Il Consiglio ha adottato oggi un nuovo regolamento sui requisiti di cibersicurezza per i prodotti con elementi digitali al fine di garantire che i prodotti, quali le videocamere, i frigoriferi, i televisori e i giocattoli connessi per uso domestico, siano sicuri prima di essere immessi sul mercato (legge sulla ciberresilienza). Il nuovo regolamento mira a colmare le lacune, chiarire i collegamenti e rendere più coerente l’attuale quadro legislativo in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell'”Internet delle cose” (IoT), siano resi sicuri lungo tutta la catena di approvvigionamento e durante tutto il loro ciclo di vita.
La nuova legge introduce requisiti di cibersicurezza a livello dell’UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software, al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell’UE. Ad esempio, i prodotti software e hardware recheranno la marcatura CE per indicare che sono conformi ai requisiti del regolamento. Le lettere “CE” compaiono su molti prodotti commercializzati sul mercato unico allargato dello Spazio economico europeo (SEE). Significano che i prodotti venduti nel SEE sono stati valutati per soddisfare elevati requisiti di sicurezza, salute e protezione ambientale.
Il regolamento si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o a una rete. Sono previste alcune eccezioni per i prodotti per i quali i requisiti di cibersicurezza sono già stabiliti nelle norme vigenti dell’UE, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili.
Infine, la nuova legge consentirà ai consumatori di tenere conto della sicurezza informatica nella scelta e nell’utilizzo di prodotti che contengono elementi digitali, rendendo più facile per loro identificare i prodotti hardware e software con le adeguate funzionalità di sicurezza informatica.
In particolare:
l’Articolo 7 – Prodotti con elementi digitali importanti definisce: … “ I prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti di cui all’allegato III sono considerati prodotti con elementi digitali importanti e sono soggetti alle procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3. L’integrazione di un prodotto con elementi digitali che ha la funzionalità principale di una categoria di prodotti di cui all’allegato III non rende di per sé il prodotto in cui è integrato assoggettato alle procedure di valutazione della conformità di cui all’articolo 32, paragrafi 2 e 3.” …
l’Art.32, Procedure di valutazione della conformità per prodotti con elementi digitali, al punto 5 stabilisce che: … ” I fabbricanti di prodotti con elementi digitali che si qualificano come software liberi e open-source che rientrano nelle categorie di cui all’allegato III sono in grado di dimostrare la conformità ai requisiti essenziali i cibersicurezza di cui all’allegato I utilizzando una delle procedure di cui al paragrafo 1 del presente articolo, a condizione che la documentazione tecnica di cui all’articolo 31 sia messa a disposizione del pubblico al momento dell’immissione sul mercato di tali prodotti.” …
ALLEGATO III
PRODOTTI CON ELEMENTI DIGITALI IMPORTANTI
Classe I
1) Sistemi di gestione dell’identità e software e hardware per la gestione degli accessi privilegiati, compresi i lettori di autenticazione e controllo degli accessi, tra cui i lettori biometrici;
2) browser autonomi e incorporati;
3) sistemi di gestione delle password;
4) software che cercano, rimuovono o mettono in quarantena i software maligni;
5) prodotti con elementi digitali con funzione di rete privata virtuale (VPN);
6) sistemi di gestione della rete;
7) sistemi di gestione delle informazioni e degli eventi di sicurezza (sistemi SIEM);
8) boot manager;
9) infrastrutture a chiave pubblica e software per il rilascio di certificati digitali;
10) interfacce di rete fisiche e virtuali;
11) sistemi operativi;
12) router, modem per la connessione a internet e switch;
13) microprocessori con funzionalità legate alla sicurezza;
14) microcontrollori con funzionalità legate alla sicurezza;
15) circuiti integrati per applicazioni specifiche (ASIC) e reti di porte programmabili
dall’utilizzatore (FPGA) con funzionalità legate alla sicurezza;
16) assistenti virtuali di uso generale per case intelligenti;
17) prodotti per case intelligenti con funzionalità di sicurezza, tra cui serrature intelligenti,
18) telecamere di sicurezza, sistemi di monitoraggio dei neonati e sistemi di allarme;