Cyber Resilience Act: in cosa consiste e cosa cambia per le aziende

Immagina di svegliarti un giorno e scoprire che tutti i tuoi dati aziendali sensibili, comprese informazioni finanziarie riservate, dati dei clienti e segreti commerciali, sono stati rubati.

Uno scenario da incubo, non è vero?

Sfortunatamente, questa è una realtà che molte aziende si trovano ad affrontare poiché le minacce informatiche continuano a crescere in termini di portata, complessità e impatto.

La buona notizia è che la Commissione europea ha introdotto lo European Cyber Resilience Act (CRA) per stabilire standard comuni di sicurezza informatica per i prodotti digitali e servizi connessi venduti nel mercato dell’UE.

L’obiettivo è proteggere i consumatori e le imprese dagli incidenti informatici, rendendo questa la prima legislazione del genere al mondo.

Cos’è il Cyber Resilience Act (CRA)?

Poiché diversi settori economici sono diventati sempre più dipendenti dalle tecnologie digitali nello svolgimento delle proprie attività, le opportunità offerte dalla società digitale espongono le varie economie alle minacce informatiche.

Anche la quantità, la complessità, la portata e l’impatto degli incidenti di sicurezza stanno crescendo.

Il Cyber Resilience Act introduce norme per proteggere i prodotti che non erano coperti da alcuna normativa precedente. Non a caso, qualcuno parla del CRA come della prima legislazione al mondo sull'”Internet delle cose” (IoT) .

Chi è coinvolto dal Cyber Resilience Act

La Commissione ha identificato una serie di requisiti essenziali per i produttori di hardware, gli sviluppatori di software, i distributori e gli importatori che immettono prodotti o servizi digitali sul mercato dell’UE.

I requisiti proposti includono:

– un livello “appropriato” di sicurezza informatica ;
– il divieto di vendere prodotti di cui sia nota la vulnerabilità;
– sicurezza per configurazione predefinita e la protezione da accessi non autorizzati;
– limitazione delle superfici di attacco e minimizzazione dell’impatto degli incidenti.

La categoria predefinita è costituita da prodotti a basso rischio, che coprono il 90% del mercato, compresi giocattoli intelligenti, TV o frigoriferi.

Questo richiede alle aziende di eseguire un’autovalutazione per garantire che un prodotto soddisfi gli standard di sicurezza informatica.

Inoltre, sono elencate due categorie di prodotti critici:

La principale differenza tra le due categorie è il processo di conformità.

Inoltre, la Commissione chiede ai produttori di eseguire test regolari per identificare le vulnerabilità nei loro prodotti.

Infine, gli Stati membri dovrebbero istituire organismi di vigilanza del mercato. 

Le sanzioni per il mancato rispetto degli obblighi possono ammontare a 15 milioni di euro ovvero al 2,5% del fatturato annuo del comparto.

Cosa cambia per le aziende con il CRA? Obblighi e Classificazioni

Le prime reazioni generali all’iniziativa da parte dell’industria e delle altre parti interessate sono state positive. I consumatori si aspettano che i prodotti che acquistano siano sicuri e protetti.

Pertanto, creare una maggiore consapevolezza dell’importanza di questi requisiti di sicurezza nei prodotti, porterà i clienti a considerare i criteri di sicurezza chiave quando prendono decisioni di acquisto.

L’industria ha anche avvertito che la legislazione dovrebbe comprendere una definizione chiara, considerando le differenze nello sviluppo, funzionalità e nell’uso dei prodotti digitali.

Diversi settori hanno inoltre chiesto alla Commissione di prendere in considerazione la legislazione verticale esistente per settori e/o gruppi di prodotti specifici.

L’aggiunta di requisiti essenziali di cybersicurezza rischia di escludere le PMI dal mercato. 

Le imprese devono inoltre sapere esattamente quale tipo di specifiche tecniche devono rispettare per garantire il rispetto degli obblighi del CRA.

Alcune aziende sono preoccupate per gli oneri aggiuntivi e i costi di conformità. Ciò renderebbe più difficile per le start-up competere con i soggetti più affermati. 

Ad esempio, gli sviluppatori di app mettono in guardia dai costi aggiuntivi legati al mantenimento di un ambiente cyber-resiliente a vantaggio dei consumatori. 

Quando diventa effettivo il Cyber Resilience Act?

E’ stata annunciata per la prima volta dalla presidente della Commissione Von der Leyen nel suo discorso sullo stato dell’Unione del settembre 2021.

L’idea è stata poi ripresa nelle conclusioni del Consiglio sullo sviluppo della posizione dell’Unione europea in materia di deterrenza informatica, del 23 maggio 2022.

In tale occasione si invitava la Commissione a proporre requisiti comuni in materia di cybersicurezza per i dispositivi connessi prima della fine del 2022.

Il 15 settembre 2022 la Commissione ha adottato la proposta di regolamento del Parlamento europeo e del Consiglio relativo a requisiti orizzontali di cyber sicurezza per i prodotti con elementi digitali e che modifica il regolamento (UE) 2019/1020 (“regolamento sulla cyber resilienza”).

Questa integrerà il quadro dell’UE in materia di cybersicurezza.

Ossia la direttiva sulla sicurezza delle reti e dell’informazione (direttiva NIS), la direttiva relativa a misure per un livello comune elevato di cybersicurezza nell’Unione (direttiva NIS 2) e il regolamento UE sulla sicurezza.

La Commissione per l’industria, la ricerca e l’energia (ITRE) del Parlamento europeo è stata nominata responsabile della messa in opera dell’atto, sotto la guida dell’eurodeputato Nicola Danti in qualità di relatore. 

Il 19 luglio, gli eurodeputati dell’ITRE hanno adottato la relazione Danti e modificato la proposta della Commissione europea.

Hanno incluso nell’ambito di applicazione del regolamento soluzioni di elaborazione remota dei dati integrate nei dispositivi connessi (funzionalità abilitate al cloud per elettrodomestici intelligenti).

Inoltre, il testo modificato dell’European Cyber ??Resilience Act sposta l’entrata in vigore a 36 mesi e impone obblighi di segnalazione dopo 18 mesi. I produttori avranno 12 mesi per conformarsi ai requisiti europei di certificazione della sicurezza informatica. 

Secondo i sistemi di certificazione, i prodotti altamente critici dovranno soddisfare il più alto livello di garanzia. I prodotti critici dovranno soddisfare un livello sostanziale di garanzia.

Inoltre, i produttori potrebbero fornire aggiornamenti di sicurezza per un periodo superiore alla durata prevista del prodotto. 

Il testo prevede la possibilità per gli utenti di ritirare e rimuovere in modo sicuro i propri dati in modo permanente.

Infine, sulla base dell’analisi dei rischi, i produttori dovranno informare i distributori e gli utenti finali della mancanza di conformità.

Dialoghi di settembre

Il 27 settembre, il Parlamento europeo e il Consiglio dell’UE hanno avviato il primo ciclo di negoziati del trilogo. 

Uno dei punti più controversi dei prossimi negoziati riguarda gli obblighi di rendicontazione per i produttori (articolo 11).

Le parti interessate del settore si sono opposte all’obbligo di segnalare una vulnerabilità sfruttata entro 24 ore dal momento in cui ne vengono a conoscenza.

Questo potrebbe esporre i prodotti a ulteriori minacce informatiche. 

Inoltre, le disposizioni sulla conservazione dei dati rappresentano un altro punto chiave della trattativa.

Il Parlamento europeo e la Commissione propongono di affidare all’ENISA la responsabilità di gestire il database delle vulnerabilità sfruttate dei prodotti.

Il Consiglio auspica piuttosto che le squadre nazionali di risposta agli incidenti di sicurezza informatica (CSIRT) diventino le autorità responsabili della banca dati.

In una lettera pubblicata il 3 ottobre 2023, gli esperti di sicurezza hanno esortato i responsabili delle politiche dell’UE a rivalutare i requisiti di divulgazione delle vulnerabilità.

Ulteriori colloqui andranno avanti nei prossimi mesi, probabilmente con un’entrata in vigore non prima del nuovo anno.