Nuova direttiva sulla responsabilità per prodotti difettosi (inclusi software e IA)

E' stata pubblicata la Direttiva UE 2024/2853 da titolo "Sulla responsabilità per danno da prodotti difettosi": https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32024L2853&qid=1731949049419.

Intanto ricordo che si tratta di una Direttiva che dovrà essere adottata in Italia entro il 9 dicembre 2026, quindi c'è tempo (se non sbaglio).

Avevo letto questo articolo in merito e quindi rimando ad esso: https://www.altalex.com/documents/news/2024/10/28/sistema-ai-provoca-danno-scatta-risarcimento-utente-danneggiato.

Ho aspettato finora a darne notizia perché il testo non era ancora disponibile. Ringrazio un post su LinkedIn di Andrea Michinelli per l'aggiornamento.

Pubblicato il D. Lgs. 134 del 2024 di recepimento della CER

E' stato pubblicato il Recepimento Direttiva (UE) 2022/2557, detta CER (D. Lgs. 4 settembre 2024, n. 134): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138.

La Direttiva CER è quella relativa alla resilienza dei soggetti critici. Può sembrare simile alla NIS2, ma questa CER riguarda la continuità, di cui la sicurezza informatica è solo una parte e infatti un soggetto critico per la CER è automaticamente un soggetto a cui si applica la NIS2.

Per la CER, al contrario della NIS 2, non è l'impresa a dover valutare se è un soggetto critico, ma sono le ASC (autorità settoriali competenti) a identificare i soggetti critici, ossia che forniscono servizi essenziali, e notificare loro il loro stato.

La Direttiva e il D. Lgs. descrivono poi gli obblighi di valutazione del rischio, di adozione di misure di sicurezza e di notifica degli incidenti. Nulla di nuovo e non riporto qui le specificità. Segnalo però l'interessante art. 13 comma 4 che, in poche parole, dice che si possono riutilizzare le valutazioni del rischio già fatte per altri motivi, purché ovviamente considerino i rischi specifici relativi alla resilienza e alla continuità e alla dipendenza da altri soggetti.

Interessante anche la possibilità di chiedere, da parte del PCU (punto di contatto unico in materia di resilienza dei soggetti critici, presso la Presienza del Consiglio) e dell'ASC, una "missione di consulenza" per valutare le misure adottate dal soggetto critico.

European Accessibility Act: D. Lgs. 82 del 2022

Claudio Nasti di Chantecler mi ha segnalato che è stato approvato, ormai diverso tempo fa, il D. Lgs. 82 del 2022, di recepimento del European Accessibility Act (Direttiva europea 882 del 2019), con requisiti di accessibilità dei prodotti e dei servizi.

Questo D. Lgs. estende quanto previsto dalla Legge Stanca (L. 4 del 2004) a diversi prodotti e servizi. Tali prodotti e servizi devono quindi assicurare l'accessibilità a persone con disabilità.

Il link al D. Lgs. 82 del 2022 da Normattiva: https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2022-05-27;82!vig=2024-04-23.

Un articolo che mi sembra utile per iniziare a capire: https://scuderimottaeavvocati.it/accessibility-act-verso-uneuropa-piu-inclusiva/.

La pagina AgID sull'accessibilità: https://www.agid.gov.it/it/design-servizi/accessibilita.

Un punto importante, a mio avviso, riguarda i siti di e-commerce. Infatti anche questi devono rispettare la normativa dal 28 giugno 2025. Però, se ho capito correttamente, per i siti già attivi, l'adeguamento va assicurato dal 28 giugno 2030.

Vanno comunque analizzati i servizi e prodotti che devono rispettare la normativa.

Interpretazione della NIS2 della Commissione europea

Il 18 settembre ho partecipato, come organizzatore, al convegno di DFA su "NIS 2 e non solo - Aspetti pratici e relazioni". In quella occasione, Pierluigi Perri ha fatto riferimento alle "Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555 (NIS 2 Directive)".

Grazie a un post su LinkedIn di Stefano Mele (https://www.linkedin.com/posts/stefanomele_direttiva-nis2-chiarimenti-applicativi-della-activity-7108489999695642624-Sp9X) li ho trovati sul web con data di pubblicazione del 14 settembre: https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive.

Non li ho ancora letti, ma sicuramente sono interessanti.

Articolo sullo stato del regolamento DSA

E' evidente che i "nuovi" regolamenti europei mi interessano, almeno per capire il contesto in cui lavoro con la sicurezza delle informazioni. Un altro articolo che trovo interessante e utile ha titolo "I piani delle big tech per non sgarrare con il Dsa, la nuova legge Ue sul digitale": https://www.wired.it/article/dsa-google-amazon-tiktok-instagram-facebook-wikipedia-impegni-pubblicita-algoritmi/.

Sono riassunti gli obblighi più importanti del regolamento DSA è come ci stanno lavorando le aziende più significative.

Audit degli algoritmi (per Regolamento DSA)

Segnalo questo interessante articolo dal titolo "Audit degli algoritmi: la normativa UE lo prevede, ma non è ancora chiaro come farlo. Ecco perché": https://www.cybersecurity360.it/legal/audit-degli-algoritmi-la-normativa-ue-lo-prevede-ma-non-e-ancora-chiaro-come-farlo-ecco-perche/.

Riguarda le grandi piattaforme online e i grandi motori di ricerca, chiamati a identificare i rischi relativi all'uso degli algoritmi di raccomandazione e simili.

L'articolo fa riferimento a una bozza di Delegated regulation (https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13626-Digital-Services-Act-conducting-independent-audits_en). In essa trovo molto interessanti le parti relative agli approcci all'audit e al rischio di audit. Sono approcci che, nell'ambito della sicurezza delle informazioni e dei sistemi di gestione ISO sono rarissimamente utilizzati. Per esempio, viene richiesto di distinguere, come rischi di audit, tra rischi inerenti, rischi di controllo e rischi di rilevazione.

Articolo sulla Direttiva CER

In questo periodo sono molto attento alle novità normative europee (NIS2, CER, DORA, oltre al GDPR) e alle loro relazioni reciproche.

Per questo segnalo (dalla newsletter del Clusit) l'articolo "La nuova direttiva CER riconcilia sicurezza fisica e logica": https://www.datamanager.it/2023/07/la-nuova-direttiva-cer-riconcilia-sicurezza-fisica-e-logica/.

L'articolo, come prima cosa, usa il termine "sicurezza cinetica" perché più aggiornato di "sicurezza fisica". Anche qui faccio fatica a capire, ma ritengo comunque utile conoscere i termini usati.

Inoltre chiarisce che "La NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche e la CER della loro resilienza rispetto a minacce cinetiche".