La sicurezza informatica è ormai un tema centrale per cittadini, imprese e pubbliche amministrazioni. Smartphone, router Wi-Fi, telecamere di sorveglianza, dispositivi per la domotica e molti altri prodotti connessi a Internet fanno ormai parte della vita quotidiana, ma rappresentano anche possibili punti di accesso per gli attacchi informatici.
Con la pubblicazione nella Gazzetta Ufficiale dell'Unione Europea, la Commissione europea ha deciso di abrogare il Regolamento delegato (UE) 2022/30, trasferendo la disciplina della sicurezza informatica dei dispositivi digitali all'interno del nuovo Regolamento (UE) 2024/2847, conosciuto come Regolamento sulla ciberresilienza (Cyber Resilience Act).
L'obiettivo è semplice: creare un sistema unico di regole valido in tutta l'Unione Europea, evitando sovrapposizioni normative e rendendo più chiari gli obblighi per produttori, importatori e distributori.
Quando fu approvato il Regolamento delegato (UE) 2022/30, l'Unione Europea voleva rafforzare la sicurezza di alcune categorie di apparecchiature radio connesse a Internet.
Il regolamento introduceva requisiti destinati a proteggere:
Nel frattempo, però, l'Unione Europea ha adottato una normativa molto più ampia: il Regolamento sulla ciberresilienza, che disciplina in maniera uniforme tutti i prodotti dotati di componenti digitali.
Per evitare che uno stesso dispositivo fosse soggetto contemporaneamente a due discipline differenti, la Commissione ha deciso di eliminare il vecchio regolamento e far confluire gli obblighi nel nuovo quadro normativo europeo.
Il Regolamento sulla ciberresilienza è una normativa europea che stabilisce requisiti comuni di sicurezza informatica per tutti i prodotti con elementi digitali immessi sul mercato dell'Unione.
In pratica, ogni produttore dovrà progettare dispositivi e software seguendo criteri di sicurezza fin dalla fase di sviluppo.
Tra gli obiettivi principali figurano:
In questo modo, tutti gli Stati membri applicheranno le stesse regole, evitando differenze nazionali che potrebbero creare incertezze per le imprese e difficoltà per i consumatori.
Le principali novità riguardano chi produce, importa o distribuisce dispositivi digitali.
Le imprese dovranno dimostrare che i propri prodotti rispettano requisiti di sicurezza comuni prima dell'immissione sul mercato europeo.
Questo significa una maggiore attenzione a:
Per molte aziende il cambiamento rappresenta anche una semplificazione, perché sarà possibile fare riferimento a un unico regolamento europeo invece di applicare norme parzialmente sovrapposte.
Per i consumatori le novità saranno meno visibili, ma molto importanti.
L'obiettivo è acquistare dispositivi più sicuri già al momento della vendita.
Questo significa, ad esempio, avere maggiori garanzie che:
Naturalmente nessuna norma può eliminare completamente il rischio di attacchi informatici, ma l'intenzione dell'Unione Europea è ridurre le vulnerabilità già nella fase di progettazione dei prodotti.
Il regolamento pubblicato nella Gazzetta stabilisce che il Regolamento delegato (UE) 2022/30 sarà abrogato a decorrere dall'11 dicembre 2027, in coincidenza con la piena applicazione del nuovo Regolamento sulla ciberresilienza.
Fino a quella data continueranno ad applicarsi le disposizioni transitorie necessarie per garantire i controlli sui prodotti già immessi sul mercato.
La sicurezza informatica è diventata una componente essenziale del mercato unico europeo.
Un dispositivo vulnerabile venduto in uno Stato membro può essere utilizzato anche negli altri Paesi dell'Unione. Per questo motivo è fondamentale che le regole siano uniformi.
La scelta della Commissione europea punta quindi a:
Si tratta di un ulteriore passo nella strategia europea per affrontare le crescenti minacce informatiche e promuovere un ecosistema digitale più sicuro.
Regolamento europeo
È un atto normativo dell'Unione Europea direttamente applicabile in tutti gli Stati membri, senza bisogno di una legge nazionale di recepimento.
Regolamento delegato
È un atto adottato dalla Commissione europea per integrare o modificare alcuni elementi non essenziali di una normativa approvata dal Parlamento europeo e dal Consiglio.
Ciberresilienza (Cyber Resilience)
È la capacità di un prodotto digitale di resistere agli attacchi informatici, proteggere i dati e continuare a funzionare anche in presenza di minacce informatiche.
Il nuovo regolamento riguarda solo i produttori di software?
No. Si applica a una vasta gamma di prodotti con componenti digitali, compresi molti dispositivi hardware connessi a Internet.
Il Regolamento (UE) 2022/30 viene cancellato immediatamente?
No. L'abrogazione decorrerà dall'11 dicembre 2027, quando il nuovo quadro normativo sarà pienamente applicabile.
I cittadini dovranno fare qualcosa?
No. Gli obblighi ricadono principalmente sui produttori, sugli importatori e sui distributori dei prodotti digitali.
Perché l'Unione Europea ha deciso di unificare le regole?
Per evitare duplicazioni normative e garantire un livello uniforme di sicurezza informatica in tutto il mercato europeo.
Questa normativa renderà i dispositivi completamente sicuri?
Nessuna legge può eliminare tutti i rischi informatici, ma l'obiettivo è ridurre le vulnerabilità e imporre standard di sicurezza più elevati fin dalla progettazione dei prodotti.
Immaginiamo che ogni costruttore di automobili utilizzi regole diverse per installare gli airbag. Alcune auto avrebbero sistemi molto sicuri, altre meno. L'Unione Europea decide quindi di introdurre un unico standard valido per tutti i costruttori.
Lo stesso principio viene applicato ai prodotti digitali: invece di avere norme diverse per alcune categorie di dispositivi, il nuovo Regolamento sulla ciberresilienza stabilisce un insieme comune di requisiti di sicurezza per tutti i prodotti con elementi digitali destinati al mercato europeo.