È stato recentemente pubblicato il Regolamento UE 2024/2847, detto Cyber Resilience Act (CRA)[1]. Il Regolamento mira a garantire “che i prodotti con componenti digitali, ad esempio i prodotti dell’internet delle cose, siano resi sicuri lungo l’intera catena di approvvigionamento e per tutto il ciclo di vita”.
Si tratta quindi di un regolamento relativo alla sicurezza informatica dei prodotti, non delle organizzazioni.
Nei considerando, il Regolamento specifica che altre normative, come il Cyber security act e la NIS2, “non contemplano direttamente requisiti obbligatori per la sicurezza dei prodotti con elementi digitali”.
Le scadenze del Cyber Resilience Act
La prima cosa da osservare sono le scadenze e lo stesso CRA riporta che “il presente regolamento si applica dall’11 dicembre 2027”. Fa eccezione l’obbligo di segnalare incidenti che hanno sfruttato vulnerabilità dei propri prodotti: scatta l’11 giugno 2026.
Requisiti tecnici
Il Regolamento distingue tra prodotti con elementi digitali “normali”, importanti e critici.
Per i prodotti normali:
- La definizione è “qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immesso sul mercato separatamente”.
- Vanno applicate le misure “minime” dell’Allegato 1 e il processo di gestione delle vulnerabilità, sempre in allegato 1.
Per i prodotti importanti:
- Sono descritti all’art. 7 e nell’Allegato III; in sintesi si tratta di prodotti di sicurezza informatica e prodotti i cui malfunzionamenti e compromissioni possono avere impatti significativi su altri sistemi informatici o sulle persone.
- Entro l’11 dicembre 2025, la Commissione fornirà migliori indicazioni (descrizioni tecniche) delle categorie di tali prodotti.
- Vanno applicate le verifiche descritte nell’articolo 32; in particolare, se non sono seguite norme armonizzate (norme ETSI) o specifiche comuni della Commissione, va coinvolto un organismo di certificazione (“organismo notificato”) per la verifica o del tipo o del sistema di gestione per la qualità (si tratta quindi di due opzioni distinte, a scelta del fabbricante). Per alcuni prodotti la verifica del tipo va accompagnata anche dalla verifica della produzione. In alternativa, si può usare il meccanismo di certificazione del prodotto.
Per i prodotti critici:
- Sono descritti all’art. 8 e nell’Allegato IV; al momento tali prodotti sono pochi e alcuni sono già certificati secondo i Common Criteria (ISO/IEC 15408).
- Devono applicare le misure dell’Allegato 1 ed essere certificati con livello di affidabilità almeno “sostanziale”, secondo quanto previsto dal Cybersecurity Act (regolamento UE 2019/881), sempre che esista uno schema di certificazione sia stato adottato; si può quindi tradurre, a oggi, nell’obbligo di certificazione secondo la ISO/IEC 15408 (ossia lo schema EUCC, l’unico adottato secondo il Cybersecurity act per ora con la Implementing Regulation EU 2024/482) con livello EAL anche 1 o 2 su 7.
- Nel caso in cui non sia disponibile lo schema di certificazione, va coinvolto un organismo di certificazione (“organismo notificato”) per la verifica o del tipo e della produzione o del sistema di gestione per la qualità (si tratta quindi di due opzioni distinte, a scelta del fabbricante).
Ulteriori misure saranno dettagliate in norme armonizzate (probabilmente della ETSI) o in atti di esecuzione della Commissione (art. 27). Bisognerà monitorare con attenzione la pubblicazione di tali norme e atti.
Indicazioni per i fabbricanti
In generale, i fabbricanti devono condurre valutazioni del rischio relativo alla cybersicurezza dei prodotti, identificare e applicare i controlli di sicurezza tecnici e di processo (incluse le attività di manutenzione, assistenza e gestione vulnerabilità). L’assistenza deve essere garantita per almeno 5 anni (art. 13).
Il Regolamento fornisce indicazioni ulteriori su:
- documentazione tecnica (art. 13 e 31, Allegato VII);
- tracciamento dei prodotti (art. 13);
- informazioni e istruzioni per gli utilizzatori (Allegato II);
- punti di contatto (art. 13);
- ritiro o richiamo dei prodotti (art. 13);
- come redigere la dichiarazione di conformità UE (art. 28 e Allegato V);
- marcatura CE (art. 29 e 30).
L’articolo 14, come in altre normative, richiede ai fabbricanti di notificare al CSIRT gli incidenti determinati dallo sfruttamento di vulnerabilità dei prodotti. L’articolo 15 prevede che fabbricanti e persone possano segnalare vulnerabilità al CSIRT (elemento sicuramente molto interessante).
Software liberi e open source
Gli articoli 24 e 25 sono relativi ai software liberi e open source. C’è anche un richiamo per la certificazione di tali software all’articolo 32.
Ci sono riferimenti alle normative relative alla sicurezza generale dei prodotti (va applicato sia il CRA sia il Regolamento 2023/988), ai sistemi di IA ad alto rischio.
La certificazione
Relativamente alla certificazione (articoli 35-51), deve essere istituita l’autorità di notifica (in Italia sarà probabilmente Accredia, ma non deve esserlo necessariamente), che a sua volta deve approvare gli organismi di notifica (probabilmente molti saranno gli organismi di certificazione già presenti sul mercato per la ISO 9001, la ISO/IEC 27001 e altri schemi simili).
Interessante osservare che (art. 32): “Si dovrebbe tener conto degli interessi e delle esigenze specifici delle microimprese e delle piccole e medie imprese, comprese le start-up, nel definire le tariffe per le procedure di valutazione della conformità e tali tariffe sono ridotte proporzionalmente agli interessi e alle esigenze specifici di tali imprese”.
Il regolamento prevede anche la possibilità per la Commissione di modificare alcuni punti tra quelli sopra riportati. E’ quindi necessario attivare canali di aggiornamento, anche se al momento non ce ne vedo di affidabili (ENISA non prevede newsletter, ma aggiornamenti solo via social network, che, con tutti i problemi noti, andrebbero sconsigliati; sottoscrivere agli RSS è molto macchinoso e richiede un’autenticazione inutile e spesso non funzionante).
Il gruppo di cooperazione amministrativa
Altro riferimento da tenere monitorato è il gruppo di cooperazione amministrativa (ADCO)[2], ma al momento ha prodotto cose significative.
L’articolo 33 prevede “misure di sostegno per le microimprese e le piccole e medie imprese”, che includono attività di formazione e di comunicazione. Probabilmente anche le grandi potranno beneficiare dei consigli e del materiale che verrà messo a disposizione.
Gli articoli 52-60 trattano delle attività di vigilanza.
Note
[1] https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R2847.
[2] https://single-market-economy.ec.europa.eu/single-market/goods/building-blocks/market-surveillance/organisation/adcos_en.