strategie

Cybersecurity Ue: resilienza e sicurezza by design con NIS2 e CRA



Indirizzo copiato

NIS2 e CRA ridefiniscono gli standard di sicurezza informatica in Europa. Nuovi obblighi per hardware e software, protezione rafforzata per consumatori e imprese, coordinamento tra Stati membri

Pubblicato il 3 feb 2025

Francesco Saraniti

cybersecurity manager presso Innonation S.r.l.



equalize dossieraggi

La cybersicurezza rappresenta una delle principali sfide per l’Unione Europea[1].Essa richiede un approccio olistico, che consideri diversi settori e, come la Commissione Europea e l’Alto Rappresentante dell’Unione per gli Affari Esteri e la Politica di Sicurezza riportavano, nel dicembre 2020, all’interno della nuova Strategia dell’UE in materia di cybersicurezza per il decennio digitale, essa è fondamentale per la sicurezza dei cittadini, imprese e istituzioni europee.

Obiettivi della Strategia dell’UE in materia di cybersicurezza per il decennio digitale

Tale Strategia rispondeva ai seguenti obiettivi:

WHITEPAPER

Esplora come l'AI impatta sulla sicurezza dati. Guida essenziale per la DPIA

Privacy/Compliance
LegalTech
  • La necessità di rafforzare l’infrastruttura critica e i servizi essenziali attraverso la sicurezza informatica (l’attuale NIS2[2]).
  • La volontà di creare uno scudo cibernetico europeo con la creazione di gruppi di intervento per la sicurezza informativa in caso di incidente (CSIRT) e attraverso una rete di Centri Operativi di Sicurezza (SOC) per monitorare e rispondere alle minacce informatiche.
  • L’intento di sviluppare un’infrastruttura di comunicazione ultra-sicura basata su tecnologie quantistiche.
  • Stabilire una Joint Cyber Unit per coordinare la risposta alle minacce informatiche su vasta scala e migliorare la cooperazione tra Stati membri e istituzioni UE.
  • Combattere la criminalità informatica attraverso una maggiore cooperazione tra le autorità di cybersecurity e le forze dell’ordine migliorando le capacità di indagine digitale.
  • Potenziare la capacità di difesa cibernetica dell’UE, in linea con la Strategia Globale dell’UE del 2016.
  • Promuovere una visione del cyberspazio basata sui diritti umani, le libertà fondamentali e i valori democratici, attraverso la cooperazione internazionale.
  • Guidare la definizione di standard e norme internazionali nel cyberspazio, assicurando che l’architettura di internet rimanga globale e aperta.
  • Promuovere lo sviluppo di competenze cibernetiche avanzate attraverso l’istruzione e la formazione continua.

Queste linee programmatiche rispondono all’esigenza dell’UE di introdurre un impianto normativo mirato a rafforzare tre settori d’azione dell’UE: cioè la resilienza, la sovranità tecnologica e la leadership; la capacità operativa di prevenire, scoraggiare e rispondere; la cooperazione per promuovere un cyberspazio globale e aperto.

Gli impatti degli attacchi informatici

Gli attacchi informatici costituiscono una questione di interesse pubblico dato che hanno un impatto determinante su:

  • L’economia dell’Unione.
  • Sulla democrazia.
  • La sicurezza dei consumatori.
  • Sulla salute.

L’aspetto della resilienza delle infrastrutture digitali e la garanzia di un elevato livello di sicurezza sono aspetti di un approccio dinamico e adattabile alle minacce emergenti, ne consegue che è necessario dotarsi di un quadro giuridico uniforme e, le recenti normative, ne sono un esempio di questo corpus articolato.

Questo approccio rigoroso della necessità di una implementazione delle misure di sicurezza nella gestione del rischio si evidenzia all’interno:

  • Direttiva (UE) 2022/2555, la cosiddetta NIS2 – Network and Information Security –  recepita recentemente in Italia attraverso il D. Lgs. n. 138/2024.
  • Regolamento (UE) 2024/2847, il Cyber Resilience Act (CRA), relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali.

Il presente approfondimento ha l’obiettivo di effettuare una disamina di alcuni elementi “sponsali” e di rinvio normativo che la Direttiva del 2022 e il Regolamento del 2024 non possono non avere, in quanto inserite all’interno di una Strategia UE che mira alla definizione di standard minimi di sicurezza che le organizzazioni devono rispettare.

NIS 2 e CRA: security by design

Non abbiamo una definizione univoca della nozione di security by design, in ambito tecnologico-normativo,esso è un concetto che implica l’integrazione della sicurezza in ogni fase del ciclo di vita di un sistema o di una applicazione. Si basa sull’approccio metodologico che la sicurezza deve guidare la progettazione e lo sviluppo del sistema.

All’interno delle logiche dell’ISMS (ISO/IEC 27001:2022), una linea guida utile che permette di inquadrare l’integrazione della sicurezza nelle applicazioni e nei processi di sviluppo software può essere fornita dallo standard ISO/IEC 27034-1:2011, che parte dall’assunto che la progettazione di software sicuro passi attraverso l’uso di tecniche di “secure coding” e l’analisi continua delle vulnerabilità. Essa ha l’obiettivo di assicurare che la sicurezza delle informazioni sia incorporata nelle fasi di progettazione, sviluppo e gestione delle applicazioni. In particolare, l’integrazione di misure di sicurezza nelle applicazioni – per questa linea guida – si compone delle seguenti fasi:

  • la progettazione dei requisiti di sicurezza, seguita da
  • una analisi dei rischi;
  • la definizione di misure di controllo; e
  • l’adozione di tecniche di sviluppo sicuro.

Gli obiettivi del Cyber Resilience Act

Il Cyber Resilience Act, che tratta dei requisiti di cibersicurezza per i prodotti con elementi digitali, definisce quattro obiettivi specifici[3]:

  1. Garantire che i fabbricanti migliorino la sicurezza dei prodotti con elementi digitali fin dalla fase della progettazione e sviluppo e durante l’intero ciclo di vita.
  2. Garantire un quadro coerente in materia di cibersicurezza, facilitando la conformità per i produttori di hardware e software.
  3. Migliorare la trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali.
  4. Consentire alle imprese e ai consumatori di utilizzarli in modo sicuro.  

Il regolamento stabilisce un quadro normativo orizzontale per garantire che i prodotti hardware e software immessi sul mercato UE siano sicuri e protetti contro le vulnerabilità, in quanto i due problemi principali che comportano costi per gli utilizzatori e per la società, secondo il CRA sono:

  • un basso livello di cibersicurezza dei prodotti con elementi digitali (vulnerabilità diffuse e una fornitura incoerente di aggiornamenti di sicurezza);
  • una insufficiente comprensione delle informazioni e un accesso limitato alle stesse da parte degli utilizzatori (che impedisce di scegliere prodotti con proprietà di cibersicurezza adeguate e di utilizzarli in modo sicuro).

Gli obblighi in capo ai fabbricanti

I fabbricanti dovrebbero, pertanto, garantire che tutti i prodotti con elementi digitali siano progettati e sviluppati conformemente ai requisiti essenziali di cibersicurezza e ispirati alla nozione di security by design.

Questo obbligo, si riferisce ai prodotti:

  • connessi in modo fisico tramite interfacce hardware;
  • connessi in modo logico, ad esempio tramite socket di rete, pipe, file, interfacce per programmi applicativi o qualsiasi altro tipo di interfaccia software.

Stante che le minacce informatiche si possono propagare attraverso vari prodotti con elementi digitali prima di raggiungere un determinato obiettivo, ad esempio concatenando più exploit di vulnerabilità, i fabbricanti devono garantire la cibersicurezza anche dei prodotti con elementi digitali che sono connessi solo indirettamente ad altri dispositivi o reti.

Garantire la sicurezza della supply chain

Al fine di garantire la sicurezza della supply chain da parte dei fornitori di infrastrutture digitali a norma della direttiva (UE) 2022/2555 (c.d. NIS2), il CRA, che si applica a tutti i prodotti hardware e software collegabili, garantisce che i prodotti con elementi digitali che essi utilizzano per la fornitura dei loro servizi siano sviluppati in modo sicuro e che abbiano accesso ad aggiornamenti di sicurezza tempestivi per tali prodotti.

Infatti, la direttiva (UE) 2022/2555 mira a garantire un livello elevato di cibersicurezza dei servizi forniti dai soggetti essenziali e importanti (ex art. 3), compresi i fornitori di infrastrutture digitali che garantiscono i servizi e forniscono l’accesso a Internet. È quindi importante che i prodotti con elementi digitali necessari ai fornitori di infrastrutture digitali per garantire il funzionamento di Internet siano sviluppati in modo sicuro e siano conformi a norme di sicurezza Internet consolidate[4].

L’art. 24 del D. Lgs. n.138/2024 prevede l’adozione di “misure tecniche, operative e organizzative” adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

La sicurezza nella catena di approvvigionamento viene evidenziata anche all’interno della Strategia Nazionale di cybersicurezza 2022-2026[5] di ACN, in cui si ribadisce la necessità di integrare strumenti e metodologie per contrastare efficacemente questa tipologia di vulnerabilità, rafforzando i requisiti di sicurezza già a livello di progettazione (approccio by design).

In particolare, il comma 3 dell’art. 24 D. Lgs. n. 138/2024 prevede, per la valutazione delle misure di sicurezza della supply chain, di tenere conto:

  • delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi;
  • della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi (comprese le loro procedure di sviluppo sicuro);
  • dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

Conclusioni

In conclusione i fornitori e le terze parti rappresentano un vettore di rischio cruciale, sul punto è rilevante il rapporto di ENISA “Good Practices for Supply Chain Cybersecurity” del giugno 2023 che offre una panoramica delle pratiche di sicurezza informatica nella catena di approvvigionamento che rileva, da parte delle organizzazioni, l’adozione di un approccio basato sul rischio, che permette di concentrarsi sui fornitori più critici garantendo che vengano implementati controlli di sicurezza adeguati.

Questo medesimo approccio si ritrova sia all’interno dello standard della serie ISO/IEC 27036[6] che all’interno del framework NIST SP 800-161[7].

In entrambe le metodologie si prende in esame il ciclo di vita delle relazioni nella supply chain partendo dalla selezione dei fornitori, la gestione dei contratti, il monitoraggio e la conclusione delle relazioni; ogni fase del ciclo di vita deve essere gestita con controlli di sicurezza appropriati.

Non a caso nel considerando 13 del CRA si legge che la direttiva (UE) 2022/2555 prevede misure di gestione dei rischi di cibersicurezza per i soggetti essenziali e importanti, queste misure possono includere requisiti di sicurezza nella catena di approvvigionamento, che impongono l’uso di prodotti con componenti digitali che soddisfano standard di cibersicurezza più stringenti rispetto a quelli previsti dal regolamento. In linea con il principio di armonizzazione minima della direttiva, gli Stati membri possono, quindi, introdurre requisiti aggiuntivi per l’uso di prodotti TIC da parte di soggetti essenziali o importanti, al fine di garantire un livello più elevato di cibersicurezza, purché tali requisiti siano compatibili con gli obblighi previsti dal diritto dell’Unione Europea.

Note


[1] Considerando 1 Reg. (UE) 2024/2847.

[2] Direttiva (UE) 2022/2555.

[3] Nota 30, Sicurezza Informatica, Obblighi e responsabilità dopo il recepimento della NIS2 e la L. n. 90/2024, di F. Micozzi, 2024, Wolters Kluwer

[4] Considerando 24, Reg. (UE) 2024/2847.

[5] ACN, Strategia Nazionale di Cybersicurezza, https://www.acn.gov.it/portale/strategia-nazionale-di-cybersicurezza

[6] ISO/IEC 27036:2021 (Part 1: Overview and concepts; Part 2: Requirements; Part 3: Guidelines for hardware, software and services supply chain security; Part 4: Guidelines for security of cloud services).

[7] Cybersecurity supply chain risk management (C-SCRM) Practices for systems and organizations.

WHITEPAPER

Norma ISO 31700 e privacy by design: cosa devono sapere aziende e consulenti

Contract Management
Privacy/Compliance

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4