Per il CRA è necessario assicurare determinate misure di sicurezza per i "prodotti con elementi digitali".
Se queste misure sono riportate da "norme armonizzate", si presume la loro adeguatezza. Sono quindi in fase di sviluppo le norme della serie EN 40000 per le misure "orizzontali", ossia comuni a tutti i prodotti, e, se ho capito bene, applicabili ai prodotti "standard" (ossia non quelli "importanti" e "critici" elencati dal CRA stesso).
Ho scoperto che la ETSI sta sviluppando degli standard "verticali" per i prodotti "importanti". Ho trovato una lista qui: https://approve-it.net/eu-etsi-releases-draft-cybersecurity-standards/, con anche il link ad alcune bozze.
Già che ci sono: il CRA riporta le categorie di prodotti "importanti" e "critici", ma la CE ha preparato anche il Regolamento di esecuzione 2025/2392 con la descrizione dettagliata di tali categorie, utile a capire meglio se un prodotto è incluso o meno (ma so già che i casi limite saranno tantissimi e oggetti di discussioni): https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R2392.
Nessun commento:
Posta un commento