NEWS

Il Consiglio europeo ha adottato il Cyber Resilience Act

Il 10 ottobre il Consiglio europeo ha adottato il Cyber Resilience Act (EU CRA), una nuova normativa per migliorare la sicurezza cibernetica dei prodotti connessi e dei servizi digitali nel mercato unico europeo. Il regolamento si applica a tutti i prodotti connessi, direttamente o indirettamente, a un altro dispositivo o a una rete.

Sono previste alcune eccezioni per i prodotti per i quali i requisiti di cybersicurezza sono già stabiliti da normative UE esistenti, come dispositivi medici, prodotti aeronautici e automobili.

L'obiettivo principale del Cyber Resilience Act è garantire che i dispositivi digitali connessi siano progettati e sviluppati secondo rigorosi standard di sicurezza, e tale sicurezza sia estesa anche alle catene di approvvigionamento (supply chain).

Questo approccio mira da un lato a rafforzare la fiducia dei consumatori nei prodotti in cui sarà facile verificare gli standard di sicurezza, dall’altro nel promuovere l'adozione di tecnologie innovative.

Negli anni recenti, infatti, molti di questi dispositivi che abitualmente utilizziamo nella nostra quotidianità – telecamere di sicurezza, elettrodomestici intelligenti, software aziendali, dispositivi IoT - si sono rivelati estremamente vulnerabili agli attacchi informatici, mettendo a rischio dati personali e di business. In seguito all’incremento delle minacce a livello globale – evidenziato da quasi tutti gli studi di settore – l’Unione Europea ha riconosciuto l'importanza di rafforzare la sicurezza informatica: incidenti come attacchi ransomware, furti di dati sensibili e l'hackeraggio di infrastrutture critiche hanno dimostrato quanto sia fondamentale garantire la resilienza digitale dei prodotti e dei servizi.

Affinché i prodotti digitali connessi immessi sul mercato europeo siano progettati e fabbricati in modo sicuro, il regolamento li classifica in importanti (Allegato III) e critici (Allegato IV), ed introduce specifici requisiti sulla base della loro classificazione:

- Requisiti di sicurezza (Allegato I – Parte I): i produttori devono progettare prodotti che siano sicuri fin dalla fase di progettazione (security by design) e devono mantenere tali standard per tutto il ciclo di vita del prodotto.
- Gestione delle vulnerabilità (Allegato I – Parte II): i produttori devono monitorare, identificare e risolvere eventuali vulnerabilità nei loro prodotti, garantendo aggiornamenti di sicurezza tempestivi per proteggerli dalle minacce informatiche.
- Informazioni e istruzioni che devono essere date all’utente
- Dichiarazione di Conformità
- Specifici requisiti di notifica degli incidenti

Un elemento centrale dell’EU CRA è l'adozione di un meccanismo di certificazione che avrà come conseguenza quella di permettere ai produttori di apporre il marchio CE ai prodotti hardware e software che saranno ritenuti conformi ai requisiti del regolamento, e che potrà avvenire o attraverso una autocertificazione, nel caso di prodotti a basso rischio, o con una certificazioni da enti terzi, per i prodotti considerati ad alto rischio, che richiedono una verifica più rigorosa. Il marchio CE quindi, già oggi utilizzato per dimostrare il rispetto di norme sullo spettro elettromagnetico e sulle radiofrequenze, servirà anche a dichiarare che un certo prodotto rispetta i requisiti minimi di sicurezza.

Tutto ciò si traduce, inevitabilmente, in nuove responsabilità per i produttori di prodotti e servizi connessi: essi dovranno garantire che i loro prodotti siano sicuri non solo al momento dell'immissione sul mercato, ma anche durante tutto il loro ciclo di vita, fornire aggiornamenti di sicurezza regolari e tempestivi, essere in grado di produrre evidenze riguardo alla valutazione dei rischi informatici e se richiesto la Bill of Materials (BOM), e saranno ritenuti legalmente responsabili per la sicurezza dei loro dispositivi. I produttori che non rispetteranno le norme del regolamento saranno sottoposti a sanzioni severe, con multe significative in base alla gravità delle violazioni commesse, con un meccanismo simile a quello del Regolamento Generale sulla Protezione dei Dati (GDPR).

In assenza di specifiche linee guida, il Cyber Resilience Act non è di immediata applicazione: ad esempio, la definizione di “prodotto con elementi digitali” la cui finalità o utilizzo “include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete” non chiarisce inequivocabilmente quali prodotti ricadono nell’ambito del regolamento, né viene definito se l’adesione ad altre norme di settore o standard – una per tutte l’ ISA/IEC 62443, lo standard internazionale per la sicurezza dei sistemi di controllo industriale – possa automaticamente garantire il rispetto dei requisiti dell’Allegato I.

In seguito all'adozione, l'atto legislativo sarà firmato dai presidenti del Consiglio e del Parlamento Europeo e pubblicato nella Gazzetta ufficiale dell'UE nelle prossime settimane. Il nuovo regolamento entrerà in vigore venti giorni dopo questa pubblicazione e si applicherà 36 mesi dopo la sua entrata in vigore, con alcune disposizioni che saranno applicate in una fase precedente.

Note sull'Autore

Nadia Giusti Nadia Giusti

Data Protection & Cybersecurity Expert

Prev Il ciclo di vita delle risorse: una tecnica per definire le misure di sicurezza sulla protezione dei dati
Next Accessi abusivi a banche dati: occorre una gestione consapevole della sicurezza IT

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy