Cyber Resilience Act: cos’è, luci e ombre

Lo scorso 15 settembre 2022 la Commissione Europea ha pubblicato il Cyber Resilience Act (CRA), ovvero la bozza di proposta di legge che introduce requisiti obbligatori in materia di cybersecurity per i “prodotti con elementi digitali”, ossia tutti i prodotti che sono collegati direttamente o indirettamente a un altro dispositivo o alla rete.

Perché il CRA?

La nuova regolamentazione vuole stabilire i requisiti essenziali per i produttori di hardware, gli sviluppatori di software, i distributori e gli importatori che producono prodotti o servizi digitali sul mercato dell’UE e imporre che possano essere commercializzati solo prodotti a “marchio CE”, digitalmente sicuri progettati e realizzati in modo da avere:

• un livello di sicurezza appropriato ai rischi cyber in fase di utilizzo;
• nessuna vulnerabilità nota al momento di immissione sul mercato;
• una configurazione sicura di default;
• una protezione da connessioni illecite;
• una garanzia di tutela i dati che raccoglie (e limitata al loro funzionamento);
• gli aggiornamenti periodici dei software per ovviare alle vulnerabilità.

I produttori dovranno, di fatto, intraprendere una “valutazione dei rischi per la sicurezza informatica” associati al prodotto e tenere conto dell’esito di tale valutazione durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione al fine di:

• ridurre al minimo i rischi per la cybersecurity;
• prevenire gli incidenti di sicurezza;
• ridurre al minimo l’impatto di tali incidenti.

Il produttore dovrà, altresì, adoperarsi per:

• fornire le Distinte Base (DIBA, in inglese Bill of Materials” – BOM) dei componenti software dei propri prodotti;
• rendere disponibili patch gratuite in caso di nuove vulnerabilità;
• notificare in modo pubblico e dettagliato le vulnerabilità che rileva e risolve durante il ciclo di vita del prodotto o almeno ogni 5 anni dall’immissione sul mercato;
• effettuare test periodici per verificare la “solidità” dei prodotti che commercializza.

Gli importatori e i distributori – coinvolti nell’immissione dei prodotti sul mercato dell’UE – sono anch’essi soggetti a obblighi specifici per quanto riguarda la documentazione e le marcature CE. Inoltre, l’importatore o il distributore sarà soggetto agli stessi obblighi di un fabbricante: ad esempio, qualora il prodotto sia commercializzato con il nome o il marchio dell’importatore/distributore o l’importatore/distributore effettui “una modifica sostanziale” del prodotto già immesso sul mercato.

Autocertificazione e classificazione dei prodotti

Le caratteristiche di cybersecurity di un prodotto – nel 90% dei casi – possono essere auto-certificate dal produttore in base alle linee guida della normativa. L’iter della procedura del marchio dovrà essere ripetuto in caso di successive modifiche sostanziali dei prodotti.

Il rimanente 10% dei prodotti con componenti digitali sono considerati “critici” in quanto possono generare conseguenze pericolose a fronte di falle o violazioni gravi di sicurezza. Essi sono classificati come segue:

• Classe I prodotti: web browser, password manager, anti-malware, piattaforme di network management e monitoring, SIEM, firewall, IPS, router, switch, microprocessori, micro-controller, ASIC, moduli IoT. Questi prodotti necessitano sia dell’autocertificazione di base del produttore sia di un’ulteriore dichiarazione attestante l’adeguamento a specifici standard di mercato, a specifiche norme di sicurezza o a certificazioni di cybersecurity già previste a livello UE. In alternativa è possibile far certificare il prodotto da una parte terza (i.e. ente certificatore accreditato).
• Classe II prodotti: piattaforme di virtualizzazione, sistemi operativi, chip di sicurezza, firewall e IPS industriali, router & switch industriali, sistemi di controllo & automazione industriale (per servizi essenziali e critici), soluzioni di Industrial IoT, smart meter e componenti robotici. Questi prodotti devono possedere la certificazione rilasciata da un ente certificatore accreditato.

È doveroso sottolineare che la proposta di regolamentazione esenta i dispositivi connessi che dispongono già di una legislazione settoriale, quali i prodotti digitali disciplinati da:

• Regolamento sui dispositivi medici (regolamento (UE) 2017/745).
• Regolamento sui dispositivi medico-diagnostici in vitro (regolamento (UE) 2017/746).
• Regolamento sulla sicurezza generale dei veicoli (regolamento (UE) 2019/2144).
• Norme comuni nel regolamento sull’aviazione civile (regolamento (UE) 2018/1139).

Il CRA applica al software-as-a-service solo nel caso in cui esso sia parte di soluzioni integrali di elaborazione remota dei dati per un prodotto con elementi digitali.

Chi controlla: sanzioni e iter di approvazione della norma

La verifica dell’affabilità cyber dei prodotti immessi sul mercato sarà affidata ai vari Stati membri dell’UE che potranno bloccarne la commercializzazione nel Paese in cui tali prodotti risultano “non sicuri” e considerarne il ritiro a livello UE o a più nazioni. Le aziende saranno inoltre tenute a segnalare un incidente di hacking all’Agenzia europea per la cybersecurity (ENISA) entro 24 ore.

Il CRA prevede le seguenti sanzioni:

• Fino 5 milioni di euro o il 2,5% del fatturato dell’anno fiscale precedente (nota: viene considerato l’importo maggiore) vs. non conformità alla nuova regolamentazione in termini di cybersecurity dei prodotti hardware e software.
• Fino 10 milioni di euro o il 2% del fatturato vs. totale inosservanza degli obblighi normativi.
• Fino a 5 milioni di euro o l’1% del fatturato vs. comunicazione di informazioni non corrette, incomplete o ingannevoli agli organismi di certificazione o alle authority di sorveglianza.

La bozza del CRA sarà esaminata nei prossimi mesi dal Consiglio e dal Parlamento Europeo per eventuali modifiche. Una volta ratificata, le aziende avranno due anni di tempo per conformarsi ad essa; mentre il produttore – entro un anno dall’entrata in vigore della norma – dovrà notificare immediatamente gli incidenti di sicurezza relativi ai propri prodotti e allo sfruttamento attivo delle vulnerabilità.

Luci e ombre del CRA

Il CRA è stato accolto con entusiasmo, quale coronamento del quadro regolatorio dell’UE successivo alla ratifica del Digital Services Act e del Digital Markets Act che entreranno in vigore nel 2023. Esso presenta sia luci sia ombre e, precisamente:

Luci – Le imprese si conformeranno a un unico insieme di norme in materia di cybersecurity in tutta UE, che comporterà:

• Una diminuzione sia del numero di incidenti di cybersecurity unitamente sia del costo della gestione degli incidenti e dei danni alla reputazione aziendale.
• Un incremento della fiducia dei consumatori e dei clienti commerciali.
• Un aumento della domanda di prodotti con elementi digitali sia all’interno sia all’esterno dell’UE.
• Maggiori informazioni ai consumatori e agli utenti nella fase di scelta di un prodotto con elementi digitali, unitamente ad istruzioni d’uso più chiare.
• Maggiora tutela dei dati e della vita privata dei consumatori e dei cittadini vs. minor numero di rischi e incidenti di sicurezza.

Proprio grazie alle sue disposizioni, il CRA è destinato a diventare un punto di riferimento internazionale, dal momento che le norme dell’UE – basate sulla nuova regolamentazione – ne faciliteranno l’attuazione e costituiranno una risorsa strategica e preziosa per l’industria della cybersecurity dell’UE nei mercati globali.

Inoltre, la norma integrerà la recente direttiva NIS2 – che introduce requisiti di cybersecurity, le misure di sicurezza della catena logistica, gli obblighi di segnalazione degli incidenti per i soggetti essenziali – in modo da aumentare la resilienza dei servizi forniti.

Siamo di fronte ad un livello rafforzato di cybersecurity dei prodotti con elementi digitali che contribuirà a rafforzare, da un lato, la conformità da parte dei soggetti che rientrano nell’ambito di applicazione della direttiva NIS2 e, dall’altro lato, la sicurezza dell’intera catena di approvvigionamento.

Ombre – Sussistono perplessità in termini di:

• Mancata chiarezza di un obbligo per i produttori commerciali in termini di correzione immediata delle “lacune note” di cybersecurity;
• Mantenimento di un ambiente cyber-resiliente a beneficio dei consumatori che comporterebbe costi aggiuntivi che rischiano di escludere le PMI del settore dal mercato.
• Burocrazia derivante dal processo di approvazione di prodotti sicuri che potrebbe rivelarsi un ostacolo all’introduzione di nuove tecnologie e servizi in Europa come evidenziato dalla Computer & Communications Industry Association (CCIA Europe).
• Mancanza di ambito di applicazione territoriale riferito alle società al di fuori dell’UE.

CRA e AI Act

L’art. 8 del CRA contiene disposizioni particolari relative ai sistemi di AI ad alto rischio.

Si evidenzia che i dispositivi connessi – che rientrano nell’ambito di applicazione del CRA e soddisfano i requisiti essenziali di sicurezza fin dalla progettazione – saranno considerati conformi al AI Act in termini di livello di protezione. La maggior parte di questi prodotti applicherà la procedura di valutazione della conformità al AI Act e spetterà agli organismi di regolamentazione controllare le procedure di conformità e notificarle. Ne consegue che i prodotti critici – come i prodotti di Classe I e II – dovranno essere sottoposti alla procedura di valutazione della conformità del CRA in aggiunta ai requisiti dell’AI Act.

Conclusioni

Dobbiamo ricordare che stiamo attraversando un processo accelerato di digitalizzazione e innovazione e uno scenario in rapida evoluzione in termini di attacchi informatici; pertanto, tutte le organizzazioni e le parti interessate dovrebbero essere in grado di adottare un approccio basato sul rischio e sulla resilienza (approccio proattivo e zero-trust) per garantire la sicurezza informatica.

Pertanto, è quanto mai fondamentale e strategico adottare una soluzione europea comune, considerando che la maggior parte dei prodotti hardware e software non sono soggetti, ad oggi, ad alcun obbligo di sicurezza informatica.

Si tratta di mettere in atto una serie di norme che possano spianare la strada alla cybersecurity e alla tecnologia etica in tutto il mondo e garantire che l’UE rimanga competitiva. Pertanto, il CRA – nonostante nella sua versione attuale presenti un gran numero di disposizioni vaghe o interferenze con i diritti delle parti interessate del mercato – è destinato a convertirsi in un’ulteriore leva strategica a salvaguardia della sicurezza informatica e digitale e dei diritti fondamentali degli utenti finali dell’UE.