Il regolamento UE sulla cyber resilienza: la panoramica

In data 15 settembre 2022, la Commissione europea ha presentato il tanto atteso progetto di regolamento denominato Cyber Resilience Act, mirato a rafforzare la sicurezza informatica dei prodotti digitali nell’Unione Europea e ad affrontare le carenze esistenti nel quadro normativo in materia di sicurezza informatica. Questo regolamento proposto stabilisce un ampio insieme di norme per i prodotti, sia tangibili che immateriali, che contengono elementi digitali, compresi dispositivi connessi e software non incorporato, con l’obiettivo di garantire standard di cybersicurezza per l’intera catena di fornitura digitale.

Cosa comporta il Cyber Resilience Act?

Il Cyber Resilience Act si applica a tutti i prodotti software e hardware, nonché alle relative soluzioni di elaborazione dati remote, comprese le componenti software e hardware che vengono commercializzate separatamente. Queste disposizioni si applicano per l’intero ciclo di vita del prodotto, dalla fase di progettazione fino alla fase di obsolescenza. Il campo di applicazione del Cyber Resilience Act comprende prodotti digitali tangibili, come dispositivi connessi, e prodotti digitali non tangibili, come il software incorporato in dispositivi connessi. Fondamentalmente, il regolamento riguarda i prodotti digitali che si connettono a Internet e i software associati.

Quali sono gli obiettivi specifici del Cyber Resilience Act?

Il Cyber Resilience Act è stato proposto in risposta all’aumento dei costi globali legati alla criminalità informatica, che nel 2020 è stata stimata in 5,5 trilioni di euro e si prevede raggiungerà i 10,5 trilioni di euro entro il 2025. Al fine di affrontare questi crescenti costi e mitigare le vulnerabilità, la Commissione ha definito quattro obiettivi specifici per il regolamento sulla cyber resilienza:

• Garantire che i produttori migliorino la sicurezza informatica dei prodotti coperti durante l’intero loro ciclo di vita.
• Creare un quadro unico e coerente per la conformità alla cybersicurezza nell’UE.
• Aumentare la trasparenza delle pratiche e delle caratteristiche di sicurezza informatica dei prodotti e dei loro produttori.
• Fornire ai consumatori e alle imprese prodotti sicuri pronti per l’uso.

Il Cyber Resilience Act si allinea con la strategia dell’UE per “Plasmare il futuro digitale dell’Europa” attraverso il potenziamento della cybersicurezza nell’economia europea basata sui dati. Questo regolamento promuove la sicurezza sin dalla fase di progettazione, stabilendo requisiti essenziali di sicurezza informatica per produttori, importatori e distributori di dispositivi e servizi connessi, che devono essere rispettati attraverso certificazioni, relazioni e valutazione della conformità.

Quali prodotti sono esentati dal Cyber Resilience Act?

Il Cyber Resilience Act esclude i dispositivi connessi già disciplinati da leggi settoriali specifiche, come i dispositivi medici, i dispositivi medico-diagnostici in vitro, i veicoli e le norme sull’aviazione civile. Inoltre, il regolamento non si applica ai servizi software-as-a-service a meno che tali servizi non siano parte di soluzioni complete di elaborazione remota dei dati per prodotti con elementi digitali. Il Cyber Resilience Act si concentra sul software open source gratuito sviluppato o fornito nell’ambito di attività commerciali, definendo l’attività commerciale come l’addebito per prodotti o servizi di supporto tecnico, la fornitura di una piattaforma software per la monetizzazione di altri servizi o l’uso di dati personali in modi che non migliorano la sicurezza, la compatibilità o l’interoperabilità.

La legge sulla cyber resilienza prevede anche la possibilità di norme settoriali future dopo la sua entrata in vigore, consentendo di modificare l’ambito di applicazione e le interazioni con il Cyber Resilience Act in base al raggiungimento di livelli di protezione della cybersicurezza da parte di leggi settoriali specifiche.

Quali categorie di prodotti copre il Cyber Resilience Act?

Il Cyber Resilience Act suddivide i prodotti interessati in tre categorie: Classe I, Classe II e Non classificato o predefinito. La categoria “Non classificato” si applica ai prodotti privi di vulnerabilità critiche della sicurezza informatica e le aziende responsabili di tali prodotti devono autovalutare le loro vulnerabilità per migliorarle. La maggior parte dei dispositivi connessi, come il software di fotoritocco, i videogiochi e altri software comuni, rientra in questa categoria.

I restanti prodotti sono suddivisi in Classe I e Classe II in base al loro livello di rischio, considerando fattori come l’esecuzione con privilegi, l’uso in ambienti sensibili, l’elaborazione di informazioni personali e altri criteri. La Classe I richiede l’applicazione di una norma o una valutazione di terze parti per dimostrare la conformità, mentre la Classe II richiede una valutazione di conformità di terze parti più approfondita.

Quali sono i prodotti di Classe I e Classe II nel Cyber Resilience Act?

I prodotti di Classe I comprendono software e hardware che presentano un livello di rischio di sicurezza informatica inferiore rispetto a quelli di Classe II ma più elevato rispetto alla categoria “Non classificato o predefinito”. Esempi di prodotti di Classe I includono software di gestione delle identità e degli accessi, browser, gestori di password, strumenti di rilevamento di software dannoso e molti altri.

I prodotti di Classe II, invece, sono prodotti ad alto rischio con elementi digitali e includono sistemi operativi, infrastruttura a chiave pubblica, firewall industriali, microprocessori per uso generale e molti altri.

Il Cyber Resilience Act stabilisce requisiti specifici per ciascuna di queste categorie, con procedure di valutazione della conformità più rigorose per i prodotti di Classe II, al fine di garantire che i prodotti ad alto rischio siano adeguatamente protetti contro le minacce informatiche.

In che modo il Cyber Resilience Act promuove la sicurezza informatica sin dalla fase di progettazione?

Il Cyber Resilience Act impone alle aziende di affrontare le questioni legate alla sicurezza delle informazioni e alle vulnerabilità della sicurezza informatica durante la fase iniziale di progettazione e sviluppo dei prodotti, una pratica conosciuta come “security-by-design”. Questa legislazione stabilisce i vari requisiti per i prodotti interessati, inclusi gli obblighi di informazione per le aziende verso gli utenti, le procedure di verifica della conformità per i prodotti ad alto rischio e la documentazione tecnica necessaria. Tuttavia, ciò che rende il Cyber Resilience Act “security-by-design” è soprattutto l’Allegato I, che definisce i “requisiti essenziali di sicurezza informatica” all’interno del regolamento. Questi requisiti comprendono la necessità di impostazioni di sicurezza predefinite e l’evitare di vulnerabilità già note.

L’Allegato I delinea anche i requisiti per la gestione delle vulnerabilità, definiti come “requisiti essenziali per i processi di gestione delle vulnerabilità implementati dai produttori per garantire la sicurezza informatica dei prodotti con elementi digitali per l’intero ciclo di vita”. Ciò implica che i produttori devono documentare e affrontare le vulnerabilità, garantendo che i prodotti e i servizi associati rispettino il Cyber Resilience Act durante tutto il loro ciclo di vita.

Quali sono i requisiti fondamentali per i dispositivi connessi secondo il Cyber Resilience Act?

In base al Cyber Resilience Act, i fabbricanti e gli sviluppatori devono progettare, sviluppare e produrre dispositivi connessi in conformità ai “requisiti essenziali di sicurezza”, come definiti nell’Allegato I del regolamento. Gli importatori devono assicurarsi che solo prodotti conformi a questi requisiti siano messi sul mercato e che i fabbricanti rispettino i requisiti di gestione delle vulnerabilità. I distributori sono responsabili di garantire che i prodotti con elementi digitali abbiano il marchio di conformità e che i fabbricanti e gli importatori siano conformi ai requisiti essenziali previsti. In breve, questi requisiti essenziali creano obblighi per gli operatori economici che progettano, sviluppano, producono e distribuiscono prodotti con elementi digitali.

Per dimostrare la conformità, i produttori di tali prodotti devono condurre una valutazione del rischio di sicurezza informatica, inclusa nella documentazione tecnica, e segnalare dove i requisiti essenziali non siano applicabili. Devono anche aggiornare la valutazione del rischio del prodotto, mettere a punto un processo per rilevare e risolvere le vulnerabilità, rilasciare una dichiarazione di conformità UE e, se non riescono a rispettare il Cyber Resilience Act, informare le autorità di controllo del mercato della loro decisione di interrompere le operazioni.

Il Cyber Resilience Act suddivide i requisiti essenziali per i dispositivi connessi in due categorie principali:

Requisiti di sicurezza relativi alle caratteristiche dei prodotti.

Requisiti di gestione delle vulnerabilità per i produttori di tali prodotti.

Quali sono i requisiti essenziali di sicurezza per i dispositivi connessi?

Per soddisfare i requisiti essenziali di sicurezza, i dispositivi connessi e i loro produttori devono:

• Essere progettati, sviluppati e prodotti con un adeguato livello di sicurezza informatica.
• Non presentare vulnerabilità conosciute che possono essere sfruttate.
• Avere una configurazione sicura per impostazione predefinita.
• Proteggere l’accesso non autorizzato mediante autenticazione e gestione delle identità.
• Garantire la riservatezza dei dati attraverso la gestione e, se necessario, la crittografia dei dati pertinenti.
• Preservare l’integrità dei dati archiviati, trasmessi o elaborati.
• Limitare la raccolta di dati solo a quanto necessario per l’uso previsto.
• Evitare l’esclusione di funzioni o servizi essenziali.
• Minimizzare i periodi di inattività dei servizi forniti da altri dispositivi.
• Ridurre le aree di possibile attacco.
• Attenuare i possibili effetti di un incidente di sicurezza informatica.
• Registrare o monitorare le informazioni rilevanti per la sicurezza.
• Affrontare le vulnerabilità future attraverso aggiornamenti di sicurezza, preferibilmente distribuiti automaticamente con notifica agli utenti.

Quali sono i requisiti di gestione delle vulnerabilità per i produttori di dispositivi connessi?

I produttori devono attuare i seguenti requisiti per conformarsi ai requisiti essenziali di gestione delle vulnerabilità:

• Documentare le vulnerabilità e i componenti di un prodotto.
• Affrontare e risolvere le vulnerabilità tempestivamente.
• Soggetti a test e revisioni periodiche della sicurezza dei loro prodotti.
• Divulgare pubblicamente le informazioni sulle vulnerabilità risolte.
• Stabilire e applicare criteri di divulgazione coordinata delle vulnerabilità.
• Agevolare la condivisione delle informazioni sulle vulnerabilità e fornire un canale di comunicazione per le segnalazioni.
• Fornire meccanismi per la distribuzione sicura e tempestiva degli aggiornamenti per ridurre le vulnerabilità.
• Diffondere patch di sicurezza senza ritardo e gratuitamente, fornendo spiegazioni comprensibili agli utenti.

Come funzionano le valutazioni di conformità previste dal Cyber Resilience Act?

Per i prodotti classificati come Non classificati o di categoria predefinita, i produttori devono auto dichiarare che i loro prodotti sono conformi a tutti i requisiti essenziali di sicurezza e vulnerabilità. Devono fornire la documentazione tecnica, apporre il marchio di conformità e rilasciare una dichiarazione scritta di conformità UE.

I produttori di prodotti di Classe I devono sottoporsi a una valutazione di conformità condotta da terze parti o applicare standard armonizzati o schemi europei di certificazione della sicurezza informatica. I produttori di prodotti di Classe II possono dimostrare la conformità solo attraverso una valutazione di conformità condotta da terze parti. I dettagli specifici sulle procedure di valutazione della conformità sono descritti nell’Allegato VI del regolamento.

I produttori devono segnalare incidenti di sicurezza informatica?

Il Cyber Resilience Act impone ai produttori di notificare all’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) entro 24 ore dalla scoperta “di qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali” o di “qualsiasi incidente che influisce sulla sicurezza del prodotto con elementi digitali”. Inoltre, devono informare gli utenti del prodotto sull’incidente e sulle misure correttive necessarie per mitigarne l’impatto.

Gli importatori e i distributori di prodotti con elementi digitali devono anche segnalare tempestivamente al produttore le vulnerabilità della cybersicurezza. In caso di rischio significativo per la cybersicurezza, devono informare le autorità nazionali di vigilanza del mercato sulla non conformità e sulle azioni correttive intraprese.

In che modo il Cyber Resilience Act interagisce con il progetto di legge sull’intelligenza artificiale?

Il Cyber Resilience Act contiene disposizioni specifiche per i sistemi di intelligenza artificiale (IA) ad alto rischio, come definite nel progetto di legge sull’IA. Tali disposizioni si applicheranno solo ai sistemi di IA ad alto rischio definiti dal progetto di legge sull’IA.

I dispositivi connessi che rientrano nell’ambito di applicazione del Cyber Resilience Act e che rispettano i requisiti essenziali di sicurezza sin dalla progettazione saranno considerati conformi anche al progetto di legge sull’IA e saranno considerati adeguatamente protetti secondo la dichiarazione di conformità. Per la maggior parte di questi prodotti, si seguirà la procedura di valutazione della conformità prevista dalla legge sull’IA, e sarà responsabilità degli organismi di certificazione autorizzati verificare la conformità e rilasciare la notifica. I prodotti critici, come quelli di Classe I e Classe II definiti nell’Allegato III, dovranno seguire la procedura di valutazione della conformità del Cyber Resilience Act insieme ai requisiti dell’AI Act “per quanto riguarda i requisiti essenziali del Cyber Resilience Act.

Chi supervisionerà l’attuazione e l’applicazione della legge?

L’attuazione e l’applicazione del Cyber Resilience Act saranno affidate alle autorità di vigilanza del mercato designate dagli Stati membri. Ciascuno Stato membro può scegliere una o più autorità già esistenti o istituire nuove autorità per svolgere il ruolo di autorità di vigilanza del mercato. Queste istituzioni collaboreranno con le autorità designate in base al regolamento NIS2 o al regolamento del 2019 sull’Agenzia dell’Unione europea per la cybersicurezza e sulla certificazione della cybersicurezza delle tecnologie dell’informazione e della comunicazione. Le autorità di vigilanza del mercato saranno autorizzate a cooperare tra loro e con l’ENISA, condurre indagini approfondite per migliorare ulteriormente la cybersicurezza dei prodotti e presentare rapporti annuali alla Commissione. Tali autorità avranno l’autorità di imporre sanzioni amministrative, come previsto dal Cyber Resilience Act.

Quali sono le sanzioni per le violazioni?

Il mancato rispetto dei requisiti e degli obblighi essenziali delineati nell’Allegato I, secondo quanto stabilito agli articoli 10 e 11 del Cyber Resilience Act, può comportare sanzioni amministrative fino a 15 milioni di euro o al 2,5% del fatturato annuo globale per l’anno fiscale precedente, a seconda di quale sia il valore più alto.

Per altre violazioni degli obblighi previsti dal regolamento, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale per l’anno fiscale precedente, a seconda di quale sia il valore maggiore.

Fornire deliberatamente informazioni false, incomplete o manipolate alle autorità di vigilanza del mercato può comportare una multa di 5 milioni di euro o dell’1% del fatturato annuo globale per l’anno fiscale precedente, a seconda di quale sia il valore più alto.

Gli Stati membri possono stabilire norme di sanzioni efficaci, proporzionate e dissuasive per le imprese che violano il regolamento sulla cyber resilienza, purché notifichino tali norme, misure e successive modifiche alla Commissione. Le autorità di vigilanza del mercato possono anche vietare o limitare la disponibilità di prodotti nel caso in cui il produttore, l’importatore, il distributore o un’altra azienda non sia conforme al regolamento.

Cosa succederà in seguito?

Dopo la presentazione del testo da parte della Commissione europea, il Cyber Resilience Act sarà oggetto di un processo legislativo nel Parlamento europeo. Il Parlamento europeo e il Consiglio discuteranno, esamineranno e, se necessario, proporranno modifiche al regolamento sulla cyber resilienza.

Una volta adottato, il regolamento sarà attuato in due fasi. Nei primi dodici mesi, i produttori e gli sviluppatori di dispositivi connessi saranno tenuti a segnalare le vulnerabilità e le violazioni della sicurezza informatica sfruttate. Successivamente, entro ventiquattro mesi, gli Stati membri e le imprese coinvolte avranno due anni di tempo per adeguarsi ai nuovi requisiti stabiliti dal Cyber Resilience Act una volta entrato in vigore. Dopo l’attuazione, la Commissione può riesaminare il regolamento e sviluppare ulteriori leggi settoriali per affrontare le vulnerabilità che persistono all’interno del quadro generale. Dodici mesi dopo l’entrata in vigore del regolamento sulla cyber resilienza, la Commissione può adottare atti delegati per specificare le definizioni delle categorie di prodotti appartenenti alle classi I e II, come previsto all’articolo 6 del regolamento.