In materia di cybersecurity, oggi più che mai è necessario avere un quadro normativo di riferimento preciso, a livello comunitario. Per questo, la Commissione europea ha presentato il Cyber Resilience Act. Analizziamo qui il contesto di riferimento e le fasi propedeutiche all’emanazione del Regolamento, dalle normative degli anni passati fino all’attuale scenario legislativo.
Indice
- Il contesto
- Gli strumenti normativi propedeutici
- La proposta di Regolamento
- I prodotti con elementi digitali
- La conformità dei prodotti digitali
- I soggetti, gli obblighi e la vigilanza
- Lo scenario futuro
Il contesto
Negli ultimi anni, i prodotti hardware e software sono stati sempre più insistentemente oggetto di offensiva. Il costo annuale della criminalità informatica nel 2022 ha superato i 6 miliardi di euro. Secondo i dati combinati di Censis e Iisfa, nel 2022 in Italia gli attacchi informatici sono aumentati del 138%. I nuovi bersagli sono identificabili nelle infrastrutture informatiche di soggetti privati (+32%), con azioni perpetrate per lo più da gruppi criminali organizzati (47% sul totale).
Tali spiacevoli e pericolosi incidenti sono spesso provocati da una diffusa vulnerabilità nell’ambito della cybersecurity, una insufficiente fornitura di aggiornamenti di sicurezza e una difficile comprensione delle informazioni, che frenano una adeguata scelta di prodotti a tutela. La cosa peggiore, in questo ambito, è la velocità di propagazione. Partendo da un evento singolo, in poco tempo si arriva a pregiudicare la sicurezza di più soggetti, soprattutto nel caso delle catene di approvvigionamento, turbando diverse attività economiche.
Oggi, infatti, non si ragiona più in un’ottica nazionale, considerando che tutti i Paesi sono collegati. Data la natura transfrontaliera della cybersecurity, e considerando la ricaduta internazionale di eventuali incidenti, per raggiungere gli obiettivi è necessaria una collaborazione tra Stati. Negli anni passati, la disciplina comune ha mostrato diverse lacune. Spesso la materia è stata regolata a livello nazionale. Il quadro frammentato di leggi non è risultato solo inutile ma altresì dannoso, ostacolando la creazione di un mercato unico aperto e competitivo.
Per ovviare a questa problematica si è reso necessario un incremento del corpo normativo comunitario. Da questo mosaico legislativo nasce l’esigenza di aumentare la certezza del diritto, all’interno del mercato unico. Partendo da queste premesse, la Commissione europea ha presentato il Cyber Resilience Act. Analizziamo allora le fasi propedeutiche all’emanazione del Regolamento, dalle normative degli anni passati fino all’attuale scenario legislativo.
Gli strumenti normativi propedeutici
Un excursus normativo decennale
Esistono diversi atti legislativi per la sicurezza informatica. Dieci anni fa, nell’agosto del 2013, è entrata in vigore la Direttiva 2013/40/UE, per l’armonizzazione della criminalizzazione di specifici reati contro i sistemi di informazione. Tre anni dopo, nell’agosto del 2016, è invece partita la nota Direttiva NIS, il primo strumento legislativo a livello europeo in ambito cybersecurity. Il Regolamento (UE) 2019/881 aggiornava il funzionamento dell’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza.
Con la NIS2, in vigore da gennaio 2023, è stata invece revisionata la materia, innalzando ulteriormente il livello normativo. Esattamente tra un anno, entro ottobre 2024, tutti gli Stati Membri dell’Unione dovranno recepirne le disposizioni.
Eppure, nel tempo, non sono mai stati previsti obblighi per la sicurezza dei prodotti con elementi digitali. Non esisteva, fino al 2022 un quadro normativo orizzontale dell’Unione che stabilisse requisiti di cybersecurity per tutti i prodotti di tale tipologia. E questo nonostante fosse vitale, per l’intera UE, poter contare su una normazione uniforme. Solo in questo modo sarebbe stato possibile regolare l’immissione sul mercato dei prodotti con elementi digitali, superando il limite della vulnerabilità degli stessi beni, per una maggiore sicurezza.
In casi specifici, infatti, i prodotti con elementi digitali diventano un vettore per gli attacchi esterni. Gli stessi hardware e software – tra i prodotti meno facilmente compromettibili – rappresenterebbero una falla del sistema. Dalla progettazione allo sviluppo, dalla produzione alla messa a disposizione sul mercato, i prodotti hardware e software dovranno essere allineati, in ambito europeo. Le diverse sovrapposizioni nazionali, talvolta anche in contrasto tra loro, andranno stralciate, seguendo una sola e unica voce, che è quella dell’UE.
La proposta di Regolamento
Struttura, tutela e obiettivi
Il Cyber Resilience Act oggi assume la forma di Regolamento, sebbene al momento risulti ancora una proposta. Esso nasce per tutelare la sicurezza informatica dei dispositivi connessi, ovvero quelli che presentando dati mobili. Rientra nell’ambito del più grande progetto di trasformazione digitale, avviato dall’UE con deadline 2030. Definisce gli standard comuni per la sicurezza informatica dei dispositivi IoT (i prodotti digitali connessi in rete) e dei rispettivi servizi.
Il corpus normativo è principalmente strutturato in quattro parti. In primis, introduce le norme per l’immissione sul mercato di prodotti con elementi digitali. In secondo luogo, stabilisce i requisiti essenziali per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali, indicando anche gli obblighi per gli operatori economici. Terzo, statuisce i requisiti essenziali per i processi di gestione delle vulnerabilità. Infine, norma la vigilanza del mercato e l’applicazione della legislazione.
Nel dettaglio, per un corretto funzionamento del mercato interno sono stati individuati due obiettivi principali e quattro specifici. È necessario (1) creare le giuste condizioni affinché i prodotti possano essere sviluppati con elementi digitali sicuri, abbattendo la vulnerabilità di hardware e software, una volta immessi sul mercato. È quindi fondamentale che i fabbricanti tengano seriamente in considerazione l’aspetto della security, nell’intero ciclo di vita del prodotto. Sono poi indispensabili (2) talune specifiche condizioni affinché gli utilizzatori possano tener conto della cybersecurity, qualora utilizzino prodotti con elementi digitali.
Per gli obiettivi specifici (1) andrà garantita la sicurezza dei prodotti, sin dalla progettazione e per l’intero ciclo di vita. Questo sarà un ruolo affidato ai fabbricanti. Bisognerà poi (2) assicurare un quadro coerente in materia di cybersecurity, “facilitando la conformità per i produttori di hardware e software”. Andrà poi (3) migliorata la trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali. Infine (4) sarà necessario dare la possibilità, a imprese e consumatori, di utilizzare i prodotti secondo standard di sicurezza.
I prodotti con elementi digitali
Definizione ed eccezioni
Oggetto della normativa sono i prodotti fisici con elementi digitali, come i dispositivi IoT, e quelli immateriali, come i software incorporati nei dispositivi connessi. Secondo la definizione, il “prodotto con elementi digitali” è qualsiasi software o hardware, con le sue relative soluzioni di elaborazione dati da remoto. Sono compresi i componenti da immettere sul mercato separatamente.
Si fa quindi riferimento ai prodotti connessi in modo fisico, tramite interfacce hardware, e quelli connessi in modo logico, tramite socket di rete, pipe, file, interfacce per programmi applicativi o qualsiasi altro tipo di interfaccia software. Pensiamo, ad esempio, ai dispositivi per smart home, ai computer (fissi o portatili), agli smartphone, alle cuffie wireless e a tutti i device connessi, in modo diretto o non, a un altro dispositivo o alla rete fissa o mobile.
Si tratta di prodotti che, secondo le ultime stime, risultano particolarmente a rischio di attacchi cyber, con conseguente possibile furto di dati e violazione di privacy. Fanno eccezione i dispositivi medici, quelli per l’aviazione o i beni del comparto automotive. Questi sono soggetti a requisiti di sicurezza informatica già stabiliti in precedenza. Sono altresì esclusi i SaaS, i software-as-a-service, a meno che non rientrino in soluzioni integrate.
La conformità dei prodotti digitali
Dai requisiti al concetto di “criticità”
Ma quando è possibile dire che i prodotti con elementi digitali risultino conformi alla normativa, così da poter essere immessi sul mercato? Ebbene, i prodotti dovranno soddisfare i “requisiti essenziali” riportati nella sezione I dell’Allegato I, in relazione alle proprietà. Ad esempio, devono proteggere la riservatezza e l’integrità dei dati personali. Oppure ridurre al minimo il loro impatto negativo sulla disponibilità dei servizi forniti da altri dispositivi o reti.
I prodotti devono essere progettati, sviluppati e creati per limitare le superfici di attacco, comprese le interfacce esterne. Devono risultare correttamente installati ed oggetto di una adeguata manutenzione, con un utilizzo conforme alle loro finalità. Anche per i processi messi in atto dal fabbricante sono previsti dei requisiti, come riportati nella sezione II dell’Allegato I, relativi alla gestione delle vulnerabilità.
Ci sono, però, prodotti che presentano elementi digitali critici: sono riportati nell’Allegato III. Sono suddivisi in due Classi (I e II). Nella prima rientrano quelli considerati ad alto rischio, in considerazione dell’alto grado di vulnerabilità e criticità della sicurezza informatica (HSM, firewall, microprocessori, router, modem ecc.). Gli altri, con un livello di rischio inferiore, sono in Classe II (software di vario tipo, gestori di password, interfacce di rete fisiche, microcontrollori ecc.).
I prodotti non riportati negli elenchi potranno invece essere valutati direttamente dalle aziende produttrici, senza sottostare alle norme. Per questi basterà una documentazione tecnica approntata dal produttore, e una dichiarazione di conformità UE.
I soggetti, gli obblighi e la vigilanza
Dalla responsabilità del produttore alla denuncia del venditore
Se è fondamentale definire i prodotti, è anche necessario comprendere il ruolo dei soggetti che producono e distribuiscono gli stessi. Il Capo II del Regolamento riporta infatti gli obblighi per gli operatori economici, tra cui quelli per i fabbricanti. Questi, nel momento in cui immettono un prodotto con elementi digitali nel mercato, assicurano che lo stesso sia stato progettato, sviluppato e prodotto conformemente ai requisiti essenziali. Si rendono quindi necessarie diverse valutazioni del rischio, in più fasi. Serve poi una serie di adempimenti, comprendendo anche documentazioni e procedure di valutazione della conformità.
È introdotta anche la figura del rappresentante autorizzato nominato dal fabbricante, e quella dell’importatore, entrambi con specifici impegni. Ci sono poi i distributori, ovvero coloro che mettono un prodotto con elementi digitali a disposizione del mercato, esercitando la dovuta diligenza, nel rispetto dei requisiti. Dovranno controllare che il bene riporti il marchio CE e verificare che fabbricante e importatore abbiano rispettato gli obblighi a loro carico. In caso contrario, possono rifiutarsi di commercializzare il prodotto.
Può accadere, in più fasi, che siano necessarie segnalazioni alle autorità di vigilanza, in relazione ad incidenti o vulnerabilità. Inizialmente, la figura a cui rivolgersi era stata individuata nell’ENISA, l’European Union Agency for Cybersecurity. Nel mese di luglio 2023, quando il testo della Commissione è passato al Consiglio, però, è stato stabilito diversamente. Le segnalazioni obbligatorie andranno quindi riportate alle autorità nazionali competenti, i CSIRT (Computer Security Incident Response Teams), i gruppi di intervento per la sicurezza informatica.
Lo scenario futuro
Gli step temporali e le nuove opportunità
Il Regolamento parte come proposta della Commissione, nel settembre del 2022. Nel mese di luglio 2023 riceve il placet del Consiglio Europeo e della Commissione Industria ed Energia del Parlamento. In questa occasione, il testo viene modificato. Oltre alle segnalazioni ai CSIRT, e non più all’ENISA, le novità riguardano anche alcune categorie di prodotti, le misure di sostegno alle micro e piccole imprese, le misure per stabilire la durata dei prodotti. Viene poi introdotta una dichiarazione semplificata di conformità.
Entro fine 2023 – e quindi nella sessione plenaria di novembre o dicembre – il Parlamento dovrà dare avvio ai negoziati informali (il cosiddetto trilogo) con Commissione e Consiglio. Sarà il momento della stesura definitiva del testo, che non dovrebbe discostarsi da quello attuale. A quel punto, il Regolamento entrerà subito in vigore perché, diversamente dalla Direttiva, non bisognerà attendere l’implementazione.
Seguiranno infatti due fasi. Nei primi 12 mesi i produttori e gli sviluppatori dei dispositivi IoT dovranno segnalare le vulnerabilità e le violazioni della sicurezza informatica. Entro i successivi 12 (quindi 24 dall’entrata in vigore), Stati membri e operatori di mercato dovranno adeguarsi. Non è infatti semplice e immediato indirizzare la progettazione, lo sviluppo e la manutenzione dei prodotti verso standard di cybersecurity, in ciascuna delle tappe nella value chain. È però necessario.
Il patrimonio digitale europeo, rappresentato dai dati personali, è infatti assimilabile a un importante asset economico, di tutti i cittadini dell’Unione. Da un lato il Cyber Resilience Act tutela il mercato unico sotto l’aspetto digitale. Dall’altro offre ai consumatori (e alle imprese) maggiori garanzie e sicurezze, grazie a una vigilanza minuziosa sullo sviluppo delle tecnologie.
Si può quindi parlare di una vera e propria economia digitale dell’Unione europea? Probabilmente sì, e questo aprirà a nuove sfide, offrendo diverse opportunità alle imprese.
