La normativa

Cyber Resilience Act, il nuovo volto della cybersicurezza europea

Gli aspetti giuridici della nuova proposta di regolamento Ue sulla cyber resilienza. L’obiettivo: norme chiare per la sicurezza informatica dei prodotti digitali connessi in rete che arrivano nel mercato dell’Unione con obblighi più stringenti per i produttori

Pubblicato il 11 Nov 2022

Rossella Bucca

avvocato, Studio Previti associazione professionale

Pasquale Sammario

praticante avvocato, Studio Previti associazione professionale

desi 2022

Lo scorso 15 settembre la Commissione Europea ha presentato il Cyber Resilience Act, una nuova proposta di regolamento che mira a definire un ampio quadro normativo per la sicurezza informatica dei prodotti digitali connessi in rete (“Internet of Things”) ed immessi sul mercato dell’Unione, prevedendo obblighi più stringenti in capo ai relativi produttori.

What is Cyber Resilience? | Cybersecurity Insights #25

What is Cyber Resilience? | Cybersecurity Insights #25

Guarda questo video su YouTube

Quali rapporti con il quadro normativo in materia di cybersecurity?

Il Cyber Resilience Act (di seguito il Regolamento) si inserisce nel contesto della trasformazione digitale avviata dall’Europa entro il 2030, ponendosi in maniera complementare al Regolamento 2019/881 relativo all’ENISA, attraverso il quale è stato introdotto nell’ordinamento comunitario un quadro comune di certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione (“TIC”).

Proteggere i dati dei consumatori e delle organizzazioni

In Italia, la certificazione della cybersicurezza è stata da poco attuata dal D.lgs. n. 123/2022, entrato in vigore lo scorso 4 settembre, che recepisce la citata normativa europea. Tale certificazione, adottata su base volontaria, svolge un ruolo cruciale nell’accrescere la fiducia e la sicurezza nei prodotti e nei servizi digitali, attraverso regole, requisiti tecnici, standard e procedure comuni in tutta l’area UE.

Il decreto, infatti, oltre a designare l’Agenzia per la cybersicurezza nazionale (“ACN”) come autorità nazionale di riferimento in materia, individua nella stessa il ruolo di regolatrice della certificazione della cybersicurezza e di vigilanza sui certificati e sulle dichiarazioni di conformità; queste ultime costituiscono il frutto del processo di autovalutazione dei requisiti essenziali di sicurezza e vulnerabilità posto in essere dai produttori, in un’ottica di accountability della cybersecurity, come illustrato infra.

Inoltre, al fine di armonizzare le normative comunitarie in materia, il Regolamento lascia impregiudicata la validità e l’efficacia del Regolamento (UE) 2016/679 sulla protezione dei dati personali (“GDPR”). Come si evince al considerando 17, infatti, i citati meccanismi di certificazione della cybersicurezza si integrano appieno nel processo protezione dei dati by-design e by-default: tutelare i consumatori e le organizzazioni dai rischi della sicurezza informatica significa innanzitutto proteggere i loro dati.

Certificazioni cyber security, la Ue cambia ancora: i nodi delle notifiche di conformità

Standardizzazione e certificazione

A tal fine, sono necessarie nuove forme di sinergia in materia di standardizzazione e certificazione degli aspetti di cybersicurezza, attraverso la cooperazione tra tutti gli attori coinvolti: la Commissione Europea, gli organismi europei di standardizzazione, l’Agenzia dell’Unione europea per la cibersicurezza (ENISA), il Comitato europeo per la protezione dei dati (EDPB) e le autorità nazionali di controllo della protezione dei dati.

Infine, anche in ottica di controllo e vigilanza delle disposizioni introdotte, il Regolamento favorisce la cooperazione tra istituzioni, demandando l’attività ispettiva e sanzionatoria alle autorità nazionali di vigilanza del mercato degli Stati membri, imponendo loro di fornire alle autorità nazionali per la protezione dei dati tutte le informazioni rilevanti per lo svolgimento dei loro compiti, e riservando all’ENISA il diritto di adottare misure correttive o restrittive a livello comunitario.

Perché una nuova proposta di Regolamento?

Con il Regolamento, la Commissione Europea intende definire degli standard comuni di sicurezza informatica per i prodotti digitali connessi in rete (cd. “IoT”) e per i relativi servizi. L’obiettivo principale è quello di proteggere i consumatori e il mercato dagli incidenti informatici, salvaguardando le imprese e gli utenti che acquistano o utilizzano prodotti, o software, con componenti digitali.

I quattro obiettivi dell’Ue

L’esigenza nasce della presenza sempre più ampia di dispositivi IoT in circolazione: l’interconnessione tra i prodotti intelligenti determina un aumento del flusso dei dati scambiati, i quali sempre più spesso sono trattati da organizzazioni che operano oltre il confine dell’Unione Europea. Per contrastare i crescenti costi della sicurezza informatica ed affrontare le relative vulnerabilità, la Commissione si prefigge di perseguire quattro specifici obiettivi:

  1. creare un quadro comune europeo per la cybersecurity nella UE;
  2. garantire che i produttori migliorino la sicurezza informatica dei prodotti, sin dalla fase di progettazione e durante l’intero ciclo di vita;
  3. aumentare la trasparenza delle pratiche di sicurezza informatica e delle proprietà tecniche dei prodotti;
  4. fornire ai consumatori e alle aziende prodotti sicuri pronti all’utilizzo.

Progettare la sicurezza

Dunque, il Regolamento richiede alle aziende di affrontare il tema della sicurezza delle informazioni e delle vulnerabilità tecniche a partire dalla fase di progettazione iniziale e durante tutto lo sviluppo dei prodotti, in un processo di sicurezza che richiama espressamente il principio di “privacy by-design”.

Quando si parla di prodotti con elementi digitali, l’art. 3 chiarisce che, in questa definizione, rientra qualunque tipologia di prodotto software o hardware e le relative soluzioni per l’elaborazione remota dei dati, compresi i componenti correlati a tali prodotti, anche nel caso in cui debbano essere immessi sul mercato separatamente. Spetta agli allegati, invece, l’arduo compito di descrivere i requisiti richiesti ai prodotti digitali al fine di ottenere la tanto agognata conformità, comprese le informazioni che le società dovrebbero mettere a disposizione degli utenti, le procedure di valutazione della conformità per i prodotti a rischio più elevato e la documentazione tecnica.

Ad onore del vero, il Regolamento non si rivolge esclusivamente a produttori e sviluppatori. Anche gli importatori di prodotti digitali sono obbligati a diffondere sul mercato elementi che soddisfino i requisiti essenziali di cui all’allegato I, in modo da evitare rischi di vulnerabilità.

Cyber Resilience Act, nuove regole di sicurezza in vista: cosa cambierà per produttori e utenti

Le regole per i prodotti

Più in dettaglio, tali prodotti devono:

  1. essere consegnati con una configurazione sicura di default, compresa la possibilità di ripristinare il prodotto allo stato originale;
  2. garantire la protezione dall’accesso non autorizzato mediante meccanismi di controllo appropriati, tra cui, a titolo esemplificativo, sistemi di autenticazione, di gestione dell’identità o dell’accesso;
  3. proteggere la riservatezza dei dati memorizzati, trasmessi o altrimenti elaborati, personali o di altro tipo, ad esempio criptando i dati pertinenti a riposo o in transito con meccanismi all’avanguardia;
  4. proteggere l’integrità dei dati memorizzati, trasmessi o altrimenti elaborati, personali o di altro tipo, dei comandi, dei programmi e della configurazione da qualsiasi manipolazione o modifica non autorizzata dall’utente, nonché segnalare eventuali corruzioni;
  5. trattare solo dati, personali o di altro tipo, adeguati, pertinenti e limitati a quanto necessario in relazione all’uso previsto del prodotto (secondo il principio di “minimizzazione dei dati”);
  6. proteggere la disponibilità delle funzioni essenziali, compresa la resilienza e l’attenuazione degli attacchi contro l’erogazione del servizio;
  7. ridurre al minimo il proprio impatto negativo sulla disponibilità dei servizi forniti da altri dispositivi o reti;
  8. essere progettati, sviluppati e prodotti per limitare le superfici di attacco, comprese le interfacce esterne;
  9. essere progettati, sviluppati e prodotti per ridurre l’impatto di un incidente utilizzando meccanismi e tecniche di mitigazione dello sfruttamento appropriati;
  10. fornire informazioni sulla sicurezza registrando e/o monitorando le attività interne pertinenti, compreso l’accesso o la modifica di dati, servizi o funzioni;
  11. assicurare che le vulnerabilità possano essere affrontate attraverso gli aggiornamenti di sicurezza, compresi, se del caso, gli aggiornamenti automatici e la notifica agli utenti degli aggiornamenti disponibili.

Cosa devono fare i produttori

Pertanto, al fine di garantire i suddetti requisiti, sui produttori incombe l’onere di appurare e, conseguentemente, dichiarare che i prodotti con elementi digitali dispongano di un marchio di conformità UE, come previsto all’art. 20 del Regolamento, mentre sui distributori l’onere di immettere in commercio solo quei prodotti che ne sono conformi.

Più in dettaglio, i considerando 22 e 23 estendono gli oneri predetti anche alle modifiche sostanziali che intervengono nel tempo, come ad esempio in caso di aggiornamenti o di riparazioni del software, o ancora di manutenzione fisica, prevedendo l’onere di una nuova attività di valutazione qualora dette modifiche influiscano sulla conformità del prodotto al Regolamento.

(“Quando i prodotti vengono successivamente modificati, con mezzi fisici o digitali, in un modo non previsto dal produttore e che possa implicare che non siano più soddisfatti i requisiti essenziali pertinenti, la modifica deve essere considerata sostanziale. Ad esempio, gli aggiornamenti o le riparazioni del software potrebbero essere assimilati a operazioni di manutenzione, a condizione che non modifichino un prodotto già immesso sul mercato in modo tale da pregiudicare la conformità ai requisiti applicabili o che l’uso previsto per il quale il prodotto è stato valutato possa essere modificato”).

Tirando le fila di quanto illustrato finora, i presupposti descritti nel Regolamento creano obblighi che ricadono su tutti gli operatori economici coinvolti nel mercato dei dispositivi digitali, tanto su coloro che progettano e sviluppano il prodotto quanto su quelli che si occupano della produzione e della conseguente immissione sul mercato.

A quali prodotti si applica?

Il Regolamento si applica a qualunque prodotto software o hardware, incluse le relative soluzioni di elaborazione dati a distanza se essenziali all’operatività del prodotto, durante l’intero ciclo di vita dello stesso, dalla fase di progettazione fino alla fase di obsolescenza. In buona sostanza, esso coprirà sia i prodotti digitali fisici, come i dispositivi IoT, sia i prodotti digitali immateriali, come i prodotti software incorporati nei dispositivi connessi.

Come espressamente previsto dall’art. 2 della proposta di Regolamento, esso si applica a “prodotti con elementi digitali il cui uso previsto o ragionevolmente prevedibile includa una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete”.

Tale definizione viene ulteriormente specificata nell’allegato III, che distingue i prodotti in due classi, sulla base del livello di rischio.

Le due classi di prodotti

In “Classe I” rientrano i prodotti considerati ad alto rischio, perché presentano elementi digitali con un alto grado di vulnerabilità e criticità della sicurezza informatica:

  • sistemi operativi per server, desktop e dispositivi mobili;
  • ipervisori e sistemi di runtime per container che supportano l’esecuzione virtualizzata di sistemi operativi e ambienti simili;
  • infrastruttura a chiave pubblica ed emittenti di certificati digitali;
  • firewall, sistemi di rilevamento e/o prevenzione delle intrusioni destinati all’uso industriale;
  • microprocessori di uso generale;
  • microprocessori destinati all’integrazione in controllori logici programmabili;
  • router, modem per la connessione a Internet e switch per uso industriale;
  • moduli di sicurezza hardware (HSM);
  • crittoprocessori;
  • smartcard, lettori di smartcard e token;
  • Componenti di rilevamento, di controllo e attuatori per robot;
  • Contatori intelligenti.

In “Classe II”, invece, rientrano quei prodotti che presentano un livello di rischio di sicurezza informatica inferiore rispetto ai prodotti di Classe I:

  • software per sistemi di gestione delle identità e software per la gestione degli accessi privilegiati;
  • browser standalone e incorporati;
  • gestori di password;
  • software che cerca, rimuove o mette in quarantena il software dannoso;
  • prodotti con elementi digitali con funzione di rete privata virtuale (VPN);
  • sistemi di gestione della rete;
  • strumenti di gestione della configurazione di rete;
  • sistemi di monitoraggio del traffico di rete;
  • gestione delle risorse di rete;
  • sistemi di gestione delle informazioni e degli eventi di sicurezza;
  • gestione di aggiornamenti/patch, compresi i gestori di avvio;
  • sistemi di gestione della configurazione delle applicazioni;
  • software di accesso remoto/condivisione;
  • software di gestione dei dispositivi mobili;
  • interfacce di rete fisiche;
  • sistemi operativi non compresi nella classe II;
  • firewall, sistemi di rilevamento e/o prevenzione delle intrusioni non coperti dalla classe II;
  • router, modem destinati alla connessione a Internet e switch, non compresi nella classe II;
  • microprocessori non compresi nella classe II;
  • microcontrollori;

La restante gamma di prodotti che non rientra nelle classi elencate nell’allegato III, essenzialmente quelli che non presentano vulnerabilità o criticità della sicurezza informatica, possono essere valutati – nelle loro eventuali criticità – direttamente dalle aziende produttrici che avranno l’onere di approntare soluzioni ed azioni migliorative.

Queste, infatti, saranno responsabili di determinare e dichiarare che i loro prodotti soddisfano tutti i requisiti essenziali di sicurezza e vulnerabilità, fornendo la documentazione tecnica e redigendo una dichiarazione di conformità UE in forma scritta. Secondo la Commissione, questa categoria coprirà il 90% dei dispositivi connessi, inclusi software di fotoritocco e videogiochi.

Va infine osservato che il Regolamento esenta i dispositivi connessi a cui è già applicabile una normativa di settore, come i prodotti digitali disciplinati nel regolamento sui dispositivi medici o in quello sull’aviazione civile; esso, inoltre, non sarà applicabile al software-as-a-service, a meno che lo stesso non faccia parte di soluzioni integrate di elaborazione remota dei dati per un prodotto con elementi digitali.

I prossimi passi

Il Regolamento, integrante attualmente lo status di “proposta”, ha davanti a sé un percorso lungo di assumere piena efficacia nel territorio dell’UE.

I prossimi step prevedono che il Parlamento ed il Consiglio Europeo discutano e propongano eventuali emendamenti al testo prodotto dalla Commissione; una volta adottato, il Regolamento sarà attuato in due fasi. Entro i primi 12 mesi, i produttori e gli sviluppatori dei dispositivi IoT saranno tenuti a segnalare le vulnerabilità e le violazioni della sicurezza informatica rilevate. Entro 24 mesi, gli Stati membri e le imprese interessate potranno adattarsi ai nuovi requisiti.

In buona sostanza, a prescindere da quel che costituirà il tenore letterale del testo definitivo, ciò che certamente rileva è la consapevolezza – unita all’esigenza – sempre più marcate, nell’Unione, del cospicuo patrimonio digitale rappresentato dai dati personali, tanto come asset economico quanto come fondamentale tassello di una strategia politica che metta al centro dell’azione esecutiva europea la sicurezza cibernetica.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • accordo microsoft-onu

    Cop 28: l'IA è arma a doppio taglio per il clima

    12 Dic 2023

    di Giuseppe d’Ippolito

    Condividi

  • ingegneria tissutale

    MagMA, un game-changer per la medicina rigenerativa: le prospettive

    13 Dic 2023

    di Ferdinando Scala

    Condividi

Prossimo

Cop 28: l'IA è arma a doppio taglio per il clima

Articolo 1 di 3