La costellazione di normative in materia di cybersecurity sembra arricchirsi in maniera ormai quasi quotidiana. Appena un mese dopo l’entrata in vigore della cosiddetta Direttiva NIS 2 è il turno del Cyber Resilience Act (CRA), ossia il regolamento europeo che ha l’obiettivo di introdurre dei requisiti trasversali di cybersecurity volti garantire che i prodotti con elementi digitali immessi nel mercato dell’Unione abbiano dei livelli di sicurezza – e quindi di affidabilità – maggiori.
Il Regolamento 2024/2847, pubblicato in Gazzetta Ufficiale dell’UE il 20 novembre scorso, effettua una distinzione fra tre macrocategorie di prodotti a seconda del rischio di cybersecurity presentato: con elementi digitali, con elementi digitali importanti e con elementi digitali critici.
A seconda della criticità degli elementi digitali, infatti, sono imposti requisiti differenti per l’immissione sul mercato europeo e vengono previste procedure di valutazione di conformità diverse. Tali obblighi gravano in capo a varie categorie di soggetti: possono essere tenuti alla verifica dei requisiti tanto i fabbricanti dei prodotti con elementi digitali, quanto gli importatori e i distributori.
Punti di contatto con la Direttiva NIS 2
In quest’ottica, il Cyber Resilience Act potrebbe sembrare una normativa a sé stante, che disciplina aspetti diversi rispetto alla Direttiva NIS 2, di cui abbiamo già scritto qui. Infatti, il primo parrebbe essere rivolto esclusivamente ai fabbricanti, agli importatori e ai distributori di prodotti con elementi digitali, mentre la seconda sembrerebbe interessare solo alcune entità considerate critiche. Eppure, ad una lettura più attenta dei due testi normativi e della ratio del legislatore, emerge come gli stessi siano invece complementari tra di loro, in un’ottica di protezione a tutto tondo delle infrastrutture digitali e dei dati in esse presenti.
I prodotti con elementi digitali quale elemento della supply chain
Infatti, la Direttiva NIS 2 ha introdotto requisiti orizzontali che mirano a mitigare i rischi di cybersecurity a cui sono esposti i soggetti critici ed importanti. Tra questi troviamo, ad esempio, misure di gestione dei rischi di cybersecurity che includono, tra le altre, quelle tese alla sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori. Spesso un elemento chiave della catena di approvvigionamento è costituito anche dai prodotti digitali impiegati tanto dal soggetto critico o essenziale, quanto dai suoi fornitori.
Tuttavia, la Direttiva NIS 2 non introduce espressamente requisiti obbligatori per la sicurezza dei prodotti con elementi digitali i quali, però, costituiscono un elemento fondamentale ai fini della valutazione e del controllo della catena di approvvigionamento. Dunque, in quest’ottica il Cyber Resilience Act può essere letto come un elemento di completamento di questo aspetto.
Tale integrazione con le disposizioni della Direttiva NIS 2 si rende particolarmente rilevante soprattutto se si considera che, di frequente, i prodotti con elementi digitali sono dipendenze critiche per i soggetti essenziali o importanti. In tal senso, secondo quanto stabilito dalla Direttiva NIS 2, la criticità di un fornitore è un elemento da valutare sia ai fini delle misure tecniche, operative e organizzative che devono essere implementate, sia nell’analisi di proporzionalità delle stesse. Da ciò ne consegue che, verosimilmente, le misure che i soggetti essenziali e importanti andranno a richiedere ai fornitori di prodotti con elementi digitali saranno più stringenti. Dunque, l’incremento delle proprie misure di cybersecurity potrà costituire un asset competitivo per le aziende che vorranno migliorare la propria posizione sul mercato nei prossimi anni.
La divulgazione delle vulnerabilità
Un altro punto di contatto con la Direttiva NIS 2 è costituito da un elemento che sta assumendo sempre maggiore rilevanza nell’ambito delle normative in materia di cybersecurity, ossia la divulgazione delle vulnerabilità.
Il Cyber Resilience Act, infatti, impone ai fabbricanti di notificare al CSIRT nazionale e all’ENISA qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali di cui venga a conoscenza. Tali segnalazioni vengono utilizzate al fine di innalzare il livello generale di cibersicurezza dei soggetti essenziali e importanti, nonché per garantire un’efficace azione di analisi e contenimento delle minacce da parte delle Autorità di vigilanza preposte.
Dunque, le notifiche delle vulnerabilità effettuate ai sensi del Cyber Resilience Act verranno utilizzate anche ai fini della Direttiva NIS 2, nell’ottica di alimentare la banca dati europea delle vulnerabilità, che a sua volta offrirà un supporto ai fabbricanti nell’individuare quanto di vulnerabile dovesse essere presente nei loro prodotti, al fine di garantire l’immissione sul mercato di elementi più sicuri. Dunque, tale meccanismo circolare dovrebbe contribuire ad accrescere la cybersecurity e la resilienza dell’intero sistema.
Nell’ottica di agevolare questi adempimenti, i fabbricanti di prodotti con elementi digitali dovrebbero adottare politiche di divulgazione coordinata delle vulnerabilità per agevolare il processo di segnalazione da parte di individui che identifichino problemi di sicurezza cibernetica all’interno di specifici prodotti. In particolare, tali politiche dovrebbero consistere in un processo strutturato attraverso il quale sia possibile segnalare le vulnerabilità al fabbricante in modo da consentire a quest’ultimo di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano comunicate a terzi o al pubblico.
Infine, data l’intrinseca delicatezza delle informazioni relative alle vulnerabilità, il Cyber Resilience Act auspica anche il riconoscimento e un compenso per coloro che individuino e segnalino all’azienda le vulnerabilità riscontrate (cosiddetti programmi di bug bounty), sempre in un’ottica di coordinated vulnerability disclosure. Tuttavia, i fabbricanti dovrebbero analizzare con grande attenzione tale possibilità e dotarsi di policy apposite ai fini dell’identificazione di procedure e modalità di condivisione delle vulnerabilità di sicurezza, poiché vi è un elevato rischio di sfruttamento da parte di soggetti malintenzionati.
Cyber Resilience Act, un nuovo tassello per la cyber security Ue
Alla luce di quanto sopra, con l’introduzione del Cyber Resilience Act, il quadro normativo sulla cybersecurity ottiene un altro tassello essenziale per garantire la sicurezza e la cyber resilienza dell’intero ecosistema.
Inoltre, sebbene le disposizioni del regolamento in questione trovino applicazione a partire dall’11 dicembre 2027, è opportuno che gli operatori del settore inizino a valutare come strutturarsi per conformarsi alle disposizioni.
Infatti, sebbene l’orizzonte temporale appaia estremamente ampio, l’interazione con altre normative come la Direttiva NIS 2 fa sì che alcune richieste di conformità anticipata possano arrivare anche prima della scadenza fissata dal legislatore, poiché numerose aziende stanno già strutturando i loro sistemi di acquisto dei prodotti e scelta dei fornitori in un’ottica di compliance alle varie disposizioni in materia di cybersecurity che entreranno in vigore ben prima del 2027.
Pertanto, essere già preparati a gestirle può costituire un asset strategico fondamentale per quelle realtà che desiderino affermare o migliorare la propria posizione sul mercato.
