Nuove obbligazioni di cybersecurity nell'UE

Nuove norme di cybersecurity nell’UE

Il Cyber Resilience Act (CRA) introduce nuove norme per i prodotti con elementi digitali

Il 10 ottobre 2024, l’Unione Europea ha ufficialmente adottato il Cyber Resilience Act (CRA), un regolamento che introduce nuove obbligazioni per i prodotti con elementi digitali. Questo atto normativo mira a rafforzare la sicurezza dei prodotti connessi alla rete, riducendo le vulnerabilità a minacce cyber. In questo articolo, esploreremo le principali novità del CRA e forniremo consigli utili per le aziende che devono adeguarsi a queste nuove norme.

Obiettivi del CRA

Il CRA è parte di una strategia più ampia dell’UE per rafforzare la cybersecurity e la resilienza digitale. Questo regolamento si concentra su tre principali obiettivi:

  1. Sicurezza dei prodotti con elementi digitali: Il CRA richiede che i prodotti con elementi digitali, come dispositivi IoT, software e componenti hardware, siano progettati e sviluppati con sicurezza in mente. Ciò include la gestione delle vulnerabilità e la fornitura di aggiornamenti di sicurezza durante il ciclo di vita del prodotto.
  2. Conformità e compliance: Il regolamento impone obblighi di conformità per i produttori, importatori e distributori di questi prodotti. Ciò include la valutazione di conformità, la segnalazione delle vulnerabilità e la verifica della documentazione necessaria per i prodotti con elementi digitali.
  3. Rapporto di incidenti e compliance: Il CRA prevede l’obbligo di segnalazione degli incidenti di sicurezza e la necessità di mantenere documentazione di compliance. Le autorità nazionali saranno in grado di richiedere accesso a questa documentazione per verificare la conformità ai requisiti del regolamento.

Chi è interessato

Il CRA si applica a tutte le aziende che producono, importano e distribuiscono prodotti con elementi digitali nell’UE, indipendentemente dalla loro sede. Ciò include:

  • Prodotti con elementi digitali: Dispositivi IoT, software, componenti hardware e soluzioni di elaborazione remota dei dati.
  • Esempi di prodotti: Occhiali connessi, giocattoli, elettrodomestici, dispositivi di wearable, software per il controllo remoto dei dispositivi.

Tuttavia, alcuni prodotti sono esclusi dal suo ambito, come dispositivi medici, veicoli motorizzati, aeromobili e imbarcazioni.

Obblighi specifici

Il CRA introduce obblighi specifici per i produttori, importatori e distributori:

  • Produttori:
    • Deve essere garantita la sicurezza del prodotto durante tutto il ciclo di vita.
    • Deve essere definito un periodo di supporto che rifletta il tempo di utilizzo previsto del prodotto.
    • Deve essere fornito aggiornamento di sicurezza durante il periodo di supporto.
  • Importatori e distributori:
    • Deve essere segnalata la presenza di rischi di sicurezza ai produttori e alle autorità se significativi.
    • Deve essere verificata la documentazione necessaria per i prodotti con elementi digitali.
    • Deve essere fornita informazione produttiva e verificata la documentazione richiesta.

Impatto e compliance

Il CRA entrerà in vigore 20 giorni dopo la sua pubblicazione nell’Official Journal dell’UE, prevista nei prossimi mesi. Le obbligazioni di segnalazione degli incidenti di sicurezza avranno inizio 21 mesi dopo l’entrata in vigore del regolamento, mentre le altre obbligazioni avranno inizio 36 mesi dopo (fine 2027).

Le autorità nazionali saranno in grado di utilizzare una vasta gamma di poteri per garantire la compliance, inclusa la richiesta di accesso ai dati per valutare la progettazione dei prodotti e condurre rilevamenti coordinati. In caso di violazione del regolamento, le aziende potranno essere soggette a sanzioni fino a 15 milioni di euro o al 2,5% del fatturato annuale mondiale. In casi di persistente non-compliance, le autorità potrebbero richiedere il ritiro o il ricall dei prodotti dal mercato UE.

Consigli per la compliance

Per aiutare le aziende a prepararsi per le nuove norme del CRA, ecco alcuni consigli utili:

  1. Valutazione del rischio:
    • Determinare se i prodotti cadono nelle categorie di “importante” o “critico”, poiché questi saranno soggetti a requisiti più stringenti.
    • Identificare le vulnerabilità e pianificare strategie per mitigarle.
  2. Documentazione:
    • Preparare la documentazione necessaria per la compliance, inclusi piani per la dichiarazione coordinata delle vulnerabilità.
    • Assicurarsi che la documentazione sia aggiornata e completa.
  3. Pianificazione:
  • Iniziare a pianificare la conformità al CRA almeno 12 mesi prima dell’entrata in vigore del regolamento.
  • Organizzare team interdisciplinari per gestire la compliance e la sicurezza dei prodotti.
  1. Formazione e awareness:
    • Organizzare corsi di formazione per i dipendenti sulla nuova normativa e sulle strategie di sicurezza.
    • Promuovere la cultura della sicurezza all’interno dell’azienda.
  2. Monitoraggio e revisione:
    • Monitorare costantemente le novità legislative e le aggiornamenti del regolamento.
    • Revisionare regolarmente le strategie di sicurezza e la documentazione per assicurare la compliance continua.

Il Cyber Resilience Act rappresenta un passo importante nella strategia di cybersecurity dell’UE, mirando a rafforzare la sicurezza dei prodotti con elementi digitali. Le aziende devono essere pronte a conformarsi a queste nuove norme, pianificando strategie di sicurezza e documentazione adeguata. Con l’aiuto di questi consigli, le aziende possono garantire la compliance e ridurre i rischi di minacce cyber.

Fonte: https://www.jdsupra.com/legalnews/new-eu-cybersecurity-obligations-for-974363

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto