Lexipedia

Impedire lacune di cibersicurezza in Svizzera. Quando adotterà la Svizzera il Cyber Resilience Act dell'UE?

25.3352 · Interpellanza · 2025-03-21

Dipartimento della difesa, della protezione della popolazione e dello sport

La dichiarazione sull’intervento è disponibile

Wortlaut

Il Cyber Resilience Act (CRA) dell’UE contribuisce a migliorare la cibersicurezza dei consumatori e delle imprese poiché si migliorano gli standard in materia di cibersicurezza per i prodotti che contengono una componente digitale e si obbligano i produttori e i commercianti a garantire la cibersicurezza durante l’intero ciclo di vita dei loro prodotti. Oggi molti prodotti con componenti digitali non sono abbastanza sicuri e spesso non ricevono aggiornamenti di sicurezza rapidi. Inoltre, attualmente, chi acquista questi prodotti ha difficoltà a capire quali siano quelli veramente sicuri e come fare per configurarli in modo corretto. Il CRA aiuta a garantire che la cibersicurezza venga imperativamente presa in considerazione già al momento della produzione.

Nel suo parere all’interpellanza 23.3719 il Consiglio federale ha spiegato che è necessario seguire lo sviluppo di tale atto nell’UE, ma che prima della sua entrata in vigore non sarà possibile individuare le conoscenze per la Svizzera. Il CRA è entrato in vigore il 10 dicembre 2024. Gli obblighi più importanti introdotti dalla legge si applicheranno a partire dall’11 dicembre 2027.

In questo contesto invito pertanto il Consiglio federale a rispondere alle seguenti domande:

  1. Quali vantaggi apporta il CRA al miglioramento della cibersicurezza in Europa?

  2. A quanto stima i rischi in termini di cibersicurezza per i consumatori e le imprese nel nostro Paese se la Svizzera non riprendesse gli obblighi del CRA? Che ripercussioni avrebbe questo sulla cibersicurezza della Sicurezza nel suo complesso?

  3. Che ripercussioni hanno gli obblighi del CRA sugli esportatori svizzeri? Quali misure di sostegno prevede per loro? Condivide l’opinione secondo cui per queste imprese potrebbe essere utile un riconoscimento di equivalenza da parte dell’UE?

  4. Quando deciderà sull’ulteriore modo di procedere in merito al CRA?

Stellungnahme des Bundesrates

In merito alla domanda 1) L’obiettivo più importante del Regolamento (UE) 2024/2847 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali «Cyber Resilience Act» (CRA) dell’Unione europea (UE) è quello di migliorare la cibersicurezza di prodotti con elementi digitali e di ridurre così facendo il numero e i costi dei ciberincidenti, obbligando i produttori a identificare e risolvere le vulnerabilità e a fornire tempestivamente aggiornamenti di sicurezza per tutta la durata di vita dei loro prodotti o per un massimo di cinque anni. Il CRA contribuisce ad armonizzare le normative di sicurezza per i prodotti con elementi digitali e promuove la trasparenza per i consumatori. Il regolamento dovrebbe inoltre contribuire a promuovere la reputazione dei fabbricanti europei di questi prodotti sul mercato globale, rendendo i prodotti europei più sicuri di quelli della concorrenza. In merito alla domanda 2) Se la Svizzera non dovesse riprendere il CRA, per la cibersicurezza non dovrebbero risultare pregiudizi immediati. Gran parte dei prodotti distribuiti in Svizzera sono venduti anche sul mercato europeo e devono quindi soddisfare i requisiti del CRA. Tuttavia per la cibersicurezza della Svizzera resta importante impedire la distribuzione di prodotti caratterizzati da un grado di cibersicurezza insufficiente. Oggi è già possibile per i dispositivi wireless connessi a Internet («Internet delle cose») grazie all'ordinanza dell'Ufficio federale dell'energia sugli impianti di telecomunicazione (OOIT; RS 784.101.21), che rimanda, tramite l'art. 7 dell'ordinanza sugli impianti di telecomunicazione (OOIT; RS 784.101.2), ai requisiti dell'ordinanza delegata (UE) 2022/30 che completa la direttiva europea 2014/53/UE relativa alle apparecchiature radio. La Commissione europea prevede di adeguare o abrogare questo atto delegato in occasione dell’attuazione del CRA. In caso di attuazione in tal senso, la Svizzera dovrà decidere come adeguare l’OOIT per garantire che la cibersicurezza della Svizzera non venga messa in pericolo dalla distribuzione di prodotti non sicuri. In merito alla domanda 3) Tutte le imprese svizzere che esportano nell’UE prodotti con elementi digitali sono tenute a soddisfare i requisiti previsti dal diritto europeo. Al momento dell’importazione di prodotti svizzeri nell’UE, dal dicembre 2027 gli importatori dovranno indicare i propri dati di contatto sul prodotto o su documenti accompagnatori. Per circa il 90 per cento dei prodotti con elementi digitali (prodotti per il consumo privato che possono comunicare con reti o altri dispositivi) i fabbricanti dovranno inoltre valutare la cibersicurezza fornendo un’autovalutazione. Se si tratta di prodotti designati come importanti o critici secondo il CRA, i fabbricanti dovranno far verificare in base al diritto europeo i propri prodotti da un organismo di valutazione della conformità dell’UE. A tale proposito la responsabilità spetta alle aziende, un sostegno da parte della Confederazione non è previsto.Nel caso di una legislazione equivalente in Svizzera, questi ostacoli, come l’obbligo di fornire i propri dati, potrebbero essere evitati con un accordo con l’UE (riconoscimento dell’equivalenza). In merito alla domanda 4) Il 4 settembre 2024 il Parlamento ha trasmesso la mozione 24.3810 «Svolgimento dei controlli di cibersicurezza urgentemente necessari», che incarica il Consiglio federale di creare le basi legali per i controlli di cibersicurezza. Il Consiglio federale prenderà le decisioni di fondo relative all’atteggiamento che la Svizzera assumerà nei confronti del CRA nell’ambito del trattamento di questa mozione.

Impedire lacune di cibersicurezza in Svizzera. Quando adotterà la Svizzera il Cyber Resilience Act dell'UE? | Lexipedia | Lexipedia