I prodotti hardware e software sono sempre più soggetti ad attacchi informatici di successo, con un costo annuo stimato di 5,5 trilioni di euro entro il 2021. Partendo da questo dato di fatto il legislatore europeo ha deciso di intervenire.
Lo scorso 15 settembre 2022 è stata pubblicata la proposta di Regolamento europeo sugli obblighi di cybersicurezza orizzontali per prodotti con elementi digitali, meglio nota come Cyber Resilience Act.
Perché un Cyber Resilience Act
Si tratta di una proposta che introduce regole comuni di cybersecurity per i produttori e gli sviluppatori di prodotti con elementi digitali, sia hardware che software. Garantirà che i prodotti (wireless o meno) connessi a Internet e i software immessi sul mercato dell’UE siano più sicuri e che i produttori rimangano responsabili della sicurezza informatica per tutto il ciclo di vita del prodotto. Inoltre, consentirà ai clienti di questi prodotti di essere adeguatamente informati sulla sicurezza informatica dei prodotti che acquistano e utilizzano.
I rischi che la nuova proposta intende affrontare sono essenzialmente due:
- il basso livello di sicurezza informatica di molti di questi prodotti con elementi digitali e, soprattutto, il fatto che molti produttori non forniscono aggiornamenti per risolvere le vulnerabilità
- l’asimmetria informativa tra imprese e consumatori i quali spesso non dispongono di informazioni sufficienti e accurate quando si tratta di scegliere prodotti sicuri e spesso non sanno come assicurarsi che i prodotti che acquistano siano configurati in modo sicuro.
La proposta di Cyber Resilience Act prevede che i prodotti con elementi digitali debbano essere resi disponibili sul mercato solo ove soddisfino specifici requisiti essenziali di sicurezza informatica. Ai produttori verrà imposto di tenere conto della cybersicurezza nella progettazione e nello sviluppo dei prodotti con elementi digitali.
Per quanto riguarda le informazioni e le istruzioni fornite all’utente finale, la proposta di Cyber Resilience Act richiede ai produttori di essere trasparenti sugli aspetti di cybersecurity che devono essere resi noti ai clienti. Un elemento chiave della proposta è la copertura dell’intero ciclo di vita dei prodotti e, in particolare, la previsione dell’obbligo per i produttori e gli sviluppatori di fornire informazioni sulla fine del ciclo di vita dei prodotti e sul supporto di sicurezza fornito, nonché l’obbligo di fornire aggiornamenti di sicurezza e supporto per un periodo di tempo ragionevole.
Tali obblighi verrebbero stabiliti per gli operatori economici, a partire dai produttori, fino ai distributori e agli importatori, in relazione all’immissione sul mercato di prodotti con elementi digitali, in quanto adeguati al loro ruolo e alle loro responsabilità nella catena di fornitura. I produttori dovranno sottoporsi a un processo di valutazione della conformità per dimostrare se i requisiti specificati relativi a un prodotto sono stati soddisfatti. Ciò potrebbe avvenire attraverso un’autovalutazione o una valutazione di conformità da parte di terzi, a seconda della criticità del prodotto in questione. Una volta dimostrata la conformità del prodotto ai requisiti applicabili, i produttori e gli sviluppatori saranno chiamati a redigere una dichiarazione di conformità UE e potranno apporre la marcatura CE. Il marchio CE indicherà la conformità dei prodotti con elementi digitali al Cyber Resilience Act, in modo che possano circolare liberamente nel mercato interno.
Che effetti si intende ottenere con il Cyber Resilience Act
Nelle intenzioni del legislatore europeo, i benefici di questa normativa saranno in capo alle imprese poiché dovranno conformarsi a un unico insieme di norme di sicurezza informativa in tutta l’Unione Europea. Inoltre, tra gli effetti positivi sperati c’è la riduzione del numero di incidenti di cybersecurity e, di conseguenza, dei costi di gestione degli incidenti e dei danni alla reputazione delle aziende. Ci si attende anche un aumento della fiducia dei consumatori e dei clienti commerciali e, quindi, della domanda di prodotti con elementi digitali, sia all’interno che all’esterno dell’UE.
Inoltre, i consumatori e gli utenti potranno usufruire di maggiori informazioni quando scelgono un prodotto con elementi digitali e di istruzioni più chiare sul suo utilizzo. Grazie alla riduzione dei rischi e degli incidenti di sicurezza, i consumatori e i cittadini beneficeranno di una migliore protezione dei diritti fondamentali, come la protezione dei dati e della privacy.
Infine, e non è la prima volta che accade, il legislatore europeo spera che questa normativa sulla resilienza informatica abbia anche il potenziale per diventare un punto di riferimento internazionale, al di là del mercato interno dell’UE.
Quali rimedi e sanzioni prevede il Cyber Resilience Act
Secondo la proposta pubblicata il 15 settembre scorso, gli Stati membri dovranno nominare autorità di sorveglianza del mercato, che saranno responsabili dell’applicazione degli obblighi previsti dalla normativa in questione.
In caso di non conformità, le autorità di vigilanza del mercato potranno richiedere agli operatori di porre fine alla non conformità ed eliminare il rischio, di vietare o limitare la messa a disposizione di un prodotto sul mercato o di ordinare il ritiro o il richiamo del prodotto. Ciascuna di queste autorità potrà multare le aziende che non rispettano le regole. La proposta di Cyber Resilience Act stabilisce i livelli massimi delle sanzioni amministrative che dovrebbero essere previste dalle leggi nazionali in caso di non conformità (15 milioni di Euro o 2,5% del fatturato annuo dell’anno precedente, se maggiore).
Come si inserisce la proposta di Cyber Resilience Act nell’attuale quadro normativo
Da un punto di vista sistematico, scopo della proposta di regolamento in questione è creare una maggiore certezza giuridica per gli operatori e gli utenti in tutta l’Unione, nonché una migliore armonizzazione del mercato unico europeo, creando condizioni più vantaggiose per gli operatori che intendono entrare nel mercato dell’UE.
In particolare, la legge sulla resilienza informatica integrerà la direttiva NIS 2, recentemente approvata dal Parlamento europeo e dal Consiglio. La direttiva NIS2 prevede requisiti di sicurezza informatica, comprese misure di sicurezza della catena di approvvigionamento, e obblighi di segnalazione degli incidenti per gli enti essenziali e importanti, con l’obiettivo di aumentare la resilienza dei servizi che forniscono. Pertanto, il miglioramento del livello di cybersecurity dei prodotti con elementi digitali potrebbe facilitare la conformità da parte dei soggetti che rientrano nell’ambito di applicazione della Direttiva NIS2 e rafforzare la sicurezza dell’intera catena di fornitura.
A quali prodotti si applicherà il Cyber Resilience Act
Dal punto di vista oggettivo, il regolamento sulla resilienza informatica si applica ai prodotti con elementi digitali definiti come i prodotti software e hardware e le loro soluzioni di trattamento dati in remoto. In particolare, si applicherà alle apparecchiature radio che rientrano nell’ambito di applicazione del Regolamento delegato adottato ai sensi della direttiva sulle apparecchiature radio 2014/53/UE (Regolamento delegato RED). La proposta di Cyber Resilience Act è allineata ai requisiti del Regolamento delegato RED, compresi gli standard specifici richiesti da quest’ultimo. La nuova normativa andrebbe quindi a sostituire e abrogare il Regolamento delegato RED.
Il software fornito come parte di un servizio (as a service e non come prodotto) non rientra nella proposta di regolamento sulla resilienza informatica, in quanto questa riguarda solo i prodotti con elementi digitali venduti all’interno del mercato unico europeo e stabilisce requisiti e obblighi concreti di sicurezza informatica per i produttori di tali prodotti. Tuttavia, direttive come la NIS 2 e altre normative settoriali garantiscono che i sistemi forniti come servizio o sviluppati internamente, come potrebbe essere il caso, ad esempio, dei sistemi di cartelle cliniche elettroniche, soddisfino requisiti tecnici equivalenti per la cybersicurezza e forniscano lo stesso livello di protezione contro le minacce informatiche dei prodotti con elementi digitali coperti dal Cyber Resilience Act. Ai sensi della direttiva NIS 2, gli Stati membri sono tenuti a garantire che soggetti essenziali e importanti, come i fornitori di servizi sanitari o di cloud e gli enti della pubblica amministrazione, adottino misure di sicurezza informatica tecniche, operative e organizzative adeguate e proporzionate. Ciò include, tra l’altro, l’obbligo di garantire la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità. Inoltre, i requisiti tecnici e metodologici per alcuni tipi di soggetti, come i fornitori di servizi di cloud computing, nonché i requisiti settoriali, se necessario, saranno definiti attraverso decisioni di attuazione.
Quali sono i prossimi passi
Spetta ora al Parlamento europeo e al Consiglio esaminare la proposta di legge sulla resilienza informatica. Una volta che la proposta sarà adottata ed entrerà in vigore, gli operatori economici e gli Stati membri avranno due anni di tempo per adeguarsi ai nuovi obblighi. Un’eccezione a questa regola è rappresentata dall’obbligo di segnalazione da parte dei produttori di alcune vulnerabilità e incidenti (actively exploited), che si applicherà un anno dopo l’entrata in vigore del Regolamento, poiché richiede meno adeguamenti organizzativi rispetto agli altri nuovi obblighi.
