Articoli tecnici Cyber Security Marcatura CE

Cyber Resilience Act e marchio CE per i prodotti digitali connessi in rete

Tempo di Lettura: 5 minuti - Livello di Difficoltà: avanzato

Nel contesto attuale, la necessità di proteggere le imprese e gli utenti che acquistano e utilizzano prodotti, software, e componenti digitali, si fa sempre più impellente; ed ecco che il Cyber Resilience Act, regolamento per la marcatura CE dei prodotti digitali connessi in rete, entra a far parte dei riferimenti normativi di cui sentiremo più parlare.

 

Cos’è il Cyber Resilience Act: introduzione al Regolamento

Il Cyber Resilience Act prenderà forma nel 2023 dalla proposta di Regolamento Europeo uscita a settembre 2022, che prevede la marcatura CE dei prodotti digitali connessi in rete.

Questo sarà infatti collegato al Nuovo Regolamento Macchine per la marcatura dei prodotti di cybersecurity, la cui presunzione di conformità sarà valida anche ai fini dei requisiti essenziali di sicurezza applicabili del Regolamento Macchine (ad esempio il RES 1.1.9).

L’obiettivo del Cyber Resilience Act è infatti definire un più ampio quadro normativo per la sicurezza informatica dei prodotti digitali connessi in rete, prevedendo obblighi più stringenti per l’immissione nel mercato UE di tali prodotti.

Ciò si pone in modo complementare al Regolamento 2019/881 ENISA, anch’esso richiamato all’interno del Nuovo Regolamento Macchine per ciò che attiene alla presunzione di conformità, in quanto quadro comune di certificazione della cybersecurity.
Il Cyber Resilience Act stabilisce l’importanza degli aspetti documentali, delle caratteristiche di sicurezza, del monitoraggio continuo delle possibili vulnerabilità, e della conseguente disponibilità degli aggiornamenti di sicurezza.

 

Il Cyber Resilience Act suddivide i prodotti di cybersecurity in tre classi di rischio:

  • Classe II (prodotti critici con obbligo di organismo di certificazione)
  • Classe I (prodotti critici)
  • Categoria di default, soggetta a autodichiarazione (prodotti non critici)

 

Rientrano nella Classe II:

  • Sistemi operativi per server, desktop e dispositivi mobili
  • Hypervisor e sistemi runtime container che supportano l’esecuzione virtuale di sistemi operativi
  • Infrastruttura a chiave pubblica ed emittenti di certificati digitali
  • Firewall, sistemi di rilevamento e/o prevenzione delle intrusioni per uso industriale
  • Router, modem destinati alla connessione e switch per uso industriale
  • Sistemi di automazione e controllo industriale (IACS) destinati all’uso da parte di entità essenziali del tipo di cui a all’All. I alla Direttiva NIS2, quali controllori logici programmabili (PLC), sistemi di controllo distribuito (DCS), controllori numerici computerizzati per macchine utensili (CNC) e sistemi di controllo di supervisione e acquisizione dati (SCADA)
  • Dispositivi IIoT destinati all’uso da parte di entità essenziali del tipo di cui all’All. I alla Direttiva NIS2

 

Rientrano nella Classe I:

  • Software per sistemi di gestione delle identità e software per la gestione degli accessi privilegiati
  • Software che cerca, rimuove o mette in quarantena software dannoso
  • Prodotti con elementi digitali con funzione di rete privata virtuale (VPN)
  • Sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM)
  • Gestione degli aggiornamenti/patch, compresi i gestori di avvio
  • Software di accesso/condivisione remota
  • Firewall, sistemi di rilevamento e/o prevenzione delle intrusioni non rientranti nella classe II
  • Router, modem destinati alla connessione a Internet e switch, non rientranti nella classe II
  • Sistemi di automazione e controllo industriale (IACS) non coperti dalla classe II, come controllori logici programmabili (PLC), sistemi di controllo distribuito (DCS), controllori numerici computerizzati per macchine utensili (CNC) e sistemi di controllo di supervisione e acquisizione dati (SCADA)

 

Scopri di più su come prepararti in vista del Cyber Resilience Act

 

Richiedi una consulenza

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Vediamo più nello specifico cosa implicherà la conformità al Cyber Resilience Act.

 

Il Cyber Resilience Act parte dal presupposto secondo cui tutelare i consumatori e le organizzazioni dai rischi di sicurezza informatica significhi proteggere i loro dati e le loro infrastrutture.

In questo senso, il Regolamento stabilisce i termini per l’attività ispettiva e sanzionatoria in mano alle autorità nazionali di vigilanza del mercato degli Stati membri, imponendo di fornire alle autorità nazionali per la protezione dei dati ogni informazione significativa; e riserva all’ENISA il compito di prevedere misure correttive.

 

Leggi l’articolo:

 

Di fatto, il Cyber Resilience Act impone al costruttore di garantire la sicurezza informatica dei prodotti sin dalla fase di progettazione e durante l’intero ciclo di vita (compreso il supporto post vendita, che si rende necessario per la risoluzione delle vulnerabilità).

Più nello specifico, i prodotti digitali connessi in rete devono:

  1. essere consegnati con una configurazione sicura di default
  2. garantire la protezione dall’accesso non autorizzato mediante meccanismi di controllo e autenticazione
  3. proteggere la riservatezza dei dati
  4. proteggere l’integrità dei dati
  5. seguire il principio di minimizzazione dei dati, che consiste nel limitare il trattamento dei dati a quanto necessario per l’uso previsto del prodotto
  6. proteggere la disponibilità delle funzioni del prodotto e dei servizi a esso correlati
  7. essere progettati in modo da limitare le interfacce potenzialmente vulnerabili
  8. essere sviluppati in modo da mitigare il rischio di incidente informatico
  9. fornire informazioni quali l’accesso o la modifica di dati, servizi o funzioni
  10. assicurare che gli aggiornamenti di sicurezza possano mitigare le vulnerabilità

 

In parallelo al Nuovo Regolamento Macchine

In modo similare al Nuovo Regolamento Macchine, recentemente approvato e in corso di pubblicazione, anche il Cyber Resilience Act non si rivolgerà più solo al costruttore. Sono citate le figure dell’importatore e del distributore, anch’esse responsabili della circolazione nel mercato europeo di prodotti in linea con i requisiti di sicurezza informatica.

Altro punto di affinità fra i due regolamenti riguarda le modifiche sostanziali.

Infatti, in caso di modifiche sostanziali, come ad esempio aggiornamenti rilevanti del software nel tempo o di manutenzione, è necessario provvedere a una nuova attività di valutazione se tali modifiche compromettono la conformità del prodotto.

 

A quali prodotti si applica il Cyber Resilience Act

Come accennato, il Cyber Resilience Act si rivolge a differenti classi di prodotti con differenti livelli di rischio, nelle quali ricadono sia i prodotti digitali fisici, come i dispositivi IoT, sia i prodotti digitali immateriali, ossia i software incorporati nei dispositivi.

Più in generale, si applicherà a tutti i “prodotti con elementi digitali il cui uso previsto o ragionevolmente prevedibile includa una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete” – (art. 2 della proposta di Regolamento).

Sono invece esclusi dal Cyber Resilience Act i dispositivi connessi a cui è già applicabile una normativa di settore, come i dispositivi medici, dell’aviazione civile, o il software-as-a-service.

 

Quando è attesa l’entrata in vigore del Cyber Resilience Act

Al momento nello stato di proposta, il Cyber Resilience Act sarà prossimamente discusso dal Parlamento e dal Consiglio Europeo. A seguito della futura approvazione, i costruttori avranno 12 mesi per segnalare eventuali vulnerabilità, ed ulteriori 12 mesi per adattarsi alle nuove regole.

Non è mai troppo presto per informarsi, e l’ambito trattato dal Cyber Resilience Act ha decisamente carattere di urgenza.

 

 

Domande? Commenti?

 

Inviaci il tuo feedback

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Torna all'elenco degli articoli
Send this to a friend