In data 15 settembre 2022, la Commissione europea ha presentato il tanto atteso progetto di regolamento denominato Cyber Resilience Act, mirato a rafforzare la sicurezza informatica dei prodotti digitali nell’Unione Europea e ad affrontare le carenze esistenti nel quadro normativo in materia di sicurezza informatica. Questo regolamento proposto stabilisce un ampio insieme di norme per i prodotti, sia tangibili che immateriali, che contengono elementi digitali, compresi dispositivi connessi e software non incorporato, con l’obiettivo di garantire standard di cybersicurezza per l’intera catena di fornitura digitale.
Il Cyber Resilience Act si applica a tutti i prodotti software e hardware, nonché alle relative soluzioni di elaborazione dati remote, comprese le componenti software e hardware che vengono commercializzate separatamente. Queste disposizioni si applicano per l’intero ciclo di vita del prodotto, dalla fase di progettazione fino alla fase di obsolescenza. Il campo di applicazione del Cyber Resilience Act comprende prodotti digitali tangibili, come dispositivi connessi, e prodotti digitali non tangibili, come il software incorporato in dispositivi connessi. Fondamentalmente, il regolamento riguarda i prodotti digitali che si connettono a Internet e i software associati.
Il Cyber Resilience Act è stato proposto in risposta all’aumento dei costi globali legati alla criminalità informatica, che nel 2020 è stata stimata in 5,5 trilioni di euro e si prevede raggiungerà i 10,5 trilioni di euro entro il 2025. Al fine di affrontare questi crescenti costi e mitigare le vulnerabilità, la Commissione ha definito quattro obiettivi specifici per il regolamento sulla cyber resilienza:
Il Cyber Resilience Act si allinea con la strategia dell’UE per “Plasmare il futuro digitale dell’Europa” attraverso il potenziamento della cybersicurezza nell’economia europea basata sui dati. Questo regolamento promuove la sicurezza sin dalla fase di progettazione, stabilendo requisiti essenziali di sicurezza informatica per produttori, importatori e distributori di dispositivi e servizi connessi, che devono essere rispettati attraverso certificazioni, relazioni e valutazione della conformità.
Il Cyber Resilience Act esclude i dispositivi connessi già disciplinati da leggi settoriali specifiche, come i dispositivi medici, i dispositivi medico-diagnostici in vitro, i veicoli e le norme sull’aviazione civile. Inoltre, il regolamento non si applica ai servizi software-as-a-service a meno che tali servizi non siano parte di soluzioni complete di elaborazione remota dei dati per prodotti con elementi digitali. Il Cyber Resilience Act si concentra sul software open source gratuito sviluppato o fornito nell’ambito di attività commerciali, definendo l’attività commerciale come l’addebito per prodotti o servizi di supporto tecnico, la fornitura di una piattaforma software per la monetizzazione di altri servizi o l’uso di dati personali in modi che non migliorano la sicurezza, la compatibilità o l’interoperabilità.
La legge sulla cyber resilienza prevede anche la possibilità di norme settoriali future dopo la sua entrata in vigore, consentendo di modificare l’ambito di applicazione e le interazioni con il Cyber Resilience Act in base al raggiungimento di livelli di protezione della cybersicurezza da parte di leggi settoriali specifiche.
Il Cyber Resilience Act suddivide i prodotti interessati in tre categorie: Classe I, Classe II e Non classificato o predefinito. La categoria “Non classificato” si applica ai prodotti privi di vulnerabilità critiche della sicurezza informatica e le aziende responsabili di tali prodotti devono autovalutare le loro vulnerabilità per migliorarle. La maggior parte dei dispositivi connessi, come il software di fotoritocco, i videogiochi e altri software comuni, rientra in questa categoria.
I restanti prodotti sono suddivisi in Classe I e Classe II in base al loro livello di rischio, considerando fattori come l’esecuzione con privilegi, l’uso in ambienti sensibili, l’elaborazione di informazioni personali e altri criteri. La Classe I richiede l’applicazione di una norma o una valutazione di terze parti per dimostrare la conformità, mentre la Classe II richiede una valutazione di conformità di terze parti più approfondita.
I prodotti di Classe I comprendono software e hardware che presentano un livello di rischio di sicurezza informatica inferiore rispetto a quelli di Classe II ma più elevato rispetto alla categoria “Non classificato o predefinito”. Esempi di prodotti di Classe I includono software di gestione delle identità e degli accessi, browser, gestori di password, strumenti di rilevamento di software dannoso e molti altri.
I prodotti di Classe II, invece, sono prodotti ad alto rischio con elementi digitali e includono sistemi operativi, infrastruttura a chiave pubblica, firewall industriali, microprocessori per uso generale e molti altri.
Il Cyber Resilience Act stabilisce requisiti specifici per ciascuna di queste categorie, con procedure di valutazione della conformità più rigorose per i prodotti di Classe II, al fine di garantire che i prodotti ad alto rischio siano adeguatamente protetti contro le minacce informatiche.
Il Cyber Resilience Act impone alle aziende di affrontare le questioni legate alla sicurezza delle informazioni e alle vulnerabilità della sicurezza informatica durante la fase iniziale di progettazione e sviluppo dei prodotti, una pratica conosciuta come “security-by-design”. Questa legislazione stabilisce i vari requisiti per i prodotti interessati, inclusi gli obblighi di informazione per le aziende verso gli utenti, le procedure di verifica della conformità per i prodotti ad alto rischio e la documentazione tecnica necessaria. Tuttavia, ciò che rende il Cyber Resilience Act “security-by-design” è soprattutto l’Allegato I, che definisce i “requisiti essenziali di sicurezza informatica” all’interno del regolamento. Questi requisiti comprendono la necessità di impostazioni di sicurezza predefinite e l’evitare di vulnerabilità già note.
L’Allegato I delinea anche i requisiti per la gestione delle vulnerabilità, definiti come “requisiti essenziali per i processi di gestione delle vulnerabilità implementati dai produttori per garantire la sicurezza informatica dei prodotti con elementi digitali per l’intero ciclo di vita”. Ciò implica che i produttori devono documentare e affrontare le vulnerabilità, garantendo che i prodotti e i servizi associati rispettino il Cyber Resilience Act durante tutto il loro ciclo di vita.
In base al Cyber Resilience Act, i fabbricanti e gli sviluppatori devono progettare, sviluppare e produrre dispositivi connessi in conformità ai “requisiti essenziali di sicurezza”, come definiti nell’Allegato I del regolamento. Gli importatori devono assicurarsi che solo prodotti conformi a questi requisiti siano messi sul mercato e che i fabbricanti rispettino i requisiti di gestione delle vulnerabilità. I distributori sono responsabili di garantire che i prodotti con elementi digitali abbiano il marchio di conformità e che i fabbricanti e gli importatori siano conformi ai requisiti essenziali previsti. In breve, questi requisiti essenziali creano obblighi per gli operatori economici che progettano, sviluppano, producono e distribuiscono prodotti con elementi digitali.
Per dimostrare la conformità, i produttori di tali prodotti devono condurre una valutazione del rischio di sicurezza informatica, inclusa nella documentazione tecnica, e segnalare dove i requisiti essenziali non siano applicabili. Devono anche aggiornare la valutazione del rischio del prodotto, mettere a punto un processo per rilevare e risolvere le vulnerabilità, rilasciare una dichiarazione di conformità UE e, se non riescono a rispettare il Cyber Resilience Act, informare le autorità di controllo del mercato della loro decisione di interrompere le operazioni.
Il Cyber Resilience Act suddivide i requisiti essenziali per i dispositivi connessi in due categorie principali:
Requisiti di sicurezza relativi alle caratteristiche dei prodotti.
Requisiti di gestione delle vulnerabilità per i produttori di tali prodotti.
Per soddisfare i requisiti essenziali di sicurezza, i dispositivi connessi e i loro produttori devono:
I produttori devono attuare i seguenti requisiti per conformarsi ai requisiti essenziali di gestione delle vulnerabilità:
Per i prodotti classificati come Non classificati o di categoria predefinita, i produttori devono auto dichiarare che i loro prodotti sono conformi a tutti i requisiti essenziali di sicurezza e vulnerabilità. Devono fornire la documentazione tecnica, apporre il marchio di conformità e rilasciare una dichiarazione scritta di conformità UE.
I produttori di prodotti di Classe I devono sottoporsi a una valutazione di conformità condotta da terze parti o applicare standard armonizzati o schemi europei di certificazione della sicurezza informatica. I produttori di prodotti di Classe II possono dimostrare la conformità solo attraverso una valutazione di conformità condotta da terze parti. I dettagli specifici sulle procedure di valutazione della conformità sono descritti nell’Allegato VI del regolamento.
Il Cyber Resilience Act impone ai produttori di notificare all’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) entro 24 ore dalla scoperta “di qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali” o di “qualsiasi incidente che influisce sulla sicurezza del prodotto con elementi digitali”. Inoltre, devono informare gli utenti del prodotto sull’incidente e sulle misure correttive necessarie per mitigarne l’impatto.
Gli importatori e i distributori di prodotti con elementi digitali devono anche segnalare tempestivamente al produttore le vulnerabilità della cybersicurezza. In caso di rischio significativo per la cybersicurezza, devono informare le autorità nazionali di vigilanza del mercato sulla non conformità e sulle azioni correttive intraprese.
Il Cyber Resilience Act contiene disposizioni specifiche per i sistemi di intelligenza artificiale (IA) ad alto rischio, come definite nel progetto di legge sull’IA. Tali disposizioni si applicheranno solo ai sistemi di IA ad alto rischio definiti dal progetto di legge sull’IA.
I dispositivi connessi che rientrano nell’ambito di applicazione del Cyber Resilience Act e che rispettano i requisiti essenziali di sicurezza sin dalla progettazione saranno considerati conformi anche al progetto di legge sull’IA e saranno considerati adeguatamente protetti secondo la dichiarazione di conformità. Per la maggior parte di questi prodotti, si seguirà la procedura di valutazione della conformità prevista dalla legge sull’IA, e sarà responsabilità degli organismi di certificazione autorizzati verificare la conformità e rilasciare la notifica. I prodotti critici, come quelli di Classe I e Classe II definiti nell’Allegato III, dovranno seguire la procedura di valutazione della conformità del Cyber Resilience Act insieme ai requisiti dell’AI Act “per quanto riguarda i requisiti essenziali del Cyber Resilience Act.
L’attuazione e l’applicazione del Cyber Resilience Act saranno affidate alle autorità di vigilanza del mercato designate dagli Stati membri. Ciascuno Stato membro può scegliere una o più autorità già esistenti o istituire nuove autorità per svolgere il ruolo di autorità di vigilanza del mercato. Queste istituzioni collaboreranno con le autorità designate in base al regolamento NIS2 o al regolamento del 2019 sull’Agenzia dell’Unione europea per la cybersicurezza e sulla certificazione della cybersicurezza delle tecnologie dell’informazione e della comunicazione. Le autorità di vigilanza del mercato saranno autorizzate a cooperare tra loro e con l’ENISA, condurre indagini approfondite per migliorare ulteriormente la cybersicurezza dei prodotti e presentare rapporti annuali alla Commissione. Tali autorità avranno l’autorità di imporre sanzioni amministrative, come previsto dal Cyber Resilience Act.
Il mancato rispetto dei requisiti e degli obblighi essenziali delineati nell’Allegato I, secondo quanto stabilito agli articoli 10 e 11 del Cyber Resilience Act, può comportare sanzioni amministrative fino a 15 milioni di euro o al 2,5% del fatturato annuo globale per l’anno fiscale precedente, a seconda di quale sia il valore più alto.
Per altre violazioni degli obblighi previsti dal regolamento, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale per l’anno fiscale precedente, a seconda di quale sia il valore maggiore.
Fornire deliberatamente informazioni false, incomplete o manipolate alle autorità di vigilanza del mercato può comportare una multa di 5 milioni di euro o dell’1% del fatturato annuo globale per l’anno fiscale precedente, a seconda di quale sia il valore più alto.
Gli Stati membri possono stabilire norme di sanzioni efficaci, proporzionate e dissuasive per le imprese che violano il regolamento sulla cyber resilienza, purché notifichino tali norme, misure e successive modifiche alla Commissione. Le autorità di vigilanza del mercato possono anche vietare o limitare la disponibilità di prodotti nel caso in cui il produttore, l’importatore, il distributore o un’altra azienda non sia conforme al regolamento.
Dopo la presentazione del testo da parte della Commissione europea, il Cyber Resilience Act sarà oggetto di un processo legislativo nel Parlamento europeo. Il Parlamento europeo e il Consiglio discuteranno, esamineranno e, se necessario, proporranno modifiche al regolamento sulla cyber resilienza.
Una volta adottato, il regolamento sarà attuato in due fasi. Nei primi dodici mesi, i produttori e gli sviluppatori di dispositivi connessi saranno tenuti a segnalare le vulnerabilità e le violazioni della sicurezza informatica sfruttate. Successivamente, entro ventiquattro mesi, gli Stati membri e le imprese coinvolte avranno due anni di tempo per adeguarsi ai nuovi requisiti stabiliti dal Cyber Resilience Act una volta entrato in vigore. Dopo l’attuazione, la Commissione può riesaminare il regolamento e sviluppare ulteriori leggi settoriali per affrontare le vulnerabilità che persistono all’interno del quadro generale. Dodici mesi dopo l’entrata in vigore del regolamento sulla cyber resilienza, la Commissione può adottare atti delegati per specificare le definizioni delle categorie di prodotti appartenenti alle classi I e II, come previsto all’articolo 6 del regolamento.
Uno studio dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) stima che circa il…
Critiche per lo spot natalizio 2024 di Coca-Cola, realizzato interamente con intelligenza artificiale: innovazione o…
Scopri le differenze tra ChatGPT, Gemini e Microsoft Copilot: caratteristiche, funzionalità e consigli per scegliere…
L'azienda ha subito commentato quella che può sembrare una vera istigazione al suicidio. Si tratta…
La DeFi permette di effettuare transazioni direttamente tra utenti, prestare o prendere in prestito denaro,…
L'esperimento di Fanpage.it sull'attesissimo incontro che andrà in onda questa notte su Netflix L’attesa è…