Regolamentazione UE e Sicurezza dei Prodotti: Cosa Prevedono NIS2, AI Act e CRA

Nel contesto di un panorama normativo in rapida evoluzione, le aziende sono oggi sottoposte a obblighi sempre più stringenti in materia di cybersicurity, imposti da un numero crescente di leggi e regolamenti. La sovrapposizione tra diversi framework può generare incertezza, in particolare per quanto riguarda requisiti, tempistiche e applicazione concreta alle tecnologie di sicurezza impiegate quotidianamente.

Per supportare partner e clienti nella comprensione di questo scenario, Hikvision ha elaborato una sintesi chiara e aggiornata delle tre principali normative europee che stanno definendo il futuro della cybersecurity e della conformità dei prodotti: la Direttiva NIS2, l’AI Act e il Cyber Resilience Act (CRA). Di seguito, un’overview dei principali cambiamenti introdotti da ciascun regolamento e delle iniziative intraprese da Hikvision per garantire i massimi standard di sicurezza, trasparenza e conformità.

Direttiva NIS2: cosa prevede

La Direttiva NIS2 rafforza il quadro europeo di cybersecurity, sostituendo e ampliando la precedente NIS1 del 2016. L’obiettivo è innalzare il livello di resilienza digitale nell’Unione Europea, attraverso:

• un potenziamento delle attività di enforcement,

• una maggiore cooperazione tra le autorità competenti,

• la protezione delle supply chain,

• processi più chiari per la gestione e la comunicazione degli incidenti.

La Direttiva si applica a tutte le aziende e organizzazioni — comprese quelle extra-UE — che forniscono servizi essenziali o importanti all’interno dell’Unione, tra cui energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione, servizi digitali chiave e produttori di tecnologie critiche.

Il recepimento nazionale, risalente a ottobre 2024, è tuttora in corso e l’applicazione operativa potrebbe variare tra gli Stati membri. Hikvision, con sede europea nei Paesi Bassi, garantirà piena conformità alle disposizioni definite dalle autorità olandesi, completando tempestivamente tutte le procedure richieste una volta avviata l’implementazione formale.

È inoltre importante sottolineare che la NIS2 non prevede alcuno schema di certificazione ufficiale né un’etichetta di prodotto “NIS2-compliant”.

L’approccio Hikvision

Hikvision supera i requisiti normativi adottando standard internazionali riconosciuti, tra cui ISO 27001, ISO 27701, CSA STAR, ETSI EN 303645, Common Criteria (CC) e Cybersecurity Labeling Scheme (CLS). Recentemente, l’azienda ha ottenuto anche la certificazione IEC 62443-4, specifica per la sicurezza delle reti industriali, che supporta processi di sviluppo sicuro in linea con i requisiti NIS2 in materia di gestione del rischio, cybersecurity by design e sicurezza nel ciclo di vita del prodotto. Per agevolare il settore, Hikvision ha pubblicato una nuova Guida alla Direttiva NIS2, con un’analisi dei principali cambiamenti introdotti.

AI Act: il primo quadro normativo globale sull’Intelligenza Artificiale

L’AI Act rappresenta la prima normativa completa al mondo dedicata alla regolamentazione dello sviluppo e dell’utilizzo dell’Intelligenza Artificiale. Il regolamento si inserisce in un framework più ampio che punta a governare i rischi e promuovere un’adozione affidabile dell’AI.

Il legislatore europeo classifica i sistemi AI in quattro livelli di rischio, con requisiti crescenti:

• Rischio inaccettabile (vietati)

• Alto rischio (obblighi rigorosi)

• Rischio limitato (obblighi di trasparenza)

• Rischio minimo (senza requisiti specifici)

L’AI Act è entrato in vigore il 1° agosto 2024, con implementazione graduale:

• le proibizioni per gli usi a rischio inaccettabile sono attive dal 2 febbraio 2025,

• i requisiti per i sistemi ad alto rischio saranno applicati dal 2 agosto 2027.

Nel frattempo, l’UE sta valutando semplificazioni normative per favorire la competitività, e diversi Stati membri hanno suggerito una revisione delle tempistiche. Hikvision monitora con attenzione questi sviluppi per garantire una conformità costante.

L’approccio Hikvision

Guidata dal principio “Tech for Good”, Hikvision rafforza continuamente i propri processi di conformità.

L’azienda non sviluppa prodotti destinati a utilizzi classificati come “Rischio inaccettabile”, vietati dall’AI Act, e richiede a clienti e partner di adottare lo stesso principio, evitando applicazioni non consentite.

Hikvision sta inoltre rivedendo i propri prodotti AI in vista dei futuri requisiti tecnici e dei percorsi di certificazione per i sistemi ad alto rischio.

Cyber Resilience Act (CRA): sicurezza integrata nei prodotti digitali

Il CRA introduce requisiti di cybersicurezza obbligatori per tutti i prodotti digitali commercializzati nell’UE, inclusi software, sistemi connessi e dispositivi di videosorveglianza.

Il regolamento si concentra su:

• integrazione della sicurezza lungo l’intero ciclo di vita del prodotto,

• gestione tempestiva delle vulnerabilità e degli incidenti,

• maggiore trasparenza per utenti e partner.

Il CRA definisce inoltre le condizioni per l’apposizione della marcatura CE, che attesterà la conformità del prodotto ai requisiti di cybersicurezza. Le prime obbligazioni operative — tra cui la segnalazione di vulnerabilità sfruttate attivamente — entreranno in vigore da settembre 2026, con piena applicazione entro la fine del 2027.

L’approccio Hikvision

Hikvision accoglie con favore questo regolamento e ha partecipato attivamente alla consultazione pubblica dell’UE, contribuendo alla definizione tecnica dei requisiti grazie alla propria esperienza.

L’azienda ha già adottato misure avanzate, tra cui:

• Secure-by-Design: sicurezza integrata in ogni fase dello sviluppo, dalla progettazione ai test di vulnerabilità.

• Gestione responsabile delle vulnerabilità: Hikvision è CVE Numbering Authority e assicura comunicazione trasparente e patch rapide.

• Supporto tecnico dedicato: documentazione, best practice e notifiche sugli aggiornamenti di sicurezza.

• Protezione del ciclo di vita: aggiornamenti regolari e test continui durante tutta la vita operativa del prodotto.

   

Per maggiori dettagli, è possibile consultare la documentazione più approfondita