Il 19 luglio 2023 la Commissione per l’Industria del Parlamento Europeo ha modificato per la prima volta la proposta del Cyber Resilience Act (CRA). Come anticipato in un precedente articolo, vediamo quali sono stati i passaggi del Regolamento EU per i prodotti digitali connessi in rete, oggi in attesa di pubblicazione.
Obiettivo del Cyber Resilience Act
Il Cyber Resilience Act parte dal presupposto secondo cui tutelare i consumatori e le organizzazioni dai rischi di sicurezza informatica significhi proteggere i loro dati e le loro infrastrutture.
La normativa oggetto del Cyber Resilience Act ha infatti la prerogativa di garantire che i prodotti con componenti digitali siano cybersicuri prima di essere immessi nel mercato comunitario.
Da qui lo stretto legame con il Nuovo Regolamento Macchine (Reg. UE 2023/1230): la marcatura CE ai sensi del Cyber Resilience Act sarà valida anche ai fini dei requisiti essenziali di sicurezza presenti nella versione ora aggiornata della Direttiva 2006/42/CE, ed effettiva dal 2027.
In attesa del Cyber Resilience Act
Sono tre i punti rimasti invariati dall’origine del Cyber Resilience Act, e che accomunano i capisaldi del CRA con altre normative di livello comunitario e internazionale (vedi Direttiva NIS 2 per la notifica degli incidenti verso le autorità, IEC 62443 per quanto riguarda la gestione delle vulnerabilità, o RED DA per le specifiche categorie di prodotti soggetti), ma con le dovute differenze.
Il CRA spinge in particolare su:
- la responsabilità della conformità dei prodotti da parte dei costruttori, compresi gli obblighi attorno al Cyber Security Risk Assessment, alla dichiarazione di conformità e alla collaborazione con le autorità competenti
- la gestione delle vulnerabilità da parte di produttori, importatori e distributori di prodotti digitali connessi in rete; gli operatori economici avranno 12 mesi dall’entrata in vigore del Cyber Resilience Act per segnalare eventuali vulnerabilità
- la volontà di imporre un quadro di sorveglianza del mercato per far rispettare queste regole
Evoluzioni nel ciclo di approvazione
Nella versione originariamente proposta dalla Commissione Europea è uscita per la prima volta la suddivisione dei prodotti di cyber security in 3 classi di rischio, meritevoli di diversa attenzione:
- Classe II, prodotti critici con obbligo di certificazione da parte di un organismo di certificazione, per esempio sistemi operativi per server, desktop e dispositivi mobili, firewall, sistemi di rilevamento e/o prevenzione delle intrusioni per uso industriale, dispositivi IoT
- Classe I (prodotti critici), per esempio software per sistemi di gestione delle identità e software per la gestione degli accessi privilegiati, VPN, PLC, SCADA
- Categoria di default, soggetta a autodichiarazione (prodotti non critici)
Sono esclusi dal CRA, per esempio, i dispositivi medici, i dispositivi per l’aviazione e le automobili, se trattati da altri regolamenti. Approfondisci le categorie di applicazione.
Rispetto agli albori, si registra una variazione nel riferimento per la segnalazione delle vulnerabilità: non più l’Agenzia ENISA, ma una piattaforma di segnalazione unica, tuttavia istituita da ENISA stessa.
In attesa dell’entrata in vigore, tieni a mente queste informazioni: l’ambito trattato dal Cyber Resilience Act ha decisamente carattere di urgenza.
Vuoi saperne di più su come prepararti a soddisfare il Cyber Resilience Act?
Torna all'elenco degli articoli
