sicurezza informatica

Cyber Resilience Act: così l’Ue alza le difese digitali dei prodotti ICT



Indirizzo copiato

L’Ue si prepara ad un passo avanti decisivo nella lotta al cybercrime con il Cyber Resilience Act, una normativa che punta a rafforzare la resilienza cibernetica del continente. I nuovi obblighi, le implicazioni per gli operatori economici, le possibili sanzioni e l’impatto delle nuove norme sulla sicurezza informatica

Pubblicato il 7 dic 2023

Davide Bruseghin

Junior Analyst Hermes Bay

Gaia D'Ariano

Hermes Bay

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Luca Marchese

Osint Junior Analyst Hermes Bay



cyber sicurezza

Il 30 novembre l’Unione Europea è giunta all’ultimo step dell’iter legislativo che porterà all’approvazione del primo pacchetto normativo al mondo sulla sicurezza informatica.

L’accordo politico raggiunto tra i negoziatori del Parlamento europeo e del Consiglio dell’Ue sul pacchetto di norme proposto dalla Commissione nel settembre 2022 – il Cyber Resilience Act (CRA) – è volto a proteggere, attraverso un meccanismo di certificazioni e di vigilanza, tutti i prodotti digitali nell’UE, garantendo che questi ultimi siano sicuri nel loro utilizzo, resistenti alle minacce cyber e che forniscano informazioni sufficienti sulle loro proprietà di sicurezza.

Gli obiettivi del Cyber Resilience Act

Infatti, il Cyber Resilience Act fissa quattro obiettivi specifici:

  • garantire che le aziende migliorino la sicurezza dei prodotti con elementi digitali fin dalla fase di progettazione e sviluppo e per tutto il loro ciclo di vita;
  • garantire un quadro coerente di cybersicurezza, facilitando la conformità per i produttori di hardware e software;
  • migliorare la trasparenza riguardo alle caratteristiche di sicurezza dei prodotti con elementi digitali;
  • consentire alle imprese e ai consumatori di utilizzare in modo sicuro i dispositivi ICT.

Il ruolo dell’Enisa

Durante la redazione del pacchetto normativo, si è reso necessario anche il coinvolgimento dell’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA) sotto i profili della vigilanza, del controllo e del coordinamento. In particolare, l’Agenzia interviene qualora si dovessero rilevare vulnerabilità o incidenti: l’ENISA, infatti, dovrà essere tempestivamente informata dallo Stato Membro interessato e ricevere tutti gli elementi informativi necessari al fine di valutare la situazione segnalata. Se il rischio valutato dovesse rivelarsi di natura sistemica, l’ENISA informerà gli altri Stati membri in modo che questi possano attivare le procedure nazionali per l’implementazione delle misure di prevenzione.

Per sottolineare l’importanza delle competenze professionali nel campo della sicurezza informatica, gli eurodeputati sono anche riusciti a introdurre programmi di istruzione e formazione, iniziative di collaborazione e strategie per migliorare la mobilità della forza lavoro.

I nuovi obblighi di segnalazione e notifica

La nuova legge sulla sicurezza informatica introduce, dunque, per la prima volta l’obbligo non solo di segnalare incidenti gravi, ma anche di trarre attivamente vantaggio dalle vulnerabilità – quei punti di ingresso non ancora “patchati” che sono sistematicamente utilizzati da attori malintenzionati – di volta in volta rilevate.

Riguardo ai termini di segnalazione e notifica, il testo si allinea a quelli della direttiva Network and Information Security (NIS 2). Nello specifico, la Direttiva NIS 2 stabilisce che gli operatori debbano trasmettere senza indebito ritardo, e comunque entro 24 ore, un preallarme al Computer Security Incident Response Team (CSIRT). Successivamente devono inviare, anche in questo caso senza indebito ritardo, e comunque entro 72 ore, una notifica dell’incidente. Infine, deve essere inviata una relazione definitiva entro un mese dalla trasmissione della notifica dell’incidente, a meno che esso non sia ancora in corso. In tal caso, il CSIRT dovrà essere aggiornato sui progressi e la relazione finale dovrà essere ugualmente trasmessa entro un mese dalla gestione dell’incidente.

L’applicazione del CRA sarà prevista per tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o rete, ad eccezione di strumenti come: software o servizi open source che sono già disciplinati dalle norme esistenti, dispositivi medici, i dispositivi medico-diagnostici in vitro, dispositivi afferenti al settore dell’aviazione civile e quello relativo alla omologazione dei veicoli a motore e dei loro rimorchi, nonché di sistemi, componenti ed entità tecniche destinate a tali veicoli.

Requisiti di cybersicurezza per l’hardware e i software nel mercato unico europeo

Nel nuovo accordo sono stati inseriti dei requisiti “proporzionati e obbligatori” di cybersicurezza per quanto concerne l’hardware e i software che vengono immessi nel mercato unico europeo: dai baby monitor agli orologi smart watch, fino ai giochi per computer, ai firewall e ai router.

Una volta entrato in vigore il Cyber ​​Resilience Act, i produttori di tecnologie informatiche dovranno implementare misure di sicurezza durante l’intero ciclo di vita del prodotto, dalla progettazione e sviluppo fino all’immissione dello stesso sul mercato.

Software e hardware “sicuri” riporteranno la marcatura CE per indicare che sono conformi ai requisiti del Regolamento e che possono quindi essere venduti su tutto il territorio comunitario.

Implicazioni per gli operatori economici e sanzioni previste

Dunque, per tutti i prodotti, i fornitori dovranno ottenere una certificazione specifica, rilasciata secondo le norme previste dal Regolamento UE 2019/881 sulla cybersicurezza. La non conformità da parte degli “operatori economici” ai requisiti essenziali è soggetta a sanzioni amministrative pecuniarie fino a quindici milioni di euro – secondo l’articolo 53 del CRA – o, se l’autore del reato è un’impresa, fino al 2,5% del fatturato mondiale totale annuo relativo all’esercizio precedente, se superiore. Tuttavia, non risulta ancora essere chiara la definizione di “operatore economico” che dovrebbe essere individuata nelle figure del fabbricante, del rappresentante autorizzato, dell’importatore, del distributore o di qualsiasi altra persona fisica o giuridica soggetta agli obblighi stabiliti dal regolamento.

L’impatto delle nuove norme sulla sicurezza informatica

Da un punto di vista nazionale, l’ACN, Agenzia per la Cybersecurity Nazionale, sta proseguendo ad accreditare i Laboratori Accreditati di Prova (LAP), per la collaborazione con il Centro di Valutazione e Certificazione Nazionale (CVCN): entro la fine del 2024 la catena del valore pensata per la certificazione e la valutazione dei prodotti ICT in ambito di cyber security in Italia dovrà essere operativa.

La forma finale della legge plasmata durante i “triloghi” interistituzionali ha mantenuto l’impostazione generale della proposta della Commissione: sono state, dunque, confermate le norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti e le misure per migliorare la trasparenza sulla sicurezza dei prodotti. È stato ritoccato, invece, l’obbligo legale per i produttori di fornire ai consumatori aggiornamenti di sicurezza tempestivi per diversi anni dopo l’acquisto: anche se rimane il principio che il periodo di sostegno per un prodotto digitale corrisponde alla sua durata prevista, è indicato un periodo di sostegno aggiuntivo di almeno cinque anni, anceh se non per i prodotti che dovrebbero essere utilizzati per un periodo più breve.

Inoltre, il Parlamento e il Consiglio dell’UE hanno inserito ulteriori misure di sostegno per le piccole e microimprese, incluse attività di sensibilizzazione e formazione, nonché il supporto alle procedure di prova e di valutazione della conformità.

Tra le iniziative incluse nella normativa, vi è anche lo sviluppo di un sistema di comunicazione globale sicuro basato sullo spazio comune dell’Unione Europea, che fornirà agli Stati membri canali di comunicazioni affidabili e indipendenti nonché connettività a banda larga in tutta l’UE, soprattutto dove attualmente non esiste.

Conclusioni

Nel tentativo di creare una cooperazione virtuosa tra il settore pubblico e privato, il CRA, proponendo nuove misure specifiche per le vulnerabilità dei prodotti, potrebbe diventare un punto di riferimento per questo approccio collaborativo e inclusivo. Il disegno realizzato dall’Unione Europea sembra quello di una cyber security professionale e standardizzata, non più appannaggio di pochi eletti, ma dilagante, diffusa e condivisa.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati