Il 10/10/2024 il Consiglio ha adottato oggi un nuovo regolamento sui requisiti di cibersicurezza per i prodotti con elementi digitali al fine di garantire che prodotti quali fotocamere domestiche connesse, frigoriferi, televisori e giocattoli siano sicuri prima della loro immissione sul mercato (regolamento sulla ciberresilienza). Il nuovo regolamento mira a colmare le lacune, chiarire i collegamenti e rendere più coerente il quadro normativo in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell'internet delle cose, siano resi sicuri lungo l'intera catena di approvvigionamento e per tutto il ciclo di vita.
Il nuovo regolamento introduce requisiti di cibersicurezza a livello di UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell'UE. Ad esempio, i prodotti software e hardware recheranno la marcatura CE per indicare che sono conformi ai requisiti del regolamento. La marcatura "CE" figura su molti prodotti commercializzati nel mercato unico esteso dello Spazio economico europeo (SEE). Essa indica che i prodotti venduti nel SEE sono stati giudicati conformi a elevati requisiti in materia di sicurezza, salute e protezione dell'ambiente.
Il regolamento si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cibersicurezza in virtù delle norme dell'UE vigenti,, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili.
Infine, il nuovo regolamento consentirà ai consumatori di tener conto della cibersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali rendendo più facile individuare prodotti hardware e software con caratteristiche di cibersicurezza adeguate.
A seguito dell'adozione odierna, l'atto legislativo sarà firmato dal presidente del Consiglio e dalla presidente del Parlamento europeo e pubblicato nella Gazzetta ufficiale dell'Unione europea nelle prossime settimane. Il nuovo regolamento entrerà in vigore venti giorni dopo la pubblicazione e si applicherà 36 mesi dopo la sua entrata in vigore, con alcune disposizioni da applicarsi in una fase anticipata.
Annunciato per la prima volta dalla presidente della Commissione von der Leyen nel suo discorso sullo stato dell'Unione del settembre 2021, il regolamento sulla ciberresilienza è stato menzionato nelle conclusioni del Consiglio sullo sviluppo della posizione dell'Unione europea in materia di deterrenza informatica, del 23 maggio 2022, in cui si invita la Commissione a presentare una proposta entro fine 2022.
Il 15 settembre 2022 la Commissione ha presentato la proposta relativa al regolamento sulla ciberresilienza, che integrerà il quadro dell'UE in materia di cibersicurezza: la direttiva sulla sicurezza delle reti e dell'informazione (direttiva NIS), la direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione (direttiva NIS 2) e il regolamento UE sulla cibersicurezza. A seguito di negoziati interistituzionali ("triloghi"), il 30 novembre 2023 i colegislatori hanno raggiunto un accordo provvisorio.