Le nuove regole sulla sicurezza dei prodotti: ecco le ricadute per il digitale, inclusa l’AI
Indirizzo copiato
Dal 13 dicembre 2024 è applicabile in tutti gli Stati membri UE il Regolamento 2023/988, noto come General Product Safety Regulation (GPSR), con cui l’Unione Europea compie un passo decisivo verso un mercato più sicuro e responsabile, affrontando i rischi connessi al commercio digitale e alle nuove tecnologie, AI compresa. Ecco i punti salienti
Pubblicato il 17 dic 2024
Avvocato, Associate 42 Law Firm
Avvocato, FIP (IAPP), ISO/IEC 27001 e 42001, Of counsel 42 Law Firm
La “tempesta” di innovazioni normative europee è tutt’altro che placata. Il 13 dicembre 2024 (tranne per ambiti già regolati da altre norme settoriali, come gli alimenti), pur in vigore da maggio 2023, è applicabile in tutti gli Stati membri dell’Unione Europea il Regolamento (UE) 2023/988, noto come General Product Safety Regulation (GPSR). Che sostituisce e abroga la precedente Direttiva 2001/95/CE sulla sicurezza generale dei prodotti (recepita localmente nel nostro Codice del Consumo) oltre che la direttiva Direttiva 87/357/CEE sull’aspetto dei prodotti. Perché questa innovazione abbia importanti ricadute sugli ambiti cyber security e digitali in genere è il tema di questo contributo.
Partiamo da considerazioni generali: il nuovo Regolamento vuole introdurre standard più rigorosi per affrontare le trasformazioni tecnologiche e le dinamiche del mercato digitale e delle vendite online, garantendo una maggiore tutela della sicurezza (fisica e non) consumatori europei. Il tema è quello della “safety”, cioè della sicurezza “orizzontale” dei prodotti, che va improntata al principio di precauzione. Venduti online o meno, il canale di vendita è indifferente, ma alcune delle maggiori innovazioni toccano l’e-commerce e il digitale.
Questa revisione si è resa necessaria prevalentemente a causa degli sviluppi connessi alle nuove tecnologie, proprio per tutelare i consumatori dai rischi finora trascurati della digitalizzazione e del commercio online. Per meglio dire, alcune normative trattano alcuni di questi aspetti ma non in maniera completa e mirata (pensiamo per es. al tema degli update di software per la sicurezza), richiedendo una norma-cerniera a completare le tutele richieste dai nuovi prodotti.
Il tema è considerato talmente importante, come si può notare, da essere passati da una Direttiva a un Regolamento, dunque con un impatto che si vorrebbe uniforme.
I prodotti dovranno essere valutati non solo in base ai rischi legati al loro uso previsto ma anche considerando eventuali pericoli derivanti dall’utilizzo delle nuove tecnologie in essi integrate (software e hardware, intelligenza artificiale inclusa).
Di seguito si può vedere uno schema dalla valutazione di impatto precedente al Regolamento, utile per capire la ratio dell’innovazione normativa.
Segnaliamo un altro dato importante, a premessa: non sussistono eccezioni applicative per le PMI, solo alcune facilitazioni (come orientamenti ad hoc della Commissione, ancora in fieri) e un vago richiamo al principio di proporzionalità.
Tanto più importante se pensiamo alle sanzioni: in attesa della normativa italiana di attuazione dell’art. 44 del Regolamento, rimangono vigenti le sanzioni previste dal Codice del consumo attinenti agli obblighi da questo prescritti (sanzioni penali e civili, per es. per i produttori la violazione delle disposizioni relative agli obblighi di sicurezza, informazione e collaborazione con le autorità è soggetto a una sanzione amministrativa pecuniaria da 1.500 a 30.000 euro).
Indice degli argomenti
- “Prodotto” in senso esteso
- Il nuovo “prodotto sicuro”
- Obblighi principali degli operatori nella supply chain
- Gli e-commerce e i prodotti online
- Prodotti con intelligenza artificiale: che fare?
- Dati personali dei consumatori e obblighi normativi
- Conclusioni
“Prodotto” in senso esteso
Il Regolamento si applica a tutti i “prodotti” immessi sul mercato UE, (inclusi quelli usati, ricondizionati o riparati), sia che vengano venduti attraverso negozi fisici, sia che vengano venduti attraverso la vendita online. A condizione che non vi siano disposizioni specifiche con lo stesso obiettivo previste dal diritto dell’UE che regolano la sicurezza dei prodotti in questione.
GUIDA
Scopri come adeguarti alla direttiva NIS2: una guida completa
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei miei dati a terzi affinché li trattino per proprie finalità di marketing tramite modalità automatizzate e tradizionali di contatto.
Fine modulo
Si applica pertanto a qualsiasi “articolo”, interconnesso o meno ad altri articoli, fornito o reso disponibile a titolo oneroso o gratuito, – anche nel quadro di una prestazione di servizi – ai consumatori o suscettibile, in condizioni ragionevolmente prevedibili, di essere utilizzato dai consumatori. Quindi un “prodotto” non è limitato a un oggetto fisico ma può includere prodotti digitali, come un software.
Si badi che il Regolamento, però, non si applica ai software venduti o distribuiti come prodotti puramente digitali, come per es. un software di elaborazione testi o un videogioco scaricato da internet. Lo è invece un software integrato in uno smartphone, in un’automobile o in un giocattolo. Oltre al software che – venduto separatamente, standalone – potrebbe essere soggetto al Regolamento se può influenzare la sicurezza di un prodotto fisico.
Detto ciò, la valutazione della sicurezza di un prodotto dovrebbe tenere conto dei rischi per la salute posti dai prodotti digitalmente connessi, anche per quanto riguarda i rischi per la salute mentale dei consumatori. Ciò suggerisce che il Regolamento consideri esplicitamente i prodotti digitali come parte del suo campo di applicazione.
Non solo: è il Mimit stesso a precisare nelle sue FAQ sulla nuova regolazione che il regolamento si applica anche a prodotti utilizzabili sia da professionisti che (se ragionevolmente prevedibile) consumatori. La mera dicitura “per uso professionale” non è di per sé sufficiente a esimere dall’applicazione del Regolamento.
Il nuovo “prodotto sicuro”
Il testo ridefinisce e amplia la nozione di “prodotto sicuro” per la salute e la sicurezza dei consumatori, introducendo criteri di valutazione più rigorosi. Ricordiamo che i danni coperti dalla normativa non comprendono quelli alle cose, salvo che non siano collegati alla sicurezza o saluta della persona consumatore.
La sicurezza, a seconda dei casi, potrebbe non essere assoluta ma presentare un rischio “accettabile”. La precedente Direttiva stabiliva che la sicurezza del prodotto dovesse tenere in considerazione le sue caratteristiche, il suo imballaggio, il suo effetto su altri prodotti, la sua presentazione, la sua etichettatura e le categorie di consumatori.
Con il nuovo Regolamento, tali criteri vengono integrati e ampliati per includere rischi legati alle nuove tecnologie e all’intero ciclo di vita del prodotto, includendo la security nella safety. Ad esempio, dispositivi connessi o prodotti digitalmente avanzati, per essere sicuri, devono essere esaminati quanto ai rischi legati alla cybersicurezza – come il rischio di attacco hacker.
Nello studio sull’impatto del progetto di Regolamento, si menziona l’esempio di un’auto, notificata nel Safety Gate/RAPEX, la cui radio connessa potrebbe aver presentato alcune vulnerabilità di sicurezza software che consentivano l’accesso non autorizzato ai sistemi di controllo interconnessi del veicolo. Se queste vulnerabilità di sicurezza software fossero state sfruttate da terzi per scopi dannosi, si sarebbe potuto verificare un incidente stradale.
Un altro esempio riguarda la sicurezza personale che può essere messa in pericolo dall’accesso di terze parti alle loro informazioni: un altro caso segnalato riguardava uno smartwatch per bambini. In assenza di un livello minimo di sicurezza, potrebbe essere facilmente utilizzato come strumento potenziale, da parte di chiunque, per accedere alla posizione del bambino.
Il Regolamento introduce dunque l’obbligo di progettare tali prodotti secondo il principio di sicurezza (security) by design, e che prevede l’integrazione della sicurezza sin dalle prime fasi di sviluppo del prodotto. Questo include, implicitamente, la protezione dei dati personali eventualmente coinvolti nell’uso del prodotto.
La sicurezza deve inoltre essere garantita durante l’uso del prodotto, tenendo conto di aggiornamenti software, manutenzione e altri fattori che possano influire sulla sicurezza nel tempo. In aggiunta ai tradizionali rischi fisici e meccanici.
Il Regolamento richiede, inoltre, che la documentazione sulla sicurezza sia costantemente aggiornata per riflettere eventuali variazioni nei rischi, come nuovi protocolli di sicurezza o aggiornamenti software.
Nello specifico, l’art. 6 richiede che vengano presi in considerazione tra l’altro:
- le interazioni con altri prodotti; il testo non menziona esplicitamente la sicurezza dei beni in relazione ai prodotti di consumo, tuttavia, la valutazione della sicurezza del prodotto deve tenere conto dell’effetto del prodotto su altri prodotti se è ragionevolmente prevedibile che verrà utilizzato con altri prodotti;
- l’etichettatura sull’idoneità all’età, le eventuali avvertenze e istruzioni per l’uso e lo smaltimento sicuri nonché qualsiasi altra indicazione o informazione relativa al prodotto;
- le categorie di consumatori che utilizzano il prodotto, in particolare valutando i rischi per i consumatori vulnerabili – come i bambini, gli anziani e le persone con disabilità – nonché l’impatto delle differenze di genere sulla salute e la sicurezza;
- l’aspetto del prodotto, quando può indurre i consumatori a utilizzarlo in modo diverso da quello per cui è stato progettato;
- gli aspetti legati alla cyber security, la protezione da attacchi esterni che possano incidere sul prodotto, la possibile perdita di interconnessione.
Va segnalato che sussistono possibili presunzioni di sicurezza, se si è conformi a normative esistenti in ambito di marcatura eccetera.
Sul punto della cybersicurezza, più precisamente il Regolamento richiede che i prodotti siano dotati di adeguate caratteristiche per proteggerli da influenze esterne, compresi i terzi malintenzionati. Queste influenze, se non mitigate, potrebbero compromettere la sicurezza del prodotto e causare danni agli utenti, “se tale influenza potrebbe avere un impatto sulla sicurezza del prodotto, compresa la possibile perdita di interconnessione”.
Questo significa che i fabbricanti devono valutare i rischi di cibersicurezza specifici per i loro prodotti e adottare le misure necessarie per mitigarli, garantendo che i prodotti siano sufficientemente protetti.
Obblighi principali degli operatori nella supply chain
Il Regolamento in parola coinvolge tutti gli attori della catena di fornitura, dai produttori agli importatori, dai distributori alle piattaforme di vendita online. Introduce una profonda revisione normativa, adeguando le regole esistenti alle dinamiche dei mercati digitali e alla crescente diffusione di prodotti tecnologici, vendite a distanza, marketplace ed e-commerce.
Il legislatore europeo punta a una maggiore responsabilizzazione di tutti gli operatori economici, che assumono un ruolo attivo non solo nel processo economico, ma anche in quello di compliance, con l’obiettivo di garantire una maggiore tutela dei consumatori.
I fabbricanti (come quelli che appongono il proprio marchio sul prodotto) sono i primi responsabili della sicurezza dei prodotti e devono rispettare diversi obblighi specifici, tra cui:
- analisi dei rischi: effettuare un’analisi dei rischi legati al prodotto prima dell’immissione sul mercato, effettuando test di conformità, anche tramite terzi qualificati;
- documentazione tecnica: predisporre e conservare per un periodo di almeno 10 anni tutta la documentazione tecnica necessaria per attestare la conformità del prodotto alle norme di sicurezza UE;
- tracciabilità dei prodotti: fornire informazioni identificative del prodotto e del fabbricante (sul prodotto, sull’imballaggio o su documenti accompagnatori) tramite mezzi tradizionali o digitali, come QR code, includendo istruzioni e avvertenze sulla sicurezza (in una lingua comprensibile ai consumatori dello Stato membro in cui il prodotto è distribuito);
- canali di comunicazione: garantire ai consumatori un accesso semplice a canali per presentare reclami o segnalare problemi di sicurezza, come numeri di telefono, indirizzi e-mail o sezioni dedicate sul sito web.
Gli importatori che introducono prodotti nell’Unione Europea devono d’altro canto:
- informazioni identificative del prodotto, delle istruzioni e delle avvertenze sulla sicurezza.
In caso di prodotti pericolosi, gli importatori devono agire rapidamente adottando le misure correttive necessarie, informando i consumatori e le autorità competenti. Inoltre, sono tenuti a collaborare con fabbricanti e distributori per risolvere i problemi di sicurezza.
I distributori sono tenuti a interrompere la vendita e segnalare alle autorità eventuali anomalie di sicurezza riscontrate. Sono anche responsabili della verifica che i prodotti siano corredati dalle istruzioni e dalle informazioni sulla sicurezza e devono agire prontamente in caso di richiami del prodotto.
Gli e-commerce e i prodotti online
Le piattaforme di vendita online di prodotti – come Amazon, Ebay, Aliexpress – assumono un ruolo attivo nel mercato digitale, passando da semplici intermediari a soggetti direttamente responsabili per i prodotti offerti tramite i loro servizi.
Secondo l’art. 3 del Regolamento, queste piattaforme sono definite come fornitori di un servizio di intermediazione (marketplace) che utilizzano un’interfaccia online per consentire ai consumatori di concludere contratti a distanza con operatori commerciali per la vendita di prodotti.
In base all’art. 4 del Regolamento, i prodotti venduti online o attraverso mezzi di vendita a distanza si considerano immessi sul mercato UE se l’offerta è rivolta ai consumatori dell’Unione. Un’offerta è considerata rivolta ai consumatori dell’UE se l’operatore economico utilizza qualsiasi mezzo per indirizzare le proprie attività verso uno, o più, Stati membri. Pertanto, il Regolamento si applica anche ai venditori online con sede al di fuori dell’UE.
Le piattaforme online devono ora implementare controlli rigorosi per garantire la conformità dei prodotti alle normative di sicurezza, con l’obbligo di rimuovere prontamente i prodotti non sicuri o non conformi.
Tra gli obblighi principali previsti dall’art. 22 del testo, le piattaforme devono:
- registrarsi sul portale europeo Safety Gate (noto finora coma RAPEX), che consente ai consumatori di presentare reclami, scambiare informazioni tra autorità nazionali e la Commissione, e segnalare incidenti o prodotti pericolosi;
- fornire un punto di contatto unico, per consentire ai destinatari dei prodotti di comunicare direttamente con loro tramite il portale Safety Gate (già obbligatorio ai sensi del Reg. 2022/2065, cioè il Digital Services Act, norma che vede diversi aspetti integrati dal nuovo Regolamento);
- adottare processi interni per monitorare la sicurezza dei prodotti offerti e rimuovere prontamente quelli pericolosi o non conformi ai requisiti del Regolamento;
- rendere disponibili ai consumatori informazioni sul fabbricante o sulla persona responsabile dell’immissione sul mercato (art. 16), oltre a dettagli sull’identificazione del prodotto, avvertenze sui rischi e istruzioni per un uso sicuro.
Le autorità di vigilanza possono inoltre emettere specifici ordini, obbligando i fornitori di piattaforme online a rimuovere contenuti relativi a prodotti pericolosi o ad aggiungere avvertenze specifiche alle offerte.
Con questa evoluzione normativa, le piattaforme online non si limitano più al ruolo commerciale di intermediazione, ma diventano attori attivi nel controllo della conformità dei prodotti, assumendo responsabilità dirette in caso di violazioni.
La conformità deve passare internamente da una procedura che comprenda un’analisi dei rischi di safety, un fascicolo tecnico apposito, tutte le informazioni pertinenti già citate su istruzioni d’uso e manutenzione del prodotto.
Prodotti con intelligenza artificiale: che fare?
Sul mercato stanno dilagando i prodotti che dichiarano l’uso di AI, in vari modi. Ora il Regolamento ne impone una chiara copertura quanto alla safety, assommandosi alle altre norme rilevanti come l’AI Act.
Già in fase dello studio della Commissione del 2020 (“Commission Report on safety and liability implications of AI, the Internet of Things and Robotics”, si era stabilito che per l’AI fossero necessarie regole chiare circa la safety.
Pur non menzionando espressamente l’AI, il testo del Regolamento si riferisce palesemente al tema quando prevede aspetti come:
- sottolineare l’importanza di valutare i rischi per la salute, inclusa la salute mentale, posti dai prodotti digitalmente connessi, in particolare per i consumatori vulnerabili come i minori; vi sono infatti evidenze che i prodotti connessi possono essere causa di depressione, perdita di sonno, alterazioni della funzione cerebrale, miopia o cecità precoce in studenti e bambini;
- menzionare la necessità di considerare le funzionalità evolutive, di apprendimento e predittive del prodotto nella valutazione della sicurezza. Queste caratteristiche sono chiaramente associabili all’AI e richiedono un’attenta valutazione dei potenziali rischi, rappresentando una delle sfide più difficili della disciplina;
- prevedere la possibilità di istituire un sistema di tracciabilità per determinati prodotti, categorie o gruppi di prodotti che possono presentare un rischio grave per la salute e la sicurezza dei consumatori – questo sistema potrebbe essere applicato anche ai prodotti basati sull’AI per garantire la trasparenza e la responsabilità nell’uso dei dati.
Il problema è tutto applicativo: per es. sussiste uno standard internazionale per la safety dei prodotti elettronici (incluso il software), lo IEC 61508, ma pare inadeguato per le caratteristiche peculiari dell’AI. Quale lo sia e se sussista, al momento, è una domanda a dir poco incerta, e dovrebbe essere una priorità delle istituzioni europee di standardizzazione (come il CEN/CENELEC che sta già lavorando agli standard indicati nell’AI Act).
Circa l’interazione con l’AI Act: il Regolamento prevede che si applichi ai prodotti “nella misura in cui non esistano disposizioni specifiche del diritto dell’Unione aventi lo stesso obiettivo che disciplinano la sicurezza dei prodotti in questione”. E se i prodotti sono soggetti a specifici requisiti di sicurezza prescritti da norme europee, il Regolamento si applica unicamente per gli aspetti e i rischi o le categorie di rischi non soggetti a tali requisiti.
D’altro canto, l’AI Act cita il Regolamento come una “rete di sicurezza” complementare, per i sistemi di IA collegati a prodotti che “non sono considerati ad alto rischio” (ai sensi dell’AI Act). Quindi possiamo affermare che per i prodotti con sistemi di AI (non ad alto rischio) i requisiti di safety non sono quelli dell’AI Act (con relative, prossime scadenze per l’applicabilità) bensì quelli del Regolamento, già a decorrere dal 13 dicembre 2024 per i nuovi prodotti. Quanti operatori se ne saranno accorti?
Dati personali dei consumatori e obblighi normativi
Merita una menzione il testo ove specifica che il trattamento dei dati personali, quando necessario ai fini del Regolamento, deve essere effettuato in conformità alla normativa data protection. Per esempio, in ambito di data retention e proporzionalità:
- quando i consumatori segnalano un prodotto nel portale Safety Gate, i dati personali necessari per la segnalazione del prodotto pericoloso devono essere conservati per un periodo non superiore a cinque anni dopo l’inserimento di tali dati;
- i fabbricanti e gli importatori devono conservare il registro dei reclami dei consumatori solo per il tempo necessario ai fini del Regolamento;
- se i fabbricanti e gli importatori sono persone fisiche, devono divulgare i loro nominativi per garantire che il consumatore sia in grado di identificare il prodotto ai fini della tracciabilità;
- il Regolamento incoraggia gli operatori economici e i fornitori di mercati online a raccogliere i dati personali dei loro clienti al fine di informarli direttamente in caso di richiami o avvisi di sicurezza; questo può essere fatto attraverso sistemi di registrazione dei prodotti o programmi di fidelizzazione dei clienti – tuttavia, i dati personali raccolti a tale scopo devono essere limitati al minimo necessario e utilizzati solo per contattare i consumatori in caso di richiamo o avviso di sicurezza.
Conclusioni
Con il Regolamento UE 2023/988, l’Unione Europea compie un passo che si vuole decisivo verso un mercato più sicuro e responsabile, affrontando i rischi connessi al commercio digitale e alle nuove tecnologie. Gli obblighi assai più stringenti per fabbricanti, importatori, distributori e piattaforme online ridefiniscono le regole di sicurezza dei prodotti, con un focus inedito sulla cybersicurezza.
Le piattaforme online, da semplici intermediari, assumono un ruolo attivo nella conformità dei prodotti, con l’obbligo di rimuovere rapidamente articoli non sicuri e di collaborare con le autorità di vigilanza. Questo approccio promuove trasparenza e sicurezza, proteggendo consumatori e dati personali nell’ecosistema digitale.
Non sarà così semplice: nonostante sia già applicabile, la norma pare passata in sordina anche da parte delle istituzioni. La Commissione, in particolare, sembra aver subito le vicissitudini elettorali per essere arrivata al 13 dicembre senza aver emanato i dovuti atti delegati. Una mancanza piuttosto grave, alla luce di quanto visto sopra.
E non mancano altri rilievi critici da più parti: un primo rilievo riguarda i tempi troppo stretti, tra entrata in vigore e applicazione, per poter adempiere al nuovo plesso normativo. Va precisato però che i prodotti immessi sul mercato prima del 13 dicembre 2024 – e conformi solo alla Direttiva 2001/95/CE – possono continuare ad essere venduti. Gli altri dovranno essere a regime col Regolamento. Questa disposizione vuole garantire una transizione graduale dal vecchio al nuovo regime, evitando di creare troppi disagi agli operatori economici e ai consumatori.
Altri hanno evidenziato che si introducono nuovi obblighi per la supply chain che potrebbero comportare costi aggiuntivi e complessità operative, specialmente per le piccole e medie imprese, con ricadute ovvie sui prezzi ai consumatori. In particolare, le piattaforme online sono ora tenute a garantire la conformità dei prodotti venduti da terzi attraverso i loro canali con obblighi di tracciabilità e responsabilità in caso di prodotti non sicuri. Questo potrebbe richiedere investimenti significativi in sistemi di monitoraggio e controllo, aumentando la pressione sulle piattaforme digitali.
Infine, alcuni esperti hanno evidenziato che le definizioni presenti nel Regolamento – come quelle già citate e relative alle caratteristiche di cibersicurezza o alle funzionalità evolutive dei prodotti – potrebbero risultare troppo vaghe, generando incertezze nell’applicazione pratica. Qui potrà supplire la Commissione con il suo ruolo di indirizzo e specificazione.
Non resta che aggiungere che gli operatori dovranno tenere conto anche della complessità applicativa nell’ecosistema europeo, visto che potrebbero dover computare nella loro gestione dei rischi e di compliance anche le norme su AI, prodotti difettosi (v. Direttiva 2024/2853), ecc. Nuovamente con incertezze applicative.
Il Regolamento è un test cruciale per la capacità dell’Unione Europea di adattarsi a un mercato globale sempre più interconnesso e digitale.
Il successo di questo ambizioso framework normativo dipenderà non solo dall’adesione dei principali attori economici, ma anche dalla capacità dell’UE di chiarire, armonizzare e far rispettare le sue disposizioni in modo chiaro e tempestivo. O si rischia di rivelare l’ennesima sovrastruttura normativa che rallenta i progressi anziché guidarli? Sarà il tempo a dirlo: le scelte compiute ora plasmeranno il futuro delle dinamiche di sicurezza, responsabilità e fiducia nell’ecosistema economico dell’Unione.
E in questo equilibrio delicato, il margine di errore è davvero sottile.
white paper
Risk management: l’importanza di quantificare correttamente il rischio (non solo quello informatico)
Disaster recovery
Contract Management
Inizio modulo
Leggi l'informativa sulla privacy
E-mail*
- Acconsento alla comunicazione dei miei dati a terzi affinché li trattino per proprie finalità di marketing tramite modalità automatizzate e tradizionali di contatto.
Fine modulo
@RIPRODUZIONE RISERVATA
Valuta la qualità di questo articolo
M
Martina Mauloni
Avvocato, Associate 42 Law Firm
M
Andrea Michinelli
Avvocato, FIP (IAPP), ISO/IEC 27001 e 42001, Of counsel 42 Law Firm
Proteggi la tua azienda dagli attacchi informatici con strategie avanzate di cybersecurity
- Scaricalo gratis!DOWNLOAD
Who's Who
Argomenti
Canali
Speciale PNRR
Filtra per topic
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
Competenze digitali, ecco il nuovo piano operativo nazionale
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Accordi per l’innovazione, per le imprese altri 250 milioni
PNRR, opportunità e sfide per le smart city
Brevetti, il Mise mette sul piatto 8,5 milioni
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
PNRR, si sbloccano i fondi per l’agrisolare
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Comuni e digitale, come usare il PNRR senza sbagliare
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Competenze digitali, partono le Reti di facilitazione
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
PNRR 2, è il turno della space economy
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Competenze digitali e servizi automatizzati pilastri del piano Inps
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management in Italia: verso una transizione “smart” e “circular”
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Smart City: quale contributo alla transizione ecologica
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
Competenze digitali, ecco il nuovo piano operativo nazionale
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Accordi per l’innovazione, per le imprese altri 250 milioni
PNRR, opportunità e sfide per le smart city
Brevetti, il Mise mette sul piatto 8,5 milioni
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
PNRR, si sbloccano i fondi per l’agrisolare
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Comuni e digitale, come usare il PNRR senza sbagliare
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Competenze digitali, partono le Reti di facilitazione
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
PNRR 2, è il turno della space economy
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Competenze digitali e servizi automatizzati pilastri del piano Inps
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management in Italia: verso una transizione “smart” e “circular”
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Smart City: quale contributo alla transizione ecologica
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Articoli correlati
- Scenari
Cyber security, come si può difendere il settore manifatturiero nel 2024
21 Mar 2024
di Federica Maria Rita Livelli
Condividi
- STRATEGIA DIGITALE EUROPEA
Data Spaces, ecco come rispettare la privacy nella condivisione dei dati: le linee guida ENISA
08 Feb 2024
di Andrea Michinelli
Condividi
- NUOVE TECNOLOGIE
Piano triennale per l’informatica nella PA, tra AI e cyber security: principi, ruoli, monitoraggio
11 Apr 2024
di Pasquale Mancino
Condividi
- L'APPROFONDIMENTO
Strategia regolatoria della Cina sull'AI: equilibrio tra innovazione e controllo
16 Apr 2024
di Maria Beatrice Versaci e Alessia Tommei
Condividi
NIS 2, DORA e GDPR: come gestire la compliance con un sistema GRC (Governance Risk & Compliance)
- Scaricalo gratis!DOWNLOAD
Perimetro di sicurezza nazionale cibernetica: cos’è, come funziona, chi ci rientra
Indirizzo copiato
Il panorama normativo cyber è sempre più complesso per via della copiosa attività regolamentativa del legislatore europeo in primis, il cui obiettivo è rendere i paesi dell’Unione più resilienti. Ciononostante, l’Italia è ancora uno dei bersagli “preferiti” dei cyber criminali. Ecco perché il PSNC rappresenta un’infrastruttura strategica
Pubblicato il 16 dic 2024
Legal Consultant P4I – Partners4Innovation
Il perimetro di sicurezza nazionale cibernetica, istituito con Decreto-Legge 21 settembre 2019, n. 105, convertito con modificazioni dalla L. 18 novembre 2019, n. 133, è, a livello nazionale, una tra le più importanti novità in materia di cyber security.
Il perimetro, in particolare, rappresenta un notevole sforzo verso la creazione di un ecosistema di governance e di responsabilità comune e condivisa nel settore della cyber security.
Indice degli argomenti
- Cos’è e obiettivi del perimetro di sicurezza nazionale
- Perimetro di sicurezza nazionale: i decreti attuativi
- Conclusioni
Cos’è e obiettivi del perimetro di sicurezza nazionale
Il perimetro è stato attuato con svariati Decreti del Presidente del Consiglio dei ministri e con un Decreto del Presidente della Repubblica adottati a partire dal 2020.
White paper
PA: Guida pratica alla transizione al cloud per i servizi SaaS
Multicloud
Container
Inizio modulo
Leggi l'informativa sulla privacy
Email*
Quale software gestionale ERP è utilizzato nell'azienda dove lavori? Scegli un campo solo se ne sei a conoscenza
SelezionaAS400InforIntegraERPMicrosoftMRPOracleQADSageSAPSme.UPTeamSystemWorkdayZucchetti
- Acconsento alla comunicazione dei miei dati a terzi affinché li trattino per proprie finalità di marketing tramite modalità automatizzate e tradizionali di contatto.
Fine modulo
Ai sensi dell’art. 1, l’obiettivo del Perimetro è quello di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende:
- l’esercizio di una funzione essenziale dello Stato, ovvero
- la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;
e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.
Ciò comporta che i soggetti inclusi nel PSNC debbano adottare requisiti di sicurezza e procedurali più stringenti rispetto ad organizzazioni che non rientrano nel Perimetro.
Perimetro di sicurezza nazionale: i decreti attuativi
Il primo DPCM (30 luglio 2020 n. 131) individua:
- i soggetti che svolgono funzioni essenziali per lo Stato;
- i settori di priorità a cui appartengono i soggetti inclusi nel Perimetro.
Inoltre, esso richiede ai soggetti inclusi nel Perimetro di predisporre ed aggiornare l’elenco di beni ICT di rispettiva pertinenza con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono.
In merito ai soggetti inclusi nel PSNC sono predisposti tre criteri attraverso i quali gli stessi sono individuati:
- funzione essenziale (un soggetto esercita una funzione essenziale dello Stato, laddove l’ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali; la sicurezza interna ed esterna e la difesa dello Stato; le relazioni internazionali; la sicurezza e l’ordine pubblico; l’amministrazione della giustizia; la funzionalità dei sistemi economico e finanziario; la funzionalità dei sistemi dei trasporti);
- servizio essenziale (un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, laddove ponga in essere attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca; attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale);
- gradualità (tale criterio tiene conto dell’entità del pregiudizio per la sicurezza nazionale che, in relazione alle specificità dei diversi settori di attività, può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici. Tale parametro deve essere considerato alla luce dei «settori di attività» indicati nel DPCM1 (art. 3) che richiama lo stesso principio di gradualità e definisce ulteriori criteri di individuazione dei soggetti rientranti nel perimetro di sicurezza).
Il secondo DPCM (14 aprile 2021 n. 81):
- precisa che le categorie di incidenti aventi impatto sui beni ICT sono indicate in due tabelle (Allegato A del DPCM) in cui sono indicati gli incidenti meno gravi e più gravi con diverse tempistiche per la segnalazione (rispettivamente 6 ore e 1 ora);
- indica gli obblighi in materia di notifiche degli incidenti aventi impatto sui beni ICT (reti, sistemi informativi e servizi informativi) al CSIRT;
- fornisce informazioni in merito alle misure di sicurezza che i soggetti inclusi nel Perimetro devono adottare, per ciascun bene ICT di rispettiva pertinenza (le misure sono indicate nell’Allegato B del DPCM);
- precisa che i soggetti inclusi nel perimetro, dopo l’avvenuta adozione delle misure di sicurezza, ne danno tempestivamente comunicazione all’ACN.
Inoltre, è necessario menzionare il DPR del 5 febbraio 2021, n. 54 che:
- individua le procedure, le modalità ed i termini da seguire ai fini delle valutazioni da parte del CVCN e dei CV della sicurezza dei beni, sistemi e servizi ICT impiegati nel perimetro;
- individua i criteri di natura tecnica per l’individuazione delle categorie di beni, sistemi e servizi ICT oggetto della valutazione (indicate nel DPCM 3);
- individua le procedure, le modalità ed i termini con cui le Autorità competenti effettuano le attività di verifica e ispezione ai fini dell’accertamento del rispetto degli obblighi stabiliti nel decreto che istituisce il Perimetro e nei decreti attuativi.
Il terzo DPCM del 15 giugno 2021 individua:
- le categorie di beni, sistemi e servizi ICT destinati ad essere impiegati nel Perimetro in relazione alle quali i soggetti inclusi nel Perimetro devono effettuare la comunicazione al CVCN (Centro di Valutazione e Certificazione nazionale, istituito inizialmente presso il Ministero dello sviluppo economico e ora presso l’Agenzia per la Cybersicurezza Nazionale) o ai CV (centri di valutazione del Ministero dell’Interno e del Ministero della Difesa);
- le categorie che sono state definite attenendosi ai criteri tecnici stabiliti dal DPR 54/2021.
Infine, il quarto DPCM (18 maggio 2022 n. 92) costituisce la rete nazionale di laboratori pubblico-privati a supporto del CVCN (LAP) per la conduzione di attività di testing e scrutinio tecnologico su beni, servizi e sistemi ICT ricompresi nel perimetro.
Conclusioni
A livello nazionale è fondamentale ricordare anche la Legge 90/2024 recante Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (cosiddetta “legge cybersecurity“), la quale ha un impatto sui soggetti PSNC.
Oltre a ciò, è fondamentale tenere in considerazione anche il D.lgs. 138/2024 che recepisce la Direttiva NIS2, nonché tutte le svariate normative che compongono il complesso e stratificato panorama cyber security.
Questa intensa attività di produzione normativa del legislatore si è resa necessaria soprattutto per rispondere alla minaccia sempre più pressante dei cyber criminali.
Tuttavia, sta anche ai diversi attori coinvolti sapersi adeguare, entro le scadenze, alle disposizioni che li coinvolgono.
@RIPRODUZIONE RISERVATA
L
Aurelia Losavio
Legal Consultant P4I – Partners4Innovation