Le minacce informatiche sono diventate sempre più frequenti e complesse, mettendo a rischio la sicurezza di cittadini, imprese e istituzioni. L’Unione Europea, per affrontare queste sfide, ha deciso di rafforzare le proprie regole in materia di sicurezza digitale per costruire un ambiente più forte, affidabile e pronto ad affrontare le nuove sfide del futuro.
In questo contesto, il Cyber Resilience Act, adottato dall’Unione Europea il 10 ottobre 2024, è il pilastro normativo più recente che punta ad aumentare la sicurezza dei prodotti digitali, mira a prevenire gli incidenti informatici e incentiva lo sviluppo del mercato interno della cybersicurezza. Avrà piena applicabilità a decorrere dal dicembre 2027.

Il corso propone una panoramica sul Cyber Resilience Act con l’obiettivo di:

• Comprendere i principi alla base della normativa: sicurezza, trasparenza e accountability
• Analizzare i requisiti per l’immissione sul mercato di prodotti con elementi digitali
• Approfondire i nuovi obblighi di segnalazione di incidenti e vulnerabilità dei prodotti con elementi digitali

• Il Regolamento UE n. 2847 del 2024: il contesto e le ragioni dello sviluppo di una normativa europea in materia di cybersecurity dei prodotti con elementi digitali.
• L’iter legislativo e l’applicabilità progressiva della disciplina sui prodotti con elementi digitali
• Ambito di applicazione oggettivo
• l’esenzione per i prodotti “free and open source”
• Ambito di applicazione soggettivo
• Il concetto di “prodotto con elementi digitali”:
  • I prodotti con elementi digitali “importanti”
  • I prodotti con elementi digitali “critici”
• Il ruolo del “fabbricante”, del “distributore” e dell’”importatore”
• Requisiti per l’immissione sul mercato:
  • L’ Assessment sulle misure di sicurezza e l’applicazione di misure di sicurezza in tutte le fasi della vita del prodotto con elementi digitali: pianificazione, design, sviluppo, produzione.
  • L’adozione di processi per la gestione delle vulnerabilità
• La valutazione di conformità al regolamento tramite:
  • Self- assessment
  • Third party assessment
  • Certificazioni
• Gli obblighi di segnalazione:
  • di vulnerabilità attivamente sfruttate
  • di incidenti gravi
• La responsabilità risarcitoria per software difettosi