Tempo di lettura: 6 minuti Difficoltà: AdvancedRispetto all’ultimo aggiornamento in merito al Cyber Resilience Act, sono tante le questioni confermate, e altrettante quelle discusse, per arrivare alla versione del regolamento votata dal Parlamento Europeo. Leggi questo articolo per prepararti ad accogliere le novità normative.
Rispetto all’ultimo aggiornamento in merito al Cyber Resilience Act, sono tante le questioni confermate, e altrettante quelle discusse, per arrivare alla versione del regolamento votata dal Parlamento Europeo. Leggi questo articolo per prepararti ad accogliere le novità normative.
Testo adottato dal Parlamento e situazione a livello europeo
Testo adottato dal Parlamento e situazione a livello europeo
Il 12 marzo 2024 il Regolamento sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali ha modificato il Regolamento (UE) 2019/1020 sulla vigilanza del mercato.
Il Cyber Resilience Act così è attualmente in attesa dell’approvazione formale del Consiglio, e della pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea.
Sappiamo che il regolamento entrerà in vigore 20 giorni dopo la pubblicazione sulla GUUE e sarà applicato dopo 36 mesi da tale data (parliamo quindi di metà 2027).
Ricapitolando quanto già anticipato in un precedente articolo, il Cyber Resilience Act mira a stabilire le condizioni per lo sviluppo di prodotti sicuri con elementi digitali, garantendo la cybersecurity dei prodotti (hardware e software) immessi sul mercato UE.
I vari atti e le iniziative adottati finora dall’Unione affrontano solo parzialmente i problemi e i rischi legati alla cibersicurezza, creando un mosaico legislativo nel mercato interno, che aumenta l’incertezza giuridica sia per i produttori che per gli utenti finali. Ma una certezza c’è.
Tutti i prodotti con elementi digitali, integrati o collegati a un sistema informativo elettronico, possono veicolare un attacco cyber.
Di conseguenza, anche l’hardware e il software considerati meno critici possono facilitare la compromissione iniziale di un dispositivo o di una rete, consentendo agli attaccanti di ottenere un accesso privilegiato ai sistemi.
Per questo, l’approccio del Cyber Resilience Act punta ad avere prodotti protetti da parte dei produttori, indipendentemente dal fatto che i dati siano elaborati o archiviati in locale sul dispositivo dell’utente o in remoto dal produttore.
Vuoi ricevere consigli su come trasformare le sfide aziendali in risultati?
Oneri del produttore
Quando integrano componenti provenienti da terze parti, i produttori devono esercitare la dovuta diligenza nei riguardi dei componenti, compresi software gratuiti e open source. Il livello appropriato di due diligence dipende dalla natura e dal livello di rischio di sicurezza informatica associato a un determinato componente.
A ciò si aggiunge l’obbligo di gestione delle vulnerabilità, applicabile ai prodotti con elementi digitali nella loro interezza, compresi tutti i componenti integrati, e compreso il dovere di notifica delle vulnerabilità rilevate.
Infine, fra gli altri obblighi, vi è naturalmente quello secondo cui i fabbricanti sono tenuti a redigere la dichiarazione di conformità UE.
Ai fini della Marcatura CE dei prodotti, i fabbricanti devono attenersi a quanto indicato nell’All. I, ossia:
- Parte 1 Sezione 1 Requisiti Essenziali per progettazione, sviluppo e produzione
- Parte 1 Sezione 2 Requisiti di cybersecurity
- Parte 2 Requisiti per la gestione delle vulnerabilità
Continua a leggere perché torneremo su questo punto nei prossimi paragrafi; nel frattempo è necessario aprire una parentesi sul concetto di modifica sostanziale, nel senso che:
La Direttiva 85/374/CEE sulla responsabilità per prodotti difettosi è complementare al Cyber Resilience Act.
Qualora la mancanza di sicurezza consista nella mancanza di aggiornamenti di sicurezza dopo l’immissione sul mercato del prodotto, e ciò causi un danno, subentra la responsabilità del produttore.
Il prodotto deve essere considerato sostanzialmente modificato se l’aggiornamento del software modifica la destinazione d’uso del prodotto. Può trattarsi di modifiche non previste dal produttore nella valutazione iniziale del rischio, o si intende che la natura del pericolo o il livello di rischio per la sicurezza informatica siano aumentati a causa dell’aggiornamento del software reso disponibile sul mercato.
Definitiva applicazione del Cyber Resilience Act
Il regolamento sui requisiti orizzontali dei prodotti con elementi digitali si applica in generale a dispositivi quali portatili, smartphone, sensori, router e sistemi di controllo industriale, oppure a prodotti software o firmware, ed infine, a componenti hardware/software quali unità di elaborazione informatica.
Inoltre, il regolamento si applica a:
- Prodotti destinati all’utilizzo su veicoli diversi da automobili, camion e rimorchi (omologazione cat. M, N, O) e quindi veicoli a motore (cat. L), veicoli agricoli (cat. T, R e S) e macchine mobili fuoristrada (cat. Z)
- Prodotti da utilizzare sui sistemi ferroviari
- In combinazione con il Regolamento (UE) 2023/1230 sulle macchine
Il Cyber Resilience Act, al contrario, non si applica a:
- Prodotti coperti dal Regolamento Dispositivi Medici (UE) 2017/745
- Prodotti coperti dal Regolamento sulla diagnostica in vitro (UE) 2017/746
- Prodotti disciplinati dal Regolamento sui requisiti di omologazione dei veicoli a motore (UE) 2019/2144
- Prodotti con elementi digitali certificati ai sensi del Regolamento (UE) 2018/1139 (Aviazione Civile)
- Prodotti coperti dalla Direttiva 2014/90/UE (Equipaggiamento Marittimo)
- Prodotti disciplinati da altre norme dell’Unione con requisiti che affrontano tutti o alcuni dei rischi coperti attraverso l’adozione di atti delegati
- Pezzi di ricambio
- Prodotti sviluppati o modificati esclusivamente per scopi di sicurezza o difesa nazionale
I prodotti soggetti al regolamento sono suddivisi, in base alla loro rischiosità, in classi, ossia in Prodotti Importanti di Classe I e Prodotti Importanti di Classe II (entrambe elencate in All. III secondo la lista trattata in precedenza), ai quali si aggiungono i Prodotti Critici, indicati nell’All. IV, fra cui rientrano prodotti con un rischio significativo, come gateway e smart card.
Resta ancora aperta la questione: la Commissione potrebbe rettificare gli Allegati III e IV per aggiungere o eliminare prodotti dall’elenco e modificare il livello di garanzia richiesto.
Attenzione, il Cyber Resilience Act dedica l’articolo 24 ai fornitori di software gratuiti ed open source, specificando che questi rientrano nel campo di applicazione dei requisiti di cybersecurity quando tali software rappresentano un’attività commerciale, riservando un regime normativo più flessibile ai software senza mercato. Ciò tuttavia non esula nessuno dall’adottare politiche di sicurezza informatica per la corretta gestione delle vulnerabilità.
Marcatura CE, requisiti di sicurezza e sanzioni
Gli obiettivi di sicurezza degli schemi EU di certificazione della cybersecurity definiscono il livello minimo di sicurezza accettabile, fissando il grado di garanzia (“base”, “sostanziale” o “alto”) in base al rischio associato all’uso previsto dei prodotti.
Ricomponiamo allora i pezzi del puzzle visto finora per incasellare quali sono le regole da seguire per dichiarare la conformità:
Modulo | Mod. B e C con Organismo Notificato | Mod. H con Organismo Notificato | Modulo A con Autovalutazione | Reg. (UE) 2019/8813 |
---|---|---|---|---|
Procedure | Esame UE del tipo + Conformità del tipo UE basata sulla produzione interna | Garanzia di qualità completa | Procedura di controllo interno | Livello di rischio |
Prodotti Importanti – Classe I All. III | X | X | X1 | Sostanziale o alto |
Prodotti Importanti – Classe II All. III | X | X | Sostanziale o alto | |
Prodotti Critici All. IV | X2 | X2 | Da confermare | |
Prodotti non inclusi negli All. III e IV | X | Sostanziale o alto |
1= se il produttore ha applicato norme armonizzate; 2= se i requisiti per lo schema di certificazione UE non sono ancora stati adottati; 3= sistema di certificazione della sicurezza informatica dell’UE (ove disponibile/applicabile)
Tornando ai requisiti essenziali:
Il Cyber Resilience Act indica fra i requisiti essenziali il principio di Secure Development (All. I – Par. 1), ossia l’obbligo di assicurare un livello appropriato di protezione basato sul rischio, implementazione di organizzazione e processi per lo sviluppo sicuro dei prodotti, indicandolo quindi come requisito tecnico da applicarsi sulla base del Risk Assessment.
Come detto, fondamentale è anche la gestione delle vulnerabilità, ed in particolare la possibilità di applicare test e revisioni regolari della sicurezza del prodotto con elementi digitali, prevedendo meccanismi efficaci per distribuire in modo sicuro gli aggiornamenti dei prodotti.
Per concludere, il mancato rispetto dei requisiti essenziali di cybersecurity è punito con sanzioni amministrative fino a:
- 15.000.000 €, oppure
- se l’autore del reato è un’impresa, fino al 2,5 % del fatturato annuo mondiale totale dell’anno finanziario precedente, se superiore.
Scopri come soddisfare i requisiti del Cyber Resilience Act
Torna all'elenco degli articoli