Gli ambasciatori presso l’UE si apprestano ad approvare la nuova legge sulla cibersicurezza per i dispositivi connessi

Una versione perfezionata del Cyber ​​Resilience Act, vista da EURACTIV, ha modificato le parti relative agli obblighi di segnalazione, ai prodotti altamente critici e alla durata del prodotto prima dell’approvazione a livello di ambasciatore.

All’inizio di questo mese, la presidenza spagnola del Consiglio dei ministri dell’UE ha condiviso un compromesso rivisto discusso lunedì scorso al Gruppo di lavoro orizzontale sulle questioni informatiche, un organo tecnico del Consiglio, per evidenziare eventuali questioni in sospeso da affrontare.

Questa discussione ha informato la messa a punto finale riflessa in un nuovo testo che la presidenza spagnola ha diffuso giovedì (13 luglio) prima della riunione del Comitato dei rappresentanti permanenti che dovrebbe adottare la posizione del Consiglio dell’UE mercoledì.

Lo stesso giorno, anche la commissione Industria del Parlamento europeo, competente per il fascicolo, dovrebbe adottare la sua versione del testo, senza che sia prevista una votazione in plenaria. I negoziati tra i colegislatori dell’UE dovrebbero iniziare a settembre.

Obblighi di segnalazione

Il regolamento sulla sicurezza informatica introduce l’obbligo per i produttori che vengono a conoscenza di qualsiasi incidente di sicurezza informatica o vulnerabilità sfruttata attivamente di informare l’autorità competente.

Il Consiglio ha trasferito questo delicato compito dalle mani dell’ENISA, l’agenzia dell’UE per la cibersicurezza, a quelle dei gruppi nazionali di risposta agli incidenti di sicurezza informatica (CSIRT). Il nuovo testo incoraggia gli Stati membri a istituire un unico punto di ingresso nazionale per gli obblighi di segnalazione.

Il CSIRT che riceve la segnalazione dovrà condividerla con i suoi omologhi tramite un’unica piattaforma di segnalazione, a meno che non sussistano giustificati motivi di sicurezza informatica alla luce della sensibilità delle informazioni notificate per ritardare la trasmissione.

Collettivamente, i CSIRT svilupperanno specifiche su come si applicano queste circostanze eccezionali e sull’organizzazione, la sicurezza e il tipo di informazioni da condividere tramite la piattaforma di segnalazione.

L’ENISA istituirà la piattaforma paneuropea secondo le specifiche dei CSIRT, analizzando le potenziali complementarità con la banca dati europea delle vulnerabilità istituita ai sensi della direttiva sulle reti e sulla sicurezza dell’informazione (NIS2) riveduta.

L’ENISA notificherà senza indebito ritardo qualsiasi incidente di sicurezza informatica relativo alla piattaforma. I riferimenti alla concessione dell’accesso alla piattaforma alle autorità di vigilanza del mercato sono stati eliminati.

È stata soppressa una formulazione aggiunta in precedenza che avrebbe dato flessibilità ai produttori rispetto ai termini di comunicazione, ad esempio se stanno sviluppando una misura di mitigazione.

Il produttore deve inoltre informare l’utente di qualsiasi incidente o vulnerabilità attiva. Se non lo fa tempestivamente, il CSIRT notificato può intervenire.

Prodotti altamente critici

Il Cyber ​​Resilience Act introduce il concetto di prodotti altamente critici per i quali la Commissione europea potrebbe imporre schemi di certificazione della sicurezza informatica dell’UE. Tuttavia, l’ultima versione ha rimosso qualsiasi riferimento esplicito a “prodotti altamente critici”.

I paesi dell’UE hanno ridotto la discrezionalità che l’esecutivo dell’UE avrà su questo compito, in particolare introducendo un primo elenco di categorie di prodotti altamente critici che la Commissione potrebbe modificare in seguito.

Il testo del Consiglio richiede inoltre che prima di richiedere la certificazione obbligatoria, l’esecutivo dell’UE conduca una valutazione d’impatto per valutare la domanda e l’offerta del mercato interno e la capacità e la prontezza degli Stati membri per l’attuazione dei regimi.

Le precedenti iterazioni del testo indicavano che ai prodotti altamente critici dovrebbe essere chiesto di rispettare il livello di garanzia “sostanziale” o “alto” ai sensi del Cybersecurity Act. Questo riferimento a livelli di garanzia specifici è stato rimosso dal testo.

Inoltre, la Commissione dovrà condurre una valutazione d’impatto prima di richiedere un certificato di cibersicurezza, ma il termine per effettuarla è stato rimosso. L’esecutivo dell’UE dovrà consultarsi con le parti interessate, compreso il gruppo europeo per la certificazione della cibersicurezza.

Durata del prodotto

I produttori devono indicare la durata prevista del prodotto durante la quale gli utenti possono aspettarsi aggiornamenti di sicurezza.

Gli elementi da considerare in questo calcolo sono stati spostati dalle parti vincolanti del regolamento al preambolo, vale a dire la disponibilità prevista dell’ambiente operativo, la durata di prodotti con funzionalità simili e gli orientamenti delle autorità di vigilanza del mercato.

Altri punti precedentemente indicati come rilevanti per determinare la durata prevista del prodotto sono stati eliminati, vale a dire il riferimento al diritto dell’UE pertinente e la natura del prodotto, compresi i termini di licenza.

Le autorità di vigilanza del mercato non hanno più il diritto di richiedere ai produttori una giustificazione su come è stata calcolata la durata del prodotto.

Assegnazione di responsabilità

La responsabilità di rispettare la legge sulla sicurezza informatica si sposta sull’operatore economico che modifica sostanzialmente un dispositivo connesso. Tuttavia, questa responsabilità viene esclusa per le patch di sicurezza che non modificano lo scopo previsto di un prodotto.

È stata aggiunta una nuova formulazione per specificare che questi aggiornamenti di sicurezza esclusi includono quelle “funzioni di modifica o le prestazioni di un prodotto con elementi digitali al solo scopo di ridurre il livello di rischio per la sicurezza informatica”.

Sono stati inoltre eliminati i prodotti con elementi digitali sviluppati o modificati da un ente della pubblica amministrazione esclusivamente per il proprio uso.

Rinforzo

Le autorità di vigilanza del mercato dell’UE riunite nel gruppo di cooperazione amministrativa pubblicheranno documenti di orientamento per semplificare l’applicazione del regolamento a livello nazionale, in particolare sotto forma di migliori pratiche e indicatori per verificare efficacemente la conformità.

Pezzi di ricambio

I componenti dei dispositivi connessi fabbricati esclusivamente come pezzi di ricambio per sostituire componenti identici sono stati esclusi dall’ambito di applicazione del regolamento. La nuova versione specifica che questi ricambi devono seguire “gli stessi processi di sviluppo e produzione del prodotto originale”.

[A cura di Nathalie Weatherald]

Leggi di più con EURACTIV

WhatsApp sposta la base legale per il trattamento dei dati personali in Europa

Ultime Notizie

Back to top button