adempimenti

Cyber resilience act, la sicurezza diventa obbligatoria: cosa cambia per le aziende



Indirizzo copiato

Dal 2026 le aziende dovranno segnalare incidenti e vulnerabilità, con scadenze differenziate per prodotti normali, importanti e critici, e obblighi di certificazione e gestione dei rischi

Pubblicato il 24 dic 2024

Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy



Direttiva CER Cybersecurity Advanced Firewalls, Secure Logins, and Digital Protections Confidential Information. (1)

È stato recentemente pubblicato il Regolamento UE 2024/2847, detto Cyber Resilience Act (CRA)[1]. Il Regolamento mira a garantire “che i prodotti con componenti digitali, ad esempio i prodotti dell’internet delle cose, siano resi sicuri lungo l’intera catena di approvvigionamento e per tutto il ciclo di vita”.

Si tratta quindi di un regolamento relativo alla sicurezza informatica dei prodotti, non delle organizzazioni.

Nei considerando, il Regolamento specifica che altre normative, come il Cyber security act e la NIS2, “non contemplano direttamente requisiti obbligatori per la sicurezza dei prodotti con elementi digitali”.

Le scadenze del Cyber Resilience Act

La prima cosa da osservare sono le scadenze e lo stesso CRA riporta che “il presente regolamento si applica dall’11 dicembre 2027”. Fa eccezione l’obbligo di segnalare incidenti che hanno sfruttato vulnerabilità dei propri prodotti: scatta l’11 giugno 2026.

Requisiti tecnici

Il Regolamento distingue tra prodotti con elementi digitali “normali”, importanti e critici.

Per i prodotti normali:

  • La definizione è “qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immesso sul mercato separatamente”.
  • Vanno applicate le misure “minime” dell’Allegato 1 e il processo di gestione delle vulnerabilità, sempre in allegato 1.

Per i prodotti importanti:

  • Sono descritti all’art. 7 e nell’Allegato III; in sintesi si tratta di prodotti di sicurezza informatica e prodotti i cui malfunzionamenti e compromissioni possono avere impatti significativi su altri sistemi informatici o sulle persone.
  • Entro l’11 dicembre 2025, la Commissione fornirà migliori indicazioni (descrizioni tecniche) delle categorie di tali prodotti.
  • Vanno applicate le verifiche descritte nell’articolo 32; in particolare, se non sono seguite norme armonizzate (norme ETSI) o specifiche comuni della Commissione, va coinvolto un organismo di certificazione (“organismo notificato”) per la verifica o del tipo o del sistema di gestione per la qualità (si tratta quindi di due opzioni distinte, a scelta del fabbricante). Per alcuni prodotti la verifica del tipo va accompagnata anche dalla verifica della produzione. In alternativa, si può usare il meccanismo di certificazione del prodotto.

Per i prodotti critici:

  • Sono descritti all’art. 8 e nell’Allegato IV; al momento tali prodotti sono pochi e alcuni sono già certificati secondo i Common Criteria (ISO/IEC 15408).
  • Devono applicare le misure dell’Allegato 1 ed essere certificati con livello di affidabilità almeno “sostanziale”, secondo quanto previsto dal Cybersecurity Act (regolamento UE 2019/881), sempre che esista uno schema di certificazione sia stato adottato; si può quindi tradurre, a oggi, nell’obbligo di certificazione secondo la ISO/IEC 15408 (ossia lo schema EUCC, l’unico adottato secondo il Cybersecurity act per ora con la Implementing Regulation EU 2024/482) con livello EAL anche 1 o 2 su 7.
  • Nel caso in cui non sia disponibile lo schema di certificazione, va coinvolto un organismo di certificazione (“organismo notificato”) per la verifica o del tipo e della produzione o del sistema di gestione per la qualità (si tratta quindi di due opzioni distinte, a scelta del fabbricante).

Ulteriori misure saranno dettagliate in norme armonizzate (probabilmente della ETSI) o in atti di esecuzione della Commissione (art. 27). Bisognerà monitorare con attenzione la pubblicazione di tali norme e atti.

Indicazioni per i fabbricanti

In generale, i fabbricanti devono condurre valutazioni del rischio relativo alla cybersicurezza dei prodotti, identificare e applicare i controlli di sicurezza tecnici e di processo (incluse le attività di manutenzione, assistenza e gestione vulnerabilità). L’assistenza deve essere garantita per almeno 5 anni (art. 13).

Il Regolamento fornisce indicazioni ulteriori su:

  • documentazione tecnica (art. 13 e 31, Allegato VII);
  • tracciamento dei prodotti (art. 13);
  • informazioni e istruzioni per gli utilizzatori (Allegato II);
  • punti di contatto (art. 13);
  • ritiro o richiamo dei prodotti (art. 13);
  • come redigere la dichiarazione di conformità UE (art. 28 e Allegato V);
  • marcatura CE (art. 29 e 30).

L’articolo 14, come in altre normative, richiede ai fabbricanti di notificare al CSIRT gli incidenti determinati dallo sfruttamento di vulnerabilità dei prodotti. L’articolo 15 prevede che fabbricanti e persone possano segnalare vulnerabilità al CSIRT (elemento sicuramente molto interessante).

Software liberi e open source

Gli articoli 24 e 25 sono relativi ai software liberi e open source. C’è anche un richiamo per la certificazione di tali software all’articolo 32.

Ci sono riferimenti alle normative relative alla sicurezza generale dei prodotti (va applicato sia il CRA sia il Regolamento 2023/988), ai sistemi di IA ad alto rischio.

La certificazione

Relativamente alla certificazione (articoli 35-51), deve essere istituita l’autorità di notifica (in Italia sarà probabilmente Accredia, ma non deve esserlo necessariamente), che a sua volta deve approvare gli organismi di notifica (probabilmente molti saranno gli organismi di certificazione già presenti sul mercato per la ISO 9001, la ISO/IEC 27001 e altri schemi simili).

Interessante osservare che (art. 32): “Si dovrebbe tener conto degli interessi e delle esigenze specifici delle microimprese e delle piccole e medie imprese, comprese le start-up, nel definire le tariffe per le procedure di valutazione della conformità e tali tariffe sono ridotte proporzionalmente agli interessi e alle esigenze specifici di tali imprese”.

Il regolamento prevede anche la possibilità per la Commissione di modificare alcuni punti tra quelli sopra riportati. E’ quindi necessario attivare canali di aggiornamento, anche se al momento non ce ne vedo di affidabili (ENISA non prevede newsletter, ma aggiornamenti solo via social network, che, con tutti i problemi noti, andrebbero sconsigliati; sottoscrivere agli RSS è molto macchinoso e richiede un’autenticazione inutile e spesso non funzionante).

Il gruppo di cooperazione amministrativa

Altro riferimento da tenere monitorato è il gruppo di cooperazione amministrativa (ADCO)[2], ma al momento ha prodotto cose significative.

L’articolo 33 prevede “misure di sostegno per le microimprese e le piccole e medie imprese”, che includono attività di formazione e di comunicazione. Probabilmente anche le grandi potranno beneficiare dei consigli e del materiale che verrà messo a disposizione.

Gli articoli 52-60 trattano delle attività di vigilanza.

Note


[1] https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R2847.

[2] https://single-market-economy.ec.europa.eu/single-market/goods/building-blocks/market-surveillance/organisation/adcos_en.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4