Effettuare una valutazione dei rischi di cybersicurezza prima dell'immissione sul mercato

L'articolo 13, paragrafo 2, del regolamento (UE) 2024/2847 richiede che i fabbricanti di prodotti con elementi digitali, tenendo conto dei requisiti essenziali di cybersicurezza stabiliti nell'Allegato I Parte I, effettuino una valutazione dei rischi di cybersicurezza associati a un prodotto con elementi digitali.

Tale valutazione deve essere presa in considerazione nelle fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto al fine di ridurre al minimo i rischi di cybersicurezza, prevenire gli incidenti di sicurezza e minimizzare l'impatto di tali incidenti.

1. Valutazione del rischio pre-commercializzazione — completata prima dell'immissione sul mercato
2. Progettazione informata dal rischio — i risultati devono alimentare le decisioni progettuali
3. Ambito dell'intero ciclo di vita — copre pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione
4. Documentazione — la valutazione del rischio fa parte della documentazione tecnica richiesta dall'Allegato VII
5. Proporzionalità — la profondità della valutazione deve essere proporzionata ai rischi

Questo obbligo è alla base della maggior parte degli altri doveri dell'Art. 13. La valutazione del rischio determina:

• Quali requisiti dell'Allegato I Parte I si applicano e in che modo
• Il percorso appropriato di valutazione della conformità (Modulo A, B+C o H)
• Il periodo di supporto dichiarato (OBL-ART13-08)
• Le vulnerabilità da affrontare prima della distribuzione (OBL-ART13-05)

• Documento di valutazione dei rischi di cybersicurezza (metodologia STRIDE, TARA o equivalente)
• Modello di minaccia con analisi della superficie di attacco
• Decisioni di trattamento del rischio collegate alle scelte progettuali
• Registrazioni che dimostrano l'aggiornamento della valutazione a seguito di modifiche al prodotto