La verifica di conformità sorpassa la certificazione di prodotto, arrivando prima sugli schermi delle obbligatorietà europee: è questa la prima conseguenza tangibile dell’adozione da parte del Consiglio Europeo, lo scorso 10 ottobre, del Cyber Resilience Act che era già stato approvato a marzo dal Parlamento UE a marzo e che ora è in attesa della firma dei Presidenti del Consiglio Europei e della pubblicazione sulla GUE.
Dunque, tutte le aziende che introdurranno in Europa prodotti con componenti digitali dovranno esporre il marchio CE per dimostrare di avere effettuato controlli di cyber security.
Tale marchio, come sappiamo, già viene esposto su parecchi dispositivi per dimostrare il rispetto di norme sullo spettro elettromagnetico e sulle radio frequenze, per esempio. Adesso verrà usato anche per dichiarare che un prodotto rispetta requisiti minimi di sicurezza.
Indice degli argomenti
CRA: come verranno certificati i prodotti
Verrà verificato con auto certificazione nel 90% dei casi di prodotto (come robot domestici, giocattoli, hard drive, smart speaker ecc.), mentre nel rimanente 10% potrà essere usata una dichiarazione di terza parte per i prodotti critici – classe I (SIEM, router, antivirus ecc.) la quale diventerà obbligatoria per i prodotti altamente critici – classe II (sistemi operativi, firewall, smart card e lettori ecc.).
A questo punto attendiamo l’applicazione del regolamento da parte della ACN, ma prima ancora i decreti delegati dell’UE sui sistemi di verifica dei prodotti di classe I e II e i criteri per identificare gli organismi notificati che potranno fungere da parte terza per la verifica di conformità.
Cyber Resilience Act: cosa fare per adeguarsi
I fabbricanti dovranno valutare la conformità sulla base di una valutazione del rischio secondo procedure indicate nell’art. 24 a seguito delle quali possono (e devono) apporre il marchio CE.
Dovranno prevedere security by design, produrre documentazione adeguata, seguire i prodotti e i loro aggiornamenti al variare delle minacce per la durata del prodotto o per almeno cinque anni, relazionarsi con autorità di vigilanza e organismi di valutazione della conformità.
Se assemblano prodotti di altri dovranno verificare la loro conformità prioritariamente.
I rappresentanti autorizzati hanno obblighi solo formali legati alla documentazione. Gli importatori hanno obblighi formali e documentali di controllo e di relazione con le autorità locali.
Regole di conformità per i prodotti critici
Per i prodotti critici, nel caso di non conformità o impossibilità di definire la conformità, entra in azione l’organismo di valutazione e il fabbricante collabora con l’organismo secondo la procedura definita nel regolamento o la valutazione della conformità basata sulla garanzia della qualità totale.
Regole di conformità per i prodotti altamente critici
Per i prodotti altamente critici la verifica viene fatta direttamente dal fabbricante con l’organismo di valutazione secondo la procedura definita dal regolamento o la valutazione della conformità basata sulla garanzia della qualità totale.
Le aziende dovranno, quindi, adeguarsi a procedure e processi di qualità totale anche in conformità a requisiti minimi di sicurezza cyber e, nei casi critici o altamente critici, dovranno passare per organismi di parte terza che consentano l’apposizione del marchio prima della immissione del prodotto nel mercato comune europeo.
Cyber Resilience Act: il compito delle istituzioni
Le istituzioni, dal canto loro, dovranno prevedere meccanismi di ispezione e sanzione per attuare i controlli sui prodotti, sui fabbricanti e gli importatori e sugli organismi notificati.
Questo significa uno scatto in avanti nella sicurezza by design dei prodotti in connettività, ma anche una attenzione continua al loro aggiornamento rispetto alle minacce in rete.
Un altro passo verso la certificazione di prodotto
Di fatto, sarà un passaggio verso la certificazione di prodotto che ancora si fa aspettare sia a livello nazionale che europeo: la verifica di conformità, lungi dall’essere un meccanismo più lieve, aprirà le porte all’abitudine ai processi certificativi di sicurezza di prodotto sia presso i fabbricanti che presso gli utenti.
Ci abitueremo a osservare il marchio CE sui prodotti come già facciamo per altre categorie e ci abitueremo a operare perché questo marchio sia ottenibile e sostenibile.
Quanto tempo impiegheremo a fare questa virata dipende dall’Unione Europea e dalle Istituzioni dei Paesi Membri, ma ormai la regata è partita.
