Cyber Resilience Act: gli sforzi dell’Unione Europea per la cybersicurezza

Nel settembre 2022 la Commissione Europea ha lanciato un progetto di resilienza informatica chiamato Cyber Resilience Act, il cui scopo primario è quello di rendere tutti i prodotti digitali più resistenti dal punto di vista della sicurezza informatica.

In realtà, il Cyber Risilience Act è soltanto l’ultimo sforzo giuridico portato avanti dall’Unione Europea per rinforzare i livelli di cybersicurezza su scala continentale.

Infatti, negli ultimi anni sono stati avanzati altri progetti normativi, tra cui la Direttiva sulla sicurezza delle reti e delle informazioni (NIS 2) e il Regolamento sulla stabilità operativa digitale degli istituti finanziari (DORA).

Il Cyber Resilience Act è chiaramente un passo avanti verso una maggiore coscienza dell’importanza della sicurezza dei prodotti digitali in ogni aspetto del loro ciclo di vita, dal concept e fino alla fase di testing.

Vediamo allora cosa contiene nel dettaglio il Cyber Resilience Act e quali sono gli articoli digitali coinvolti dalla normativa.

Il quadro normativo vigente in Europa e in Italia

Il 15 settembre 2022 la Commissione Europea ha pubblicato il Cyber Resilience Act, una proposta di nuovo regolamento giuridico che ha lo scopo di delineare un più vasto ambito normativo per la cybersicurezza dei prodotti digitali connessi in rete e venduti sul mercato comunitario, imponendo obblighi più vincolanti ai produttori.

La normativa si va ad inserire in un contesto di forte trasformazione digitale promossa dall’Unione Europea e da completarsi entro il 2030.

Il Cyber Resilience Act sarà complementare al Regolamento 2019/881 dell’ENISA (European Union Agency for Cybersecurity), tramite cui è stato varato un quadro comune di cybersicurezza per le tecnologie informatiche e della comunicazione.

In Italia tale regolamentazione è stata recentemente attuata con D.lgs. n.123/2022, in vigore dal 4 settembre 2022, con il quale si recepisce ufficialmente la normativa europea.

Il decreto-legge indica l’Agenzia per la Cybersicurezza Nazionale (ACN) come ente nazionale di riferimento in materia e gli attribuisce il ruolo di regolatore della certificazione di cybersicurezza e vigilanza su dichiarazioni di conformità.

Inoltre, viene lasciata invariata la validità e l’efficacia del GDPR, ovvero del Regolamento 2016/679 in materia di protezione dei dati personali. Infatti, nel Regolamento 2019/881 i sistemi di accertamento della cybersicurezza si vanno ad integrare perfettamente nel meccanismo di protezione dei dati.

Infine, per controllare e vigilare sulle disposizioni previste, il Regolamento favorisce e sostiene la collaborazione tra le istituzioni europee e nazionali, lasciando le attività di ispezione e sanzione alle diverse autorità di vigilanza dei Paesi comunitari.

Si impone dunque agli Stati membri di fornire alle autorità locali per la protezione dei dati qualsiasi informazione necessaria per lo svolgimento dei propri compiti, lasciando all’ENISA la possibilità di introdurre ulteriori misure restrittive o correttive.

Gli obiettivi del Cyber Resilience Act

Con il Cyber Resilience Act l’Unione Europea desidera impostare degli standard condivisi di sicurezza informatica per quanto riguarda i prodotti digitali collegati via Internet.

Lo scopo primario è quello di offrire protezione ai consumatori e al mercato dalle minacce informatiche, preservando aziende ed utenti che comprano e utilizzano software e articoli contenenti componenti digitali.

Questa esigenza si è resa necessaria per la presenza e diffusione sempre più massiccia di dispositivi IoT (Internet of Things). Non a caso la connessione tra prodotti intelligenti crea un incremento del flusso di dati interscambiati che molto spesso finiscono nelle mani di enti e organizzazioni al di fuori dell’UE.

Proprio per combattere i costi sempre più alti della cybersicurezza e risolvere le vulnerabilità informatiche, la Commissione Europea pone all’orizzonte 4 obiettivi principali:

• Costruire un quadro normativo comune per la sicurezza informatica nell’Unione Europea;
• Assicurare che i produttori informatici lavorino per migliorare la cybersicurezza dei loro prodotti, partendo dalla progettazione e lungo tutto il ciclo di vita;
• Garantire maggiore trasparenza nelle pratiche di sicurezza e nelle proprietà tecniche degli articoli digitali;
• Dare ai consumatori europei e alle società solo prodotti sicuri e pronti all’uso;

È evidente come il Cyber Resilience Act richieda alle imprese di affrontare con serietà il problema della sicurezza e dei cyberattacchi, iniziando dalla fase di progettazione e proseguendo durante tutto lo sviluppo dei prodotti, in un’ottica che si fonda appunto sul principio di “privacy by design”.

Nell’articolo 3 del documento si fa chiarezza sulla definizione di prodotti con elementi digitali, specificando che in questa categoria rientrano tutti gli articoli software e hardware e tutte le soluzioni per l’elaborazione remota dei dati, inclusi i componenti correlati.

Invece negli allegati del regolamento sono indicati nel dettaglio i requisiti che i prodotti digitali devono possedere per ottenere la tanto desiderata conformità.

In verità il Cyber Resilience Act non è rivolto solamente a sviluppatori e produttori, ma anche agli importatori, i quali sono obbligati a lanciare sul mercato articoli che vadano a soddisfare i requisiti dell’allegato I, così da non correre rischi di vulnerabilità.

Le regole per prodotti e produttori

Per i prodotti digitali le principali regole sono le seguenti:

• Devono essere consegnati con una configurazione sicura di default e la possibilità di ritornare alle impostazioni originali di fabbrica;
• Assicurare la riservatezza dei dati personali memorizzati, magari criptando quelli in stand-by o trasmessi con sistemi all’avanguardia;
• Proteggere i prodotti dall’accesso non autorizzato da parte di estranei mediante adeguati meccanismi di controllo, tra cui programmi di autenticazione o gestione dell’identità;
• Trattare dati personali o di altro genere che siano limitati e pertinenti a quello che è necessario all’uso previsto del prodotto;
• I prodotti devono essere progettati e sviluppati per limitare i punti di cyberattacco, incluse le interfacce esterne;
• Dare informazioni sulla sicurezza tracciando le attività interne pertinenti, tra cui l’accesso a dati e servizi o la loro modifica;
• Garantire che le vulnerabilità possano essere risolte con aggiornamenti di sicurezza, di cui fanno parte quelli automatici e le notifiche degli aggiornamenti disponibili.

A proposito invece dei produttori, su questi ultimi ricade l’onere di verificare e quindi dichiarare che i prodotti contenenti elementi digitali siano dotati di marchio di conformità UE, secondo quanto previsto dall’articolo 20 del Cyber Resilience Act.

Al contempo i distributori hanno l’obbligo di diffondere sul mercato soltanto gli articoli che sono conformi al regolamento.

In aggiunta, gli articoli 22 e 23 sanciscono che i suddetti oneri riguardino anche le modifiche che intervengono nel tempo, quali aggiornamenti, riparazioni di software e manutenzione fisica. In tali casi è prevista un’ulteriore valutazione qualora le modifiche vadano ad influire sulla conformità del prodotto.

In conclusione, è chiaro come i presupposti citati nel Cyber Resilience Act impongano obblighi per tutti gli operatori economici che lavorano nel mercato dei dispositivi digitali, compresi sviluppatori e chi si occupa di distribuirli in commercio.

Quali prodotti sono coinvolti dal Cyber Resilience Act?

Il regolamento viene applicato a qualsiasi prodotto hardware oppure software nel corso di tutto il ciclo di vita, dalla progettazione alla fase di obsolescenza.

Nello specifico, andrà a coprire i prodotti fisici digitali (dispositivi IoT) ed i prodotti immateriali, come possono essere i software presenti all’interno dei device stessi.

Per citare l’articolo 2 del Cyber Resilience Act, il regolamento si applica a “prodotti con elementi digitali il cui uso previsto o ragionevolmente prevedibile includa una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete”.

Tutto ciò viene approfondito ulteriormente nell’allegato III che suddivide i prodotti oggetto del regolamento in due classi specifiche, secondo il livello di rischio informatico.

Classe I

Nella classe I sono compresi i prodotti che vengono ritenuti ad alto rischio poiché sono forniti di elementi digitali con un elevato tasso di vulnerabilità della cybersicurezza. Tra questi ci sono:

• Sistemi operativi per desktop, server e device mobili;
• Sistemi di runtime per container e ipervisori;
• Infrastrutture a chiave pubblica ed emittenti di certificati digitali;
• Router, modem e switch ad uso industriale;
• Crittoprocessori;
• Microprocessori generali e per l’integrazione in controllori logici programmabili;
• Firewall;
• Smartcard e lettori smartcard;
• Moduli di sicurezza hardware

Classe II

Nella Classe II sono stati inseriti tutti i prodotti che si distinguono per un livello di rischio di sicurezza inferiore in confronto a quelli della Classe I. Ecco alcuni dei più importanti:

• Gestori di password;
• Browser;
• Software per la gestione delle identità e accessi privilegiati;
• Software per la ricerca ed isolamento dei programmi infetti;
• Sistemi di monitoraggio del traffico rete;
• Prodotti con funzioni di rete privata virtuale;
• Interfacce di rete fisiche;
• Software di accesso remoto;
• Router, modem e microprocessori non inclusi della Classe II.

Il resto dei prodotti che non sono inseriti nelle due classi in quanto non presentano vulnerabilità ai cyberattacchi possono essere valutati dalle società produttrici che avranno l’impegno di trovare soluzioni migliorative.

Tali aziende saranno responsabili nel dichiarare che i propri articoli soddisfano i requisiti, presentando la documentazione tecnica ed una dichiarazione scritta di conformità. Per finire, dal regolamento del Cyber Resilience Act sono esentati i dispositivi disciplinati da altri quadri normativi come i device medici o i software-as-a-service.

Il futuro del Cyber Resilience Act

Il Cyber Resilience Act ha attualmente la condizione di proposta e dunque davanti a sé ha ancora una lunga strada per ottenere piena efficacia in tutti i Paesi membri dell’UE.

Le fasi successive dell’iter prevedono che il Consiglio Europeo e il Parlamento discutano del testo e possano avanzare eventuali emendamenti. Una volta approvato, il regolamento dovrà essere attuato in due fasi.

Nei primi 12 mesi sviluppatori e produttori dei dispositivi e software avranno l’obbligo di segnalare qualunque violazione della sicurezza o vulnerabilità. Invece entro 24 mesi gli Stati membri e le imprese coinvolte dovranno adattarsi alla nuova normativa.

Indipendentemente dal testo definitivo, il Cyber Resilience Act testimonia certamente la maggiore consapevolezza dell’Unione Europea sull’importanza dell’immenso patrimonio digitale composto dai dati personali, come asset economico e come strategia politica che pone al centro di tutto la sicurezza informatica.