Regolamento n. 2024/2847 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali
-
- 24 Febbraio 2025
Premessa
La cibersicurezza è una delle sfide principali per l’Unione. Il numero e la varietà dei dispositivi connessi aumenteranno esponenzialmente nei prossimi anni. Gli attacchi informatici costituiscono una questione di interesse pubblico dal momento che hanno un impatto determinante non solo sull’economia dell’Unione, ma anche sulla democrazia, nonché sulla sicurezza dei consumatori e sulla salute. Occorre pertanto rafforzare l’approccio dell’Unione alla cibersicurezza, occuparsi della ciberresilienza a livello dell’Unione nonché migliorare il funzionamento del mercato interno, definendo un quadro giuridico uniforme per i requisiti essenziali di cibersicurezza per l’immissione sul mercato dell’Unione di prodotti con elementi digitali. È opportuno affrontare i due problemi principali che comportano ulteriori costi per gli utilizzatori e la società: un basso livello di cibersicurezza dei prodotti con elementi digitali, testimoniato da vulnerabilità diffuse e dalla fornitura insufficiente e incoerente di aggiornamenti di sicurezza per porvi rimedio così come un’insufficiente comprensione delle informazioni e un accesso limitato alle stesse da parte degli utilizzatori, che impediscono loro di scegliere prodotti con proprietà di cibersicurezza adeguate o di utilizzarli in modo sicuro.
Il regolamento[1] mira a stabilire le condizioni limite per lo sviluppo di prodotti con elementi digitali sicuri, garantendo che i prodotti hardware e software siano immessi sul mercato con un minor numero di vulnerabilità e che i fabbricanti prendano la sicurezza in seria considerazione durante l’intero ciclo di vita di un prodotto. Si propone inoltre di creare le condizioni che consentano agli utilizzatori di tenere conto della cibersicurezza nella scelta e nell’utilizzo dei prodotti con elementi digitali, ad esempio migliorando la trasparenza per quanto riguarda il periodo di assistenza dei prodotti con elementi digitali messi a disposizione sul mercato.
Il regolamento è entrato in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea, avvenuta in data 23 ottobre 2024; tuttavia iIl regolamento si applica dall’11 dicembre 2027; ad eccezione dell’articolo 14 che si applica a decorrere dall’11 settembre 2026 e il capo IV (articoli da 35 a 51) si applica a decorrere dall’11 giugno 2026.
Gli obiettivi
Stabilendo requisiti di cibersicurezza per l’immissione sul mercato di prodotti con elementi digitali, si intende migliorare la cibersicurezza di tali prodotti sia per i consumatori che per le imprese. Tali requisiti garantiranno inoltre che la cibersicurezza sia presa in considerazione in tutte le catene di approvvigionamento, rendendo più sicuri i prodotti finali con elementi digitali e i loro componenti. Ciò include anche requisiti per l’immissione sul mercato di prodotti di consumo con elementi digitali destinati ai consumatori vulnerabili, come giocattoli e sistemi di monitoraggio dei neonati. I prodotti di consumo con elementi digitali classificati nel presente regolamento come prodotti con elementi digitali importanti presentano un rischio di cibersicurezza più elevato in quanto svolgono una funzione che comporta un rischio significativo di effetti negativi in termini di intensità e capacità di danneggiare la salute, la sicurezza o l’incolumità degli utilizzatori di tali prodotti e dovrebbero essere sottoposti a una procedura di valutazione della conformità più rigorosa. Ciò vale per prodotti quali i prodotti per case intelligenti con funzionalità di sicurezza, comprese serrature intelligenti, sistemi di monitoraggio dei neonati e sistemi di allarme, giocattoli connessi e tecnologie sanitarie indossabili personali. Inoltre, le procedure di valutazione della conformità più rigorose cui devono essere sottoposti altri prodotti con elementi digitali classificati nel presente regolamento come prodotti con elementi digitali importanti o critici[2] contribuiranno a prevenire gli effetti negativi che lo sfruttamento delle vulnerabilità può avere sui consumatori.[3]
L’obiettivo del regolamento è garantire un livello elevato di cibersicurezza dei prodotti con elementi digitali e delle loro soluzioni integrate di elaborazione dati da remoto. Tali soluzioni di elaborazione dati da remoto dovrebbero essere definite come una elaborazione dati a distanza per la quale il software è stato progettato e sviluppato dal fabbricante del prodotto con elementi digitali in questione o per suo conto, la cui assenza impedirebbe al prodotto con elementi digitali di svolgere una delle sue funzioni. Tale approccio garantisce che tali prodotti siano protetti adeguatamente nella loro interezza dai fabbricanti, indipendentemente dal fatto che i dati siano trattati o conservati localmente sul dispositivo dell’utente o a distanza dal fabbricante. Allo stesso tempo, il trattamento o l’archiviazione a distanza rientrano nell’ambito di applicazione del presente regolamento solo nella misura in cui sono necessari affinché un prodotto con elementi digitali svolga le sue funzioni. Tale trattamento o archiviazione a distanza comprende l’eventualità in cui un’applicazione mobile richieda l’accesso a un’interfaccia per programmi applicativi o a una banca dati fornita tramite un servizio sviluppato dal fabbricante. In tal caso, il servizio rientra nell’ambito di applicazione del presente regolamento come soluzione di elaborazione dati da remoto. I requisiti relativi alle soluzioni di elaborazione dati da remoto che rientrano nell’ambito di applicazione del presente regolamento non comportano pertanto misure tecniche, operative o organizzative volte a gestire i rischi posti alla sicurezza dei sistemi informativi e di rete di un fabbricante nel loro complesso.[4]
Il Regolamento e la normativa degli Stati membri
Conformemente all’obiettivo del presente regolamento di rimuovere gli ostacoli alla libera circolazione dei prodotti con elementi digitali, gli Stati membri non dovrebbero impedire, per gli aspetti disciplinati dal presente regolamento, la messa a disposizione sul mercato di prodotti con elementi digitali che sono conformi al presente regolamento. Pertanto, per le questioni armonizzate dal presente regolamento, gli Stati membri non possono imporre requisiti di cibersicurezza supplementari per la messa a disposizione sul mercato di prodotti con elementi digitali. Qualsiasi soggetto, pubblico o privato, può tuttavia stabilire requisiti supplementari rispetto a quelli stabiliti nel presente regolamento per l’acquisto o l’uso di prodotti con elementi digitali per sue finalità specifiche e può pertanto scegliere di utilizzare prodotti con elementi digitali che soddisfano requisiti di cibersicurezza più rigorosi o più specifici di quelli applicabili alla messa a disposizione sul mercato a norma del presente regolamento. Fatte salve le direttive 2014/24/UE e 2014/25/UE del Parlamento europeo e del Consiglio, nell’acquistare prodotti con elementi digitali che devono essere conformi ai requisiti essenziali di cibersicurezza di cui al presente regolamento, compresi quelli relativi alla gestione delle vulnerabilità, gli Stati membri dovrebbero garantire che tali requisiti siano presi in considerazione nella procedura di appalto e che si tenga conto anche della capacità dei fabbricanti di applicare efficacemente misure di cibersicurezza e di gestire le minacce informatiche. Inoltre, la direttiva (UE) 2022/2555 stabilisce misure di gestione dei rischi di cibersicurezza per i soggetti essenziali e importanti di cui all’articolo 3 di detta direttiva. Tali misure potrebbero comportare misure di sicurezza della catena di approvvigionamento che richiedono l’uso da parte di detti soggetti di prodotti con elementi digitali che soddisfino requisiti di cibersicurezza più rigorosi di quelli stabiliti nel presente regolamento. Conformemente alla direttiva (UE) 2022/2555 e in linea con il suo principio di armonizzazione minima, gli Stati membri possono pertanto imporre requisiti di cibersicurezza supplementari per l’uso di prodotti delle tecnologie dell’informazione e della comunicazione (TIC) da parte di soggetti essenziali o importanti ai sensi di tale direttiva al fine di garantire un livello più elevato di cibersicurezza, a condizione che tali requisiti siano coerenti con gli obblighi degli Stati membri stabiliti dal diritto dell’Unione. Le questioni non disciplinate dal presente regolamento possono includere fattori non tecnici riguardanti i prodotti con elementi digitali e i relativi fabbricanti. Gli Stati membri possono pertanto stabilire misure nazionali, comprese restrizioni sui prodotti con elementi digitali o sui fornitori di tali prodotti, che tengano conto di fattori non tecnici. Le misure nazionali relative a tali fattori devono essere conformi al diritto dell’Unione.
Il regolamento non dovrebbe pregiudicare la responsabilità degli Stati membri di tutelare la sicurezza nazionale, nel rispetto del diritto dell’Unione. Gli Stati membri dovrebbero poter sottoporre i prodotti con elementi digitali acquistati o utilizzati a fini di sicurezza nazionale o di difesa a misure supplementari, a condizione che tali misure siano coerenti con gli obblighi degli Stati membri stabiliti dal diritto dell’Unione.
I destinatari della norma
Il regolamento si applica[5] agli operatori economici solo in relazione ai prodotti con elementi digitali messi a disposizione sul mercato, quindi ai prodotti forniti per la distribuzione o l’uso sul mercato dell’Unione nel corso di un’attività commerciale.
La fornitura nel corso di un’attività commerciale può essere caratterizzata non solo dall’applicazione di un prezzo per un prodotto con elementi digitali, ma anche dall’applicazione di un prezzo per i servizi di assistenza tecnica quando ciò non è finalizzato esclusivamente a recuperare i costi effettivi, dall’intenzione di monetizzare, ad esempio dalla fornitura di una piattaforma software attraverso la quale il fabbricante monetizza altri servizi, dall’imposizione, come condizione per l’utilizzo, del trattamento di dati personali per motivi diversi dal solo miglioramento della sicurezza, della compatibilità o dell’interoperabilità del software, o dall’accettazione di donazioni che superano i costi associati alla progettazione, allo sviluppo e alla fornitura di un prodotto con elementi digitali. L’atto di accettare donazioni senza fini di lucro non dovrebbe essere considerato costitutivo di un’attività commerciale.
Come sposare le politiche di cibersicurezza con la normativa sui prodotti digitali
Tenendo conto dell’importanza per la cibersicurezza di molti prodotti con elementi digitali che si qualificano come software liberi e open source che sono pubblicati ma non messi a disposizione sul mercato ai sensi del presente regolamento, le persone giuridiche che forniscono un sostegno duraturo per lo sviluppo di tali prodotti destinati ad attività commerciali e che svolgono un ruolo fondamentale nel garantire la sostenibilità economica di tali prodotti (gestori di software open source) dovrebbero essere soggette a un regime normativo semplificato e su misura. Sono gestori di software open source anche determinate fondazioni e soggetti che sviluppano e pubblicano software liberi e open source in un contesto commerciale, compresi i soggetti senza scopo di lucro. Il regime normativo dovrebbe tener conto della loro natura specifica e della loro compatibilità con il tipo di obblighi imposti. Dovrebbe riguardare solo i prodotti con elementi digitali che si qualificano come software liberi e open source destinati in ultima istanza ad attività commerciali, ad esempio quelli destinati all’integrazione in servizi commerciali o in prodotti monetizzati con elementi digitali.
Ai fini di tale regime normativo, l’intento di integrazione in prodotti monetizzati con elementi digitali riguarda anche i casi in cui i fabbricanti che integrano un componente nei propri prodotti con elementi digitali contribuiscono con regolarità allo sviluppo di tale componente o forniscono regolarmente assistenza finanziaria per garantire la continuità di un prodotto software. Apportare un sostegno duraturo allo sviluppo di un prodotto con elementi digitali comprende, tra l’altro, l’hosting e la gestione di piattaforme di collaborazione per lo sviluppo di software, l’hosting di codici sorgente o software, l’amministrazione o la gestione di prodotti con elementi digitali che si qualificano come software liberi e open source, nonché l’orientamento dello sviluppo di tali prodotti. Dato che tale regime normativo semplificato e su misura non assoggetta coloro che fungono da gestori di software open source agli stessi obblighi di coloro che fungono da fabbricanti a norma del presente regolamento, detti gestori non dovrebbero essere autorizzati ad apporre la marcatura CE sui prodotti con elementi digitali di cui sostengono lo sviluppo.
Il presente regolamento stabilisce norme orizzontali in materia di cibersicurezza che non sono specifiche per settori o per determinati prodotti con elementi digitali. Tuttavia potrebbero essere introdotte norme dell’Unione settoriali o specifiche per prodotto, volte a stabilire requisiti che affrontano tutti o alcuni dei rischi contemplati dai requisiti essenziali di cibersicurezza stabiliti nel presente regolamento. In tali casi l’applicazione del presente regolamento ai prodotti con elementi digitali contemplati da altre norme dell’Unione, che stabiliscono requisiti che affrontano tutti o alcuni dei rischi contemplati dai requisiti essenziali di cibersicurezza di cui al presente regolamento, può essere limitata o esclusa, qualora tale limitazione o esclusione sia coerente con il quadro normativo generale applicabile a tali prodotti e qualora le norme settoriali conseguano almeno lo stesso livello di protezione previsto dal presente regolamento. È opportuno conferire alla Commissione il potere di adottare atti delegati per integrare il presente regolamento individuando tali prodotti e norme. Per quanto riguarda il diritto dell’Unione vigente in cui dovrebbe essere applicata tale limitazione o esclusione, il presente regolamento prevede disposizioni specifiche per chiarire il suo rapporto con tale diritto dell’Unione.
Per garantire che i prodotti con elementi digitali, quando sono immessi sul mercato, non presentino rischi di cibersicurezza per le persone e le organizzazioni, è opportuno stabilire requisiti essenziali di cibersicurezza per tali prodotti. Tali requisiti essenziali di cibersicurezza, compresi i requisiti in materia di gestione delle vulnerabilità, si applicano a ogni singolo prodotto con elementi digitali al momento dell’immissione sul mercato, indipendentemente dal fatto che il prodotto con elementi digitali sia fabbricato come unità singola o in serie.
Ad esempio, per un tipo di prodotto, ogni singolo prodotto con elementi digitali dovrebbe aver ricevuto tutte le patch o gli aggiornamenti di sicurezza disponibili per affrontare le questioni di sicurezza pertinenti al momento dell’immissione sul mercato. Qualora i prodotti con elementi digitali vengano successivamente modificati, da mezzi fisici o digitali, in un modo non previsto dal fabbricante nella valutazione dei rischi iniziale e che potrebbe implicare il fatto che essi non rispettino più i requisiti essenziali di cibersicurezza pertinenti, la modifica dovrebbe essere considerata sostanziale. Ad esempio le riparazioni potrebbero essere assimilate a interventi di manutenzione purché non modifichino un prodotto con elementi digitali già immesso sul mercato in maniera tale da poter influire sulla sua conformità ai requisiti applicabili o da modificare la finalità prevista per la quale il prodotto è stato valutato.
Le categorie di prodotti con elementi digitali critici di cui al presente regolamento hanno una funzionalità legata alla cibersicurezza e svolgono una funzione che comporta un rischio significativo di effetti negativi in termini di intensità e capacità di perturbare, controllare o recare danno a un gran numero di altri prodotti con elementi digitali mediante manipolazione diretta. Inoltre, tali categorie di prodotti con elementi digitali sono considerate dipendenze critiche dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555. Le categorie di prodotti con elementi digitali critici stabiliti in allegato al presente regolamento, a causa della loro criticità, utilizzano già ampiamente varie forme di certificazione e rientrano anche nel sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC) di cui al regolamento di esecuzione (UE) 2024/482 della Commissione.
Pertanto, al fine di garantire una protezione comune adeguata della cibersicurezza dei prodotti con elementi digitali critici nell’Unione, potrebbe essere opportuno e proporzionato assoggettare tali categorie di prodotti, mediante un atto delegato, a una certificazione europea obbligatoria della cibersicurezza qualora sia già in vigore un pertinente sistema europeo di certificazione della cibersicurezza riguardante tali prodotti e la Commissione abbia effettuato una valutazione del potenziale impatto sul mercato della certificazione obbligatoria prevista.
Tale valutazione dovrebbe valutare sia il lato dell’offerta che quello della domanda, compresa l’esistenza di una domanda sufficiente dei prodotti con elementi digitali interessati sia da parte degli Stati membri che degli utilizzatori per richiedere la certificazione europea della cibersicurezza, nonché le finalità per le quali i prodotti con elementi digitali sono destinati a essere utilizzati, compresa la dipendenza critica da essi dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555. La valutazione dovrebbe inoltre analizzare i potenziali effetti della certificazione obbligatoria sulla disponibilità di tali prodotti sul mercato interno e le capacità e la prontezza degli Stati membri per l’attuazione dei pertinenti sistemi europei di certificazione della cibersicurezza.
Il presente regolamento affronta i rischi di cibersicurezza in modo mirato. I prodotti con elementi digitali possono tuttavia comportare altri rischi di sicurezza che non sono sempre connessi alla cibersicurezza ma che possono essere la conseguenza di una violazione della sicurezza. Tali rischi dovrebbero continuare a essere regolamentati da altre normative di armonizzazione dell’Unione pertinenti diverse dal presente regolamento. Se non sono applicabili altre normative di armonizzazione dell’Unione diverse dal presente regolamento, essi dovrebbero essere soggetti al regolamento (UE) 2023/988 del Parlamento europeo e del Consiglio. Pertanto, alla luce della natura mirata del presente regolamento, in deroga all’articolo 2, paragrafo 1, terzo comma, lettera b), del regolamento (UE) 2023/988, il capo III, sezione 1, i capi V e VII e i capi da IX a XI del regolamento (UE) 2023/988 dovrebbero applicarsi ai prodotti con elementi digitali per quanto riguarda i rischi di sicurezza non contemplati dal presente regolamento, qualora tali prodotti non siano soggetti a requisiti specifici stabiliti da altre normative di armonizzazione dell’Unione diverse dal presente regolamento ai sensi dell’articolo 3, punto 27), del regolamento (UE) 2023/988.
I prodotti con elementi digitali classificati come sistemi di IA ad alto rischio a norma dell’articolo 6 del regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio che rientrano nell’ambito di applicazione del presente regolamento dovrebbero essere conformi ai requisiti essenziali di cibersicurezza stabiliti da quest’ultimo. Se soddisfano i requisiti essenziali di cibersicurezza stabiliti nel presente regolamento, tali sistemi di IA ad alto rischio dovrebbero essere considerati conformi ai requisiti di cibersicurezza stabiliti all’articolo 15 del regolamento (UE) 2024/1689 nella misura in cui tali requisiti siano contemplati dalla dichiarazione di conformità UE, o da sue parti, rilasciata a norma del presente regolamento. A tal fine la valutazione dei rischi di cibersicurezza associati a un prodotto con elementi digitali classificato come sistema di IA ad alto rischio a norma del regolamento (UE) 2024/1689 di cui si deve tenere conto durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto, come previsto dal presente regolamento, dovrebbe considerare i rischi alla ciberresilienza di un sistema di IA per quanto riguarda i tentativi di terzi non autorizzati di alterarne l’uso, il comportamento o le prestazioni, comprese le vulnerabilità specifiche dell’IA come l’avvelenamento dei dati o gli attacchi antagonistici, così come, se del caso, i rischi ai diritti fondamentali conformemente al regolamento (UE) 2024/1689. Per quanto riguarda le procedure di valutazione della conformità relative ai requisiti essenziali di cibersicurezza di un prodotto con elementi digitali che rientra nell’ambito di applicazione del presente regolamento e che è classificato come sistema di IA ad alto rischio, è opportuno che si applichi come norma generale l’articolo 43 del regolamento (UE) 2024/1689 anziché le pertinenti disposizioni del presente regolamento. Tuttavia tale norma non dovrebbe comportare una riduzione del livello di garanzia necessario per i prodotti con elementi digitali importanti o critici di cui al presente regolamento. Pertanto, in deroga a tale norma, i sistemi di IA ad alto rischio che rientrano nell’ambito di applicazione del regolamento (UE) 2024/1689 e che sono anche prodotti con elementi digitali importanti o critici di cui al presente regolamento e ai quali si applica la procedura di valutazione della conformità basata sul controllo interno di cui all’allegato VI del regolamento (UE) 2024/1689 dovrebbero essere soggetti alle procedure di valutazione della conformità di cui al presente regolamento per quanto riguarda i requisiti essenziali di cibersicurezza stabiliti nello stesso. In tal caso, per tutti gli altri aspetti contemplati dal regolamento (UE) 2024/1689, è opportuno applicare le pertinenti disposizioni in materia di valutazione della conformità basata sul controllo interno di cui all’allegato VI di tale regolamento.
La formazione in materia di cibersicurezza quale volano per la piena applicazione del regolamento.
L’efficacia dell’attuazione del regolamento dipenderà anche dalla disponibilità di competenze adeguate in materia di cibersicurezza[6]. A livello dell’Unione, vari documenti programmatici e politici, tra cui la comunicazione della Commissione, del 18 aprile 2023, dal titolo «Colmare il divario di talenti nel settore della cibersicurezza per rafforzare la competitività, la crescita e la resilienza dell’UE» e le conclusioni del Consiglio, del 22 maggio 2023, sulla politica di ciberdifesa dell’UE hanno riconosciuto il divario di competenze in materia di cibersicurezza nell’Unione e la necessità di affrontare tali sfide in via prioritaria, sia nel settore pubblico che in quello privato. Al fine di garantire un’efficace attuazione del presente regolamento, gli Stati membri dovrebbero assicurare che le autorità di vigilanza del mercato e gli organismi di valutazione della conformità abbiano a loro disponibilità risorse adeguate per poter impiegare il personale necessario allo svolgimento dei loro compiti, come stabilito nel presente regolamento.
Tali misure dovrebbero migliorare la mobilità della forza lavoro nel settore della cibersicurezza e i relativi percorsi professionali. Dovrebbero inoltre contribuire a rendere la forza lavoro nel settore della cibersicurezza più resiliente e inclusiva, anche in termini di genere. Gli Stati membri dovrebbero pertanto adottare misure per garantire che tali compiti siano svolti da professionisti adeguatamente formati, dotati delle necessarie competenze in materia di cibersicurezza. Analogamente, i fabbricanti dovrebbero garantire che il loro personale disponga delle competenze necessarie per adempiere agli obblighi stabiliti dal presente regolamento. Gli Stati membri e la Commissione, in linea con le rispettive prerogative e competenze e con i compiti specifici loro attribuiti dal presente regolamento, dovrebbero adottare misure per sostenere i fabbricanti, in particolare le microimprese e le piccole e medie imprese, comprese le start-up, anche in settori quali lo sviluppo delle competenze, ai fini del rispetto dei loro obblighi quali stabiliti nel presente regolamento. Inoltre, poiché la direttiva (UE) 2022/2555 impone agli Stati membri, nell’ambito delle loro strategie nazionali relative alla cibersicurezza, di adottare politiche volte a promuovere e sviluppare la formazione nella cibersicurezza e competenze in materia di cibersicurezza, gli Stati membri, nell’adottare tali strategie, possono inoltre prendere in considerazione di affrontare il fabbisogno di competenze in materia di cibersicurezza derivante dal presente regolamento, compreso quello relativo alla riqualificazione e al miglioramento delle competenze.
La disciplina sui dati personali e il regolamento
Il regolamento dovrebbe lasciare impregiudicato il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (17), comprese le disposizioni relative all’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità a detto regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Tali operazioni potrebbero essere integrate in un prodotto con elementi digitali. La protezione dei dati fin dalla progettazione e per impostazione predefinita e la cibersicurezza in generale sono elementi fondamentali del regolamento (UE) 2016/679. Proteggendo i consumatori e le organizzazioni dai rischi di cibersicurezza, i requisiti essenziali di cibersicurezza stabiliti nel presente regolamento dovrebbero inoltre contribuire a migliorare la protezione dei dati personali e della vita privata delle persone.
Dovrebbero essere considerate le sinergie sia nell’ambito della normazione che della certificazione relativamente agli aspetti di cibersicurezza attraverso la cooperazione tra la Commissione, le organizzazioni europee di normazione, l’Agenzia dell’Unione europea per la cibersicurezza (ENISA), il comitato europeo per la protezione dei dati istituito dal regolamento (UE) 2016/679 e le autorità nazionali di controllo della protezione dei dati. È opportuno creare sinergie tra il presente regolamento e il diritto dell’Unione in materia di protezione dei dati anche nel settore della vigilanza del mercato e dell’applicazione delle norme. A tal fine le autorità nazionali di vigilanza del mercato designate a norma del presente regolamento dovrebbero cooperare con le autorità preposte alla vigilanza dell’applicazione del diritto dell’Unione in materia di protezione dei dati. Queste ultime dovrebbero inoltre avere accesso alle informazioni pertinenti per lo svolgimento dei loro compiti.
[1] REGOLAMENTO (UE) 2024/2847 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 ottobre 2024 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza). )Link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=OJ:L_202402847
[2] Articolo 8 Prodotti con elementi digitali critici 1. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 al fine di integrare il presente regolamento per determinare quali prodotti con elementi digitali aventi la funzionalità principale di una categoria di prodotti di cui all’allegato IV del presente regolamento debbano essere tenuti a ottenere un certificato europeo di cibersicurezza a un livello di affidabilità almeno «sostanziale» nell’ambito di un sistema europeo di certificazione della cibersicurezza adottato a norma del regolamento (UE) 2019/881, al fine di dimostrare la conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I del presente regolamento o parti di essi, a condizione che un sistema europeo di certificazione della cibersicurezza che copra tali categorie di prodotti con elementi digitali sia stato adottato a norma del regolamento (UE) 2019/881 e sia a disposizione dei fabbricanti. Tali atti delegati specificano il livello di affidabilità richiesto che è proporzionato al livello di rischio di cibersicurezza associato ai prodotti con elementi digitali e tengono conto della loro finalità prevista, compresa la dipendenza critica da essi da parte dei soggetti essenziali di cui all’articolo 3, paragrafo 1, della direttiva (UE) 2022/2555. Prima di adottare tali atti delegati, la Commissione effettua una valutazione del potenziale impatto sul mercato delle misure previste e procede a consultazioni con i portatori di interessi pertinenti, compreso il gruppo europeo per la certificazione della cibersicurezza istituto a norma del regolamento (UE) 2019/881. La valutazione tiene conto della preparazione e del livello di capacità degli Stati membri per l’attuazione del pertinente sistema europeo di certificazione della cibersicurezza. Qualora non siano stati adottati gli atti delegati di cui al primo comma del presente paragrafo, i prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti di cui all’allegato IV sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafo 3. Gli atti delegati di cui al primo comma prevedono un periodo di transizione minimo di sei mesi, a meno che un periodo di transizione più breve non sia giustificato da imperativi motivi di urgenza. 2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per modificare l’allegato IV aggiungendo o ritirando categorie di prodotti con elementi digitali critici. Nel determinare tali categorie di prodotti con elementi digitali critici e il livello di affidabilità richiesto, conformemente al paragrafo 1 del presente articolo, la Commissione tiene conto dei criteri di cui all’articolo 7, paragrafo 2, e garantisce che le categorie di prodotti con elementi digitali soddisfano almeno uno dei criteri seguenti:
a) vi è una dipendenza critica dei soggetti essenziali di cui all’articolo 3 della direttiva (UE) 2022/2555 dalla categoria di prodotti con elementi digitali;
b)gli incidenti e le vulnerabilità sfruttate riguardanti la categoria di prodotti con elementi digitali potrebbero causare gravi perturbazioni delle catene di approvvigionamento critiche in tutto il mercato interno.
Prima di adottare tali atti delegati, la Commissione effettua una valutazione del tipo di cui al paragrafo 1.
Gli atti delegati di cui al primo comma prevedono un periodo di transizione minimo di sei mesi, a meno che un periodo di transizione più breve non sia giustificato da imperativi motivi di urgenza.
[3] Articolo 12 Sistemi di IA ad alto rischio
1. Fatti salvi i requisiti relativi all’accuratezza e alla robustezza di cui all’articolo 15 del regolamento (UE) 2024/1689, i prodotti con elementi digitali che rientrano nell’ambito di applicazione del presente regolamento e sono classificati come sistemi di IA ad alto rischio ai sensi dell’articolo 6 di tale regolamento sono considerati conformi ai requisiti relativi alla cibersicurezza di cui all’articolo 15 di tale regolamento qualora:
a)tali prodotti soddisfino i requisiti essenziali di cibersicurezza di cui all’allegato I, parte I;
b) i processi messi in atto dal fabbricante siano conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II; e
c) il conseguimento del livello di protezione della cibersicurezza richiesta a norma dell’articolo 15 del regolamento (UE) 2024/1689 sia dimostrato nella dichiarazione di conformità UE rilasciata a norma del presente regolamento.
2. Per quanto riguarda i prodotti con elementi digitali e i requisiti di cibersicurezza di cui al paragrafo 1, del presente articolo si applica la pertinente procedura di valutazione della conformità prevista dall’articolo 43 del regolamento (UE) 2024/1689. Ai fini di tale valutazione, gli organismi notificati che sono competenti a controllare la conformità dei sistemi di IA ad alto rischio a norma del regolamento (UE) 2024/1689 sono anche competenti a controllare la conformità dei sistemi di IA ad alto rischio che rientrano nell’ambito di applicazione del presente regolamento ai requisiti di cui all’allegato I del presente regolamento, a condizione che la conformità di tali organismi notificati ai requisiti di cui all’articolo 39 del presente regolamento sia stata valutata nel contesto della procedura di notifica di cui al regolamento (UE) 2024/1689.
3. In deroga al paragrafo 2 del presente articolo, i prodotti con elementi digitali importanti di cui all’allegato III del presente regolamento che sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafo 2, lettere a) e b), e paragrafo 3, del presente regolamento e i prodotti con elementi digitali critici elencati nell’allegato IV del presente regolamento che sono tenuti a ottenere un certificato europeo di cibersicurezza ai sensi dell’articolo 8, paragrafo 1, del presente regolamento o, in assenza di tale certificato, sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafo 3, del presente regolamento, e che sono anche classificati come sistemi di IA ad alto rischio ai sensi dell’articolo 6 del regolamento (UE) 2024/1689 e ai quali si applica la procedura di valutazione della conformità basata sul controllo interno di cui all’allegato VI del regolamento (UE) 2024/1689, sono soggetti alle procedure di valutazione della conformità previste dal presente regolamento per quanto riguarda i requisiti essenziali di cibersicurezza stabiliti nel presente regolamento.
4. I fabbricanti di prodotti con elementi digitali di cui al paragrafo 1 del presente regolamento possono partecipare agli spazi di sperimentazione normativa per l’IA di cui all’articolo 57 del regolamento (UE) 2024/1689.
[4] Articolo 6 Requisiti per i prodotti con elementi digitali
I prodotti con elementi digitali sono messi a disposizione sul mercato soltanto se:
a) soddisfano i requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, a condizione che siano correttamente installati, siano oggetto di un’adeguata manutenzione e siano utilizzati conformemente alla loro finalità prevista o in condizioni ragionevolmente prevedibili e, se applicabile, siano stati installati i necessari aggiornamenti di sicurezza, e
b) i processi messi in atto dal fabbricante sono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II.
[5] Articolo 2 Ambito di applicazione
1. Il presente regolamento si applica ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete.
2. Il presente regolamento non si applica ai prodotti con elementi digitali a cui si applicano i seguenti atti giuridici dell’Unione:
a) regolamento (UE) 2017/745;
b) regolamento (UE) 2017/746;
c) regolamento (UE) 2019/2144.
3. Il presente regolamento non si applica ai prodotti con elementi digitali che sono stati certificati in conformità del regolamento (UE) 2018/1139.
4. Il presente regolamento non si applica all’equipaggiamento che rientra nell’ambito di applicazione della direttiva n. 2014/90/UE del Parlamento europeo e del Consiglio (36).
5. L’applicazione del presente regolamento ai prodotti con elementi digitali contemplati da altre norme dell’Unione, che stabiliscono requisiti che affrontano tutti o alcuni rischi contemplati dai requisiti essenziali di cibersicurezza di cui all’allegato I, può essere limitata o esclusa, qualora:
a) tale limitazione o esclusione sia coerente con il quadro normativo generale applicabile a tali prodotti; e
b) le norme settoriali conseguano lo stesso livello o un livello maggiore di protezione rispetto a quanto previsto dal presente regolamento.
Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 61 per integrare il presente regolamento specificando se tale limitazione o esclusione sia necessaria, i prodotti e le norme interessati, nonché l’ambito della limitazione, se pertinente.
6. Il presente regolamento non si applica ai pezzi di ricambio messi a disposizione sul mercato per sostituire componenti identici in prodotti con elementi digitali e fabbricati secondo le stesse specifiche dei componenti che sono destinati a sostituire.
7. Il presente regolamento non si applica ai prodotti con elementi digitali sviluppati o modificati esclusivamente per scopi di sicurezza nazionale o di difesa o ai prodotti specificamente progettati per trattare informazioni classificate.
8. Gli obblighi definiti nel presente regolamento non comportano la comunicazione di informazioni la cui divulgazione sarebbe contraria agli interessi essenziali degli Stati membri in materia di sicurezza nazionale, pubblica sicurezza o difesa.
[6] Articolo 10 Migliorare le competenze in un ambiente digitale ciberresiliente
Ai fini del presente regolamento e per rispondere alle esigenze dei professionisti a sostegno dell’attuazione del presente regolamento, gli Stati membri, se del caso, con il sostegno della Commissione, del Centro europeo di competenza per la cibersicurezza e dell’ENISA, nel pieno rispetto della responsabilità degli Stati membri nel settore dell’istruzione, promuovono misure e strategie volte a:
a) sviluppare competenze in materia di cibersicurezza e creare strumenti organizzativi e tecnologici per garantire una disponibilità sufficiente di professionisti qualificati al fine di sostenere le attività delle autorità di vigilanza del mercato e degli organismi di valutazione della conformità;
b) ad aumentare la collaborazione tra il settore privato, gli operatori economici, anche attraverso la riqualificazione o il miglioramento delle competenze dei dipendenti dei fabbricanti, i consumatori, gli erogatori di istruzione e formazione e le pubbliche amministrazioni, ampliando le possibilità per i giovani di accedere a posti di lavoro nel settore della cibersicurezza.
