Il 30 novembre 2023 gli eurodeputati hanno raggiunto un accordo provvisorio sul Cyber Resilience Act (CRA) con la Presidenza del Consiglio UE relativamente alle nuove regole di resilienza informatica per proteggere tutti i prodotti digitali nell’UE.
Tale accordo mira a garantire che i dispositivi con funzionalità e componenti digitali siano sicuri nel loro utilizzo, resistenti alle minacce cyber e forniscano informazioni sufficienti sulle loro proprietà di sicurezza.
Inoltre, il pacchetto normativo prevederà l’inserimento di tali asset in diversi elenchi sulla base di una classificazione della loro criticità e del livello di rischio per la sicurezza informatica.
I deputati hanno ampliato l’elenco delle apparecchiature coperte con prodotti quali software per sistemi di gestione dell’identità, gestori di password, lettori biometrici, assistenti domestici intelligenti e telecamere di sicurezza private.
Inoltre, dovrebbero essere dotati anche di aggiornamenti di sicurezza installati automaticamente e separatamente da quelli funzionali.
Cyber Resilience Act: requisiti fondamentali e prodotti coinvolti
Indice degli argomenti
Cyber Resilience Act: il coinvolgimento di ENISA
Importante, in particolare, è il coinvolgimento dell’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) qualora si verificassero incidenti.
L’agenzia, infatti, verrà tempestivamente informata dallo Stato membro interessato e riceverà informazioni in modo che possa valutare la situazione segnalata.
Se il rischio dovesse rivelarsi di natura sistemica, l’ENISA informerà gli altri Stati membri in modo che questi possano attivare le procedure nazionali per l’implementazione delle misure di prevenzione.
Per sottolineare l’importanza delle competenze professionali nel campo della sicurezza informatica, gli eurodeputati sono anche riusciti a introdurre programmi di istruzione e formazione, iniziative di collaborazione e strategie per migliorare la mobilità della forza lavoro.
Nuovi obblighi introdotti dal Cyber Resilience Act
La nuova legge sulla sicurezza informatica introduce, dunque, per la prima volta l’obbligo non solo di segnalare incidenti gravi, ma anche di sfruttare a proprio vantaggio le vulnerabilità, quei punti di ingresso che sono sistematicamente utilizzati da attori malintenzionati e che non sono ancora stati “patchati”.
Riguardo ai termini di segnalazione e notifica, il testo si allinea a quelli della direttiva Network and Information Security (NIS 2).
In particolare, il CRA verrà applicato a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o rete, ad eccezione di esclusioni specificate, tra le quali software o servizi open source che sono già disciplinati dalle norme esistenti, i dispositivi medici, i dispositivi medico-diagnostici in vitro, il settore dell’aviazione civile e quello relativo alla omologazione dei veicoli a motore e dei loro rimorchi, nonché di sistemi, componenti ed entità tecniche destinate a tali veicoli.
Nello specifico, il testo introduce norme volte a riequilibrare l’assunzione di responsabilità in materia di compliance a carico dei fabbricanti, che devono rispettare determinati obblighi, quali la fornitura di valutazione dei rischi di cyber sicurezza, il rilascio di dichiarazioni di conformità e la collaborazione con le autorità competenti.
Infine, introduce misure volte a migliorare la trasparenza sulla sicurezza dei prodotti hardware e software per i consumatori e gli utilizzatori commerciali e un quadro di vigilanza del mercato ai fini dell’applicazione delle norme.
Difatti, i problemi che affronta tale regolamento sono duplici: da un lato vi è il livello insufficiente della cyber security inerente a molti prodotti o aggiornamenti di sicurezza che risultano ormai inadeguati ai software; dall’altro vi è l’incapacità dei consumatori e delle imprese di determinare quali dispositivi sono “cyber-sicuri” o di impostarli in modo da garantire la loro protezione.
Requisiti essenziali per la conformità degli asset
Per tutti gli asset, i fornitori dovranno ottenere una certificazione specifica rilasciata secondo le norme previste dal Regolamento UE 2019/881 sulla cyber sicurezza.
La non conformità da parte degli operatori economici ai requisiti essenziali è soggetta a sanzioni amministrative pecuniarie fino a quindici milioni di euro o, se l’autore del reato è un’impresa, fino al 2,5% del fatturato mondiale totale annuo relativo all’esercizio precedente, se superiore.
Tuttavia, non risulta ancora essere chiara la definizione di “operatore economico” che dovrebbe essere individuata nelle figure del fabbricante, del rappresentante autorizzato, dell’importatore, del distributore o di qualsiasi altra persona fisica o giuridica soggetta agli obblighi stabiliti dal regolamento.
Prossimi step di approvazione del Cyber Resilience Act
A seguito dell’accordo raggiunto in via provvisoria, nelle prossime settimane continueranno i lavori a livello tecnico per finalizzare i dettagli della nuova legge.
La presidenza spagnola di turno al Consiglio dell’UE presenterà il testo di compromesso ai rappresentanti degli Stati membri. A tal proposito, il Ministro spagnolo della trasformazione digitale Josè Luis Escrivà si è già pronunciato in merito dichiarando che “l’accordo è una pietra miliare verso un mercato digitale unico, sicuro e protetto in Europa. I dispositivi connessi hanno bisogno di un livello di base di cybersicurezza quando venduti nell’UE, garantendo che le imprese e i consumatori siano adeguatamente protetti dalle minacce informatiche. Questo è esattamente ciò che l’atto di resilienza informatica raggiungerà una volta entrato in vigore”.
Il testo discusso finora sarà soggetto all’approvazione formale da parte del Parlamento europeo e del Consiglio ed entrerà in vigore il 20esimo giorno successivo alla pubblicazione sulla Gazzetta Ufficiale.
I produttori avranno quindi 36 mesi di tempo per adeguarsi ai requisiti, ad eccezione di un periodo più limitato di 21 mesi in relazione all’obbligo di segnalazione dei produttori per incidenti e vulnerabilità.
Conclusioni
I politici europei hanno accolto con favore gli ultimi sviluppi dell’iter legislativo come si evince da una dichiarazione di Margaritīs Schinas, Vicepresidente responsabile per la promozione del nostro stile di vita europeo, il quale ha affermato che “la sicurezza di tutti i prodotti che circolano nell’UE è sempre stata una priorità e una storia di successo. Con la legge sulla resilienza cibernetica si colma la lacuna legislativa in modo che la «sicurezza by design» si applichi a tutti i prodotti che raggiungono i consumatori e gli utenti dell’UE. Le nuove norme impongono a ogni prodotto interconnesso venduto nello spazio comunitario di essere cyber-sicuro e di assicurarsi così che le nostre imprese e le nostre case diventino più sicure”.
In definitiva, il Cyber Resilience Act rientra nella più ampia strategia del legislatore UE di reprimere ciò che vede come una minaccia alla sicurezza informatica e ai diritti del consumatore.
L’applicazione del nuovo pacchetto normativo, in questo senso, garantirà che tutte le aziende tecnologiche saranno ritenute responsabili per le infrazioni commesse riguardanti l’uso improprio dei dati personali, dell’intelligenza artificiale e delle proprietà dei prodotti informatici.
