±ØÓ®ÌåÓý

Comitato per le attrezzature europee per l'edilizia (CECE)

L'accordo sul testo finale è stato raggiunto in tempi record, nonostante gli avvertimenti del settore sulla necessità di evitare di accelerare l'approvazione di questo fondamentale atto legislativo.

Non tiene conto delle esigenze dei produttori di prodotti durevoli in termini di tempi di implementazione adeguati.

In qualità di rappresentante dell'industria europea delle attrezzature per l'edilizia, il CECE critica fermamente la scarsa attenzione data a questa questione.

Una volta entrata in vigore, la CRA sarà la prima normativa del suo genere al mondo a introdurre una serie di requisiti di sicurezza per i prodotti connessi, dai giocattoli intelligenti ai macchinari industriali.

Con il suo campo di applicazione molto ampio, che comprende tutti i prodotti con elementi digitali (sia hardware che software, ad eccezione dei pezzi di ricambio) resi disponibili sul mercato e in grado di connettersi a un dispositivo o a una rete, la CRA imporrà nuovi obblighi ai produttori durante l'intero ciclo di vita dei prodotti, dalla fase di progettazione e sviluppo, fino all'immissione sul mercato dell'UE.

I prodotti con elementi digitali che rientrano nell'ambito di applicazione della CRA sono classificati nelle categorie predefinite, importanti o critiche con un approccio basato sul rischio.

I produttori saranno pertanto tenuti a effettuare una valutazione della conformità basata sul rischio assegnato di minacce alla sicurezza.

In altre parole, diverse classificazioni dei prodotti richiederanno diverse procedure di valutazione della conformità.

Tuttavia, vale la pena notare che l'integrazione di prodotti critici non implica di per sé che il prodotto integrato sia soggetto alla stessa procedura di valutazione della conformità.

L'approccio del periodo di supporto

La nuova legge sulla sicurezza informatica per i prodotti connessi costituisce un dossier prioritario per i membri del CECE, a causa dell'impatto previsto una volta applicata.

A partire dalla metà del 2027, i produttori di attrezzature edili saranno tenuti a rispettare una serie di requisiti di sicurezza essenziali quando immettono sul mercato prodotti con elementi digitali.

Inoltre, gli obblighi legati alla gestione delle vulnerabilità seguiranno l'approccio del "periodo di supporto", che ora si riferisce al periodo di tempo previsto per l'utilizzo di un prodotto (tempo di utilizzo previsto anziché durata prevista) e rifletterà le aspettative degli utenti e la natura del prodotto.

Un aspetto positivo risiede nel fatto che i produttori possono prendere in considerazione altri elementi nel determinare la durata del periodo di supporto, come ad esempio i periodi di supporto dei componenti integrati (funzioni principali) forniti da terze parti, in modo da garantire la proporzionalità.

La durata minima del periodo di supporto è di 5 anni e tutti gli aggiornamenti di sicurezza resi disponibili all'utente devono rimanere disponibili per almeno 10 anni o per il periodo di supporto rimanente, a seconda di quale sia il periodo più lungo.

Cosa succederà ora?

Il testo dell'accordo politico provvisorio raggiunto nel trilogo deve essere formalmente approvato sia dal Parlamento che dal Consiglio.

Il testo sarà poi pubblicato nella Gazzetta ufficiale dell'UE (pubblicazione prevista per la metà del 2024) ed entrerà in vigore il ventesimo giorno successivo alla sua pubblicazione.

Il periodo di transizione prima che il CRA diventi applicabile è stato leggermente prorogato di soli 12 mesi.

Le nuove norme sulla sicurezza informatica per i prodotti connessi si applicheranno quindi 36 mesi, ovvero 3 anni, dopo l'entrata in vigore del nuovo regolamento.

Ciò darà ai produttori di attrezzature edili un lasso di tempo molto limitato (fino a metà del 2027) per conformarsi ai nuovi requisiti di sicurezza informatica.

Questa breve tempistica ignora completamente sia gli avvertimenti del settore sia la complessità dei macchinari prodotti, che ora richiederanno modifiche significative all'intera architettura della macchina.