sicurezza aerea e che modifica i regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, e abroga i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il regolamento (CEE) n. 3922/91 del Consiglio (GU L 212 del , pag. 1).
Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del , relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (GU L 117 del , pag. 1).
Regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio, del , relativo ai dispositivi medico-diagnostici in vitro e che abroga la direttiva 98/79/CE e la decisione 2010/227/UE della Commissione (GU L 117 del , pag. 176).
Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti (GU L 157 del , pag. 1).
Direttiva 2014/90/UE del Parlamento europeo e del Consiglio, del , sull’equipaggiamento marittimo e che abroga la direttiva 96/98/CE del Consiglio (GU L 257 del , pag. 146).
Regolamento (UE) n. 168/2013 del Parlamento europeo e del Consiglio, del , relativo all’omologazione e alla vigilanza del mercato dei veicoli a motore a due o tre ruote e dei quadricicli (GU L 60 del , pag. 52).