Il 30 novembre l’Unione Europea è giunta all’ultimo step dell’iter legislativo che porterà all’approvazione del primo pacchetto normativo al mondo sulla sicurezza informatica.
L’accordo politico raggiunto tra i negoziatori del Parlamento europeo e del Consiglio dell’Ue sul pacchetto di norme proposto dalla Commissione nel settembre 2022 – il Cyber Resilience Act (CRA) – è volto a proteggere, attraverso un meccanismo di certificazioni e di vigilanza, tutti i prodotti digitali nell’UE, garantendo che questi ultimi siano sicuri nel loro utilizzo, resistenti alle minacce cyber e che forniscano informazioni sufficienti sulle loro proprietà di sicurezza.
Gli obiettivi del Cyber Resilience Act
Infatti, il Cyber Resilience Act fissa quattro obiettivi specifici:
- garantire che le aziende migliorino la sicurezza dei prodotti con elementi digitali fin dalla fase di progettazione e sviluppo e per tutto il loro ciclo di vita;
- garantire un quadro coerente di cybersicurezza, facilitando la conformità per i produttori di hardware e software;
- migliorare la trasparenza riguardo alle caratteristiche di sicurezza dei prodotti con elementi digitali;
- consentire alle imprese e ai consumatori di utilizzare in modo sicuro i dispositivi ICT.
Il ruolo dell’Enisa
Durante la redazione del pacchetto normativo, si è reso necessario anche il coinvolgimento dell’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA) sotto i profili della vigilanza, del controllo e del coordinamento. In particolare, l’Agenzia interviene qualora si dovessero rilevare vulnerabilità o incidenti: l’ENISA, infatti, dovrà essere tempestivamente informata dallo Stato Membro interessato e ricevere tutti gli elementi informativi necessari al fine di valutare la situazione segnalata. Se il rischio valutato dovesse rivelarsi di natura sistemica, l’ENISA informerà gli altri Stati membri in modo che questi possano attivare le procedure nazionali per l’implementazione delle misure di prevenzione.
Per sottolineare l’importanza delle competenze professionali nel campo della sicurezza informatica, gli eurodeputati sono anche riusciti a introdurre programmi di istruzione e formazione, iniziative di collaborazione e strategie per migliorare la mobilità della forza lavoro.
I nuovi obblighi di segnalazione e notifica
La nuova legge sulla sicurezza informatica introduce, dunque, per la prima volta l’obbligo non solo di segnalare incidenti gravi, ma anche di trarre attivamente vantaggio dalle vulnerabilità – quei punti di ingresso non ancora “patchati” che sono sistematicamente utilizzati da attori malintenzionati – di volta in volta rilevate.
Riguardo ai termini di segnalazione e notifica, il testo si allinea a quelli della direttiva Network and Information Security (NIS 2). Nello specifico, la Direttiva NIS 2 stabilisce che gli operatori debbano trasmettere senza indebito ritardo, e comunque entro 24 ore, un preallarme al Computer Security Incident Response Team (CSIRT). Successivamente devono inviare, anche in questo caso senza indebito ritardo, e comunque entro 72 ore, una notifica dell’incidente. Infine, deve essere inviata una relazione definitiva entro un mese dalla trasmissione della notifica dell’incidente, a meno che esso non sia ancora in corso. In tal caso, il CSIRT dovrà essere aggiornato sui progressi e la relazione finale dovrà essere ugualmente trasmessa entro un mese dalla gestione dell’incidente.
L’applicazione del CRA sarà prevista per tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o rete, ad eccezione di strumenti come: software o servizi open source che sono già disciplinati dalle norme esistenti, dispositivi medici, i dispositivi medico-diagnostici in vitro, dispositivi afferenti al settore dell’aviazione civile e quello relativo alla omologazione dei veicoli a motore e dei loro rimorchi, nonché di sistemi, componenti ed entità tecniche destinate a tali veicoli.
Requisiti di cybersicurezza per l’hardware e i software nel mercato unico europeo
Nel nuovo accordo sono stati inseriti dei requisiti “proporzionati e obbligatori” di cybersicurezza per quanto concerne l’hardware e i software che vengono immessi nel mercato unico europeo: dai baby monitor agli orologi smart watch, fino ai giochi per computer, ai firewall e ai router.
Una volta entrato in vigore il Cyber Resilience Act, i produttori di tecnologie informatiche dovranno implementare misure di sicurezza durante l’intero ciclo di vita del prodotto, dalla progettazione e sviluppo fino all’immissione dello stesso sul mercato.
Software e hardware “sicuri” riporteranno la marcatura CE per indicare che sono conformi ai requisiti del Regolamento e che possono quindi essere venduti su tutto il territorio comunitario.
Implicazioni per gli operatori economici e sanzioni previste
Dunque, per tutti i prodotti, i fornitori dovranno ottenere una certificazione specifica, rilasciata secondo le norme previste dal Regolamento UE 2019/881 sulla cybersicurezza. La non conformità da parte degli “operatori economici” ai requisiti essenziali è soggetta a sanzioni amministrative pecuniarie fino a quindici milioni di euro – secondo l’articolo 53 del CRA – o, se l’autore del reato è un’impresa, fino al 2,5% del fatturato mondiale totale annuo relativo all’esercizio precedente, se superiore. Tuttavia, non risulta ancora essere chiara la definizione di “operatore economico” che dovrebbe essere individuata nelle figure del fabbricante, del rappresentante autorizzato, dell’importatore, del distributore o di qualsiasi altra persona fisica o giuridica soggetta agli obblighi stabiliti dal regolamento.
L’impatto delle nuove norme sulla sicurezza informatica
Da un punto di vista nazionale, l’ACN, Agenzia per la Cybersecurity Nazionale, sta proseguendo ad accreditare i Laboratori Accreditati di Prova (LAP), per la collaborazione con il Centro di Valutazione e Certificazione Nazionale (CVCN): entro la fine del 2024 la catena del valore pensata per la certificazione e la valutazione dei prodotti ICT in ambito di cyber security in Italia dovrà essere operativa.
La forma finale della legge plasmata durante i “triloghi” interistituzionali ha mantenuto l’impostazione generale della proposta della Commissione: sono state, dunque, confermate le norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti e le misure per migliorare la trasparenza sulla sicurezza dei prodotti. È stato ritoccato, invece, l’obbligo legale per i produttori di fornire ai consumatori aggiornamenti di sicurezza tempestivi per diversi anni dopo l’acquisto: anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno aggiuntivo di almeno cinque anni, anceh se non per i prodotti che dovrebbero essere utilizzati per un periodo più breve.
Inoltre, il Parlamento e il Consiglio dell’UE hanno inserito ulteriori misure di sostegno per le piccole e microimprese, incluse attività di sensibilizzazione e formazione, nonché il supporto alle procedure di prova e di valutazione della conformità.
Tra le iniziative incluse nella normativa, vi è anche lo sviluppo di un sistema di comunicazione globale sicuro basato sullo spazio comune dell’Unione Europea, che fornirà agli Stati membri canali di comunicazioni affidabili e indipendenti nonché connettività a banda larga in tutta l’UE, soprattutto dove attualmente non esiste.
Conclusioni
Nel tentativo di creare una cooperazione virtuosa tra il settore pubblico e privato, il CRA, proponendo nuove misure specifiche per le vulnerabilità dei prodotti, potrebbe diventare un punto di riferimento per questo approccio collaborativo e inclusivo. Il disegno realizzato dall’Unione Europea sembra quello di una cyber security professionale e standardizzata, non più appannaggio di pochi eletti, ma dilagante, diffusa e condivisa.
