HomeProcess AutomationSafety e CybersecurityCyber Resilience Act, il nuovo Regolamento europeo per la protezione dei beni...

Cyber Resilience Act, il nuovo Regolamento europeo per la protezione dei beni digitali

Con il Cyber Resilience Act, l’Unione Europea tutela il mercato unico sotto l’aspetto digitale, offrendo ai consumatori maggiori garanzie. Aumentano quindi gli standard di sicurezza, così come le sfide e le opportunità per le imprese.

Leggi la rivista ⇢

  • n.305 - Settembre 2022
  • n.304 - Luglio 2022
  • n.303 - Giugno 2022

Ti potrebbero interessare ⇢

Marianna Capasso

Ottobre, ormai si sa, è il mese europeo della sicurezza informatica. E, mai come quest’anno, il tempismo normativo dell’Unione Europea è stato perfetto. Il 10 ottobre 2024 il Consiglio UE ha infatti adottato il CRA, il Cyber Resilience Act, dopo un lungo iter biennale.

A questo ha fatto eco la recente pubblicazione del Rapporto Clusit. Confermando ciò che già sapevamo: la cybersecurity non è un ambito circoscritto, ma ha diverse implicazioni trasversali.

Non esiste più un’ottica nazionale, ma gli stretti collegamenti tra i Paesi (e la ricaduta globale degli incidenti) impongono una logica transfrontaliera.

Dal Rapporto Clusit al Cyber Resilience Act: focus cybersecurity

Nel primo semestre del 2024 è stato registrato un leggero calo nel numero degli attacchi cyber in Italia (124 eventi contro i precedenti 132 di gennaio-giugno 2023). Eppure, il valore resta allarmante, secondo il Rapporto Clusit. Quel 7,6% di incidenti accorsi nel Bel Paese, sul totale mondiale, non è un dato irrisorio. È elevato, in considerazione di PIL e popolazione.

Ma, soprattutto, desta preoccupazione se pensiamo al target preferito dal cybercrime: comparto manifatturiero ed healthcare. Due punti nevralgici del spina dorsale nazionale.

Nel mentre, però, si fortifica l’apparato legislativo europeo. Il Cyber Resilience Act è stato finalmente adottato dal Consiglio, il 10 ottobre 2024. Il 20 novembre 2024 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea.

Dopo 20 giorni dalla sua pubblicazione, il Regolamento entra in vigore, con un periodo di adattamento di 36 mesi, scandito però da diverse fasi. Alcune disposizioni, infatti, si applicheranno già a partire dai successivi 12 mesi, in modo che la transizione risulti graduale. Verosimilmente, quindi, la normativa dispiegherà i suoi effetti entro il 2027.

Finalmente una normativa che rafforza la sicurezza informatica

Grazie all’armonizzazione delle regole comunitarie, a determinati beni vulnerabili sarà garantita una maggiore resilienza. Superando la frammentazione normativa, il nuovo Regolamento offrirà standard di sicurezza più elevati, a beneficio degli utilizzatori finali.

Una più incisiva tutela di hardware e software contribuirà a creare un ambiente più produttivo. Dispiegando i suoi effetti positivi sull’intero indotto. Il Cyber Resilience Act è dunque il tassello finale (al momento) di un puzzle normativo composto da più elementi. Sono più di dieci anni che Bruxelles affronta la questione, da diversi punti di vista.

Partendo dalla Direttiva 2013/40, sui reati contro i sistemi di informazione. E arrivando all’attuale Legge europea. Nel mezzo, le due Direttive NIS. La prima che risale al 2016. E la più recente, la Direttiva NIS2 (Direttiva 2022/2555), in vigore da gennaio 2023. Recepita negli ordinamenti nazionali da ottobre 2024, in Italia è stata implementata con il Decreto Legislativo n. 138/2024.

Il Cyber Resilience Act e la sua (tanto attesa) armonizzazione

Eppure, nonostante l’importanza della materia, negli anni non sono mai stati previsti obblighi per la sicurezza dei prodotti con elementi digitali. Fino al dicembre del 2020, quando la Commissione europea ha presentato una nuova strategia, a cui ha fatto seguito la proposta di Regolamento de quo.

Rientrando nell’ambito del più grande progetto di trasformazione digitale, avviato dall’UE con deadline 2030, la bozza di normativa presentata nel settembre del 2022 definiva gli standard comuni per la sicurezza informatica dei dispositivi IoT (i prodotti digitali connessi in rete) e dei rispettivi servizi.

In questo modo sarebbe stato possibile stabilire i requisiti di cybersecurity per tutti i prodotti con elementi digitali, regolando l’immissione sul mercato e limitando la vulnerabilità degli stessi. Veniva così offerta una maggiore sicurezza agli utenti finali. Superando, allo stesso tempo, le diverse sovrapposizioni nazionali, per una tutela unica.

Gli obiettivi del Cyber Resilience Act

L’atto normativo recentemente adottato è strutturato in quattro sezioni. Vengono inizialmente regolate le modalità di immissione sul mercato di prodotti con elementi digitali. Sono poi stabiliti i requisiti per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali.

Sono altresì riportati gli obblighi per gli operatori economici, nonché le caratteristiche essenziali per i processi di gestione delle vulnerabilità. Il Regolamento, poi, norma la vigilanza del mercato e l’applicazione della legislazione.

Sono due gli obiettivi principali e quattro quelli specifici, individuati dal CRA.

In entrambi i casi si punta allo sviluppo di elementi digitali sicuri, in grado di abbattere la vulnerabilità di hardware e software immessi in commercio, favorendo un corretto funzionamento del mercato interno. Si dà ampio risalto all’aspetto della security, nell’intero ciclo di vita del prodotto. E si chiedono garanzie sulla sicurezza dei prodotti, sin dalla progettazione e per sempre. L’onere, in questo caso, ricade sui fabbricanti.

La conformità dei prodotti digitali

La normativa fa riferimento al “prodotto con elementi digitali”, ovvero qualsiasi software o hardware, con le sue relative soluzioni di elaborazione dati da remoto, compresi i componenti da immettere sul mercato separatamente.

Si parla, quindi, di prodotti connessi in modo fisico o in modo logico. Quelli, quindi, a rischio di attacchi cyber.

Questi dovranno risultare conformi alla normativa, per poter essere immessi sul mercato. Ovvero, dovranno soddisfare i “requisiti essenziali” riportati nella sezione I dell’Allegato I, in relazione alle proprietà. I beni devono, ad esempio, proteggere la riservatezza e l’integrità dei dati personali, o essere progettati/sviluppati/creati per limitare le superfici di attacco, comprese le interfacce esterne.

Andranno, infine, installati in maniera corretta. Lo stesso principio di conformità si applica ai processi messi in atto dal fabbricante. L’Allegato I, nella seconda parte, riporta infatti i requisiti di gestione delle vulnerabilità, con gli obblighi per i produttori di beni con elementi digitali.

Le due classi di vulnerabilità e criticità individuate nel CRA

L’Allegato III individua i prodotti classificandoli in base agli elementi digitali critici, facendo una distinzione per grado di vulnerabilità e criticità della sicurezza.

Sono previste due Classi. Nella prima rientrano i beni ad alto rischio (HSM, firewall, microprocessori, router, modem ecc.). Nella seconda ci sono gli altri (software di vario tipo, gestori di password, interfacce di rete fisiche, microcontrollori ecc.).

Quelli non riportati negli elenchi, invece, saranno valutati direttamente dalle aziende produttrici, con una autodichiarazione. In tal senso, quindi, il Regolamento stabilisce anche numerosi obblighi per gli operatori economici, tra cui i fabbricanti – che dovranno assicurare la conformità del prodotto ai requisiti essenziali, attraverso diverse valutazioni del rischio, in più fasi.

Questi, e altri numerosi oneri, rientrano nelle disposizioni del Cyber Resilience Act: una struttura normativa che tutela, come mai prima d’ora, il patrimonio digitale europeo, rappresentato dai dati personali. Un vero asset economico condiviso.

Cyber Resilience Act, il nuovo Regolamento europeo per la protezione dei beni digitali - Ultima modifica: 2024-11-14T09:54:41+01:00 da Marianna Capasso