by

Nel ruolo di consulente privacy delle autorità europee, l’EDPS (European Data Protection Supervisory) ha rilasciato il proprio Parere lo scorso 9 novembre 2022 in merito alla Proposta di regolamento europeo sui requisiti di cybersicurezza per i prodotti che presentano elementi digitali.

Con l’obiettivo di migliorare il funzionamento del mercato interno dell’Unione, i legislatori europei hanno infatti aggiunto un ulteriore atto legislativo al panorama di cibersicurezza per l’immissione in commercio di prodotti con elementi digitali. L’intento della proposta di regolamento 2019/1020 è chiaro: Parlamento e Consiglio vogliono ridurre le vulnerabilità di cibersicurezza per hardware e software immessi sul mercato Unico, ponendo condizioni limite per lo sviluppo di questi prodotti, il cui ciclo di vita viene fatto ruotare attorno all’elemento cardine della sicurezza. Infatti, in un mercato dalla forte dimensione transfrontaliera come quello dell’UE, gli incidenti nel campo del digitale, che inizialmente interessano un singolo soggetto o un singolo stato, spesso si riverberano su una scala più estesa, arrivando a perturbare fino addirittura a paralizzare le attività economico-sociali dell’Unione.

Come inquadrare la Proposta nell’attuale panorama europeo di cybersicurezza?

I problemi da risolvere. I miglioramenti che si intendono apportare con questo nuovo atto legislativo interessano due aspetti principali: in primo luogo, infatti, la Proposta si prefigge di aumentare il livello di cibersicurezza dei prodotti con elementi digitali, messa a dura prova dai numerosi malfunzionamenti e dall’insufficienza e incoerenza degli aggiornamenti proposti a copertura di queste lacune operative. Inoltre, i legislatori UE intendono porre rimedio alla limitata comprensione e accesso che gli utilizzatori di prodotti con elementi digitali hanno rispetto alle informazioni per usufruirne in sicurezza, sfruttando al meglio proprietà di cibersicurezza che dovrebbero essere presenti nel prodotto sin dalla fase di progettazione, come default.

Contesto normativo di riferimento. La volontà di rendere più coerente e chiaro il novero di atti di legge in tema di cibersicurezza non è una novità per i legislatori UE. Negli ultimi anni, infatti, complice il sempre più crescente verificarsi di attacchi informatici a prodotti hardware e software andati a segno, numerosi sono stati gli interventi normativi in quest’ambito. Tra i principali troviamo:

  • Direttiva 2013/40 sugli attacchi ai sistemi informatici, che ne ha armonizzato la criminalizzazione ed il relativo regime sanzionatorio
  • Direttiva 2016/1148 (NIS1): il primo atto legislativo a livello europeo in tema di cibersicurezza.
  • Direttiva NIS2, revisione della NIS1, che ha aumentato i livelli di sicurezza riguardanti i servizi ICT.
  • EU Cybersecurity act, che nel 2019 ha introdotto una cornice europea di certificazione volontaria di cibersicurezza.
  • Regolamento DORA (Digital Operational Resilience Act), che da questo mese consolida e armonizzare a livello europeo i principali requisiti di cibersicurezza con riferimento alla resilienza operativa digitale nel settore finanziario.

L’obiettivo della Proposta è quello di integrare e uniformare a livello europeo i requisiti che i produttori di dispositivi con elementi digitali devono (indirettamente) rispettare, assieme ai responsabili del trattamento dei dati che li utilizzano e devono quindi garantire in prima persona il rispetto della normativa privacy nei confronti degli utenti finali interessati. L’esigenza di un’ulteriore disciplina in materia nasce dal fatto che la normativa sopra citata si applica solo ad alcuni prodotti con elementi digitali, mentre la maggior parte di hardware e software rimane scoperta, in particolare rispetto al software non incorporato.

Area di operatività. Concretamente, la Proposta di regolamento ricopre un’ampia gamma di prodotti hardware e software, tra cui, a titolo di esempio, browser, sistemi operativi, firewall, sistemi di gestione di rete, smart meters, routers etc. In sostanza, si tratta di “tutti i prodotti con elementi digitali il cui uso previsto e ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete”. Nel Regolamento così proposto, si vuole anche chiarire cosa rimane escludo dai requisiti indicati al suo interno. In particolare, non ricadono all’interno del perimetro di cibersicurezza delineato i seguenti prodotti: i dispositivi medici per uso umano, i dispositivi medico-diagnostici in vitro, i Software-as-a-Service (SaaS), i veicoli a motore ed i prodotti utilizzati esclusivamente per scopi di sicurezza nazionale o per usi militari per trattare informazioni riservate. Per quanto riguarda i soggetti interessati invece, la Proposta individua requisiti che coinvolgono direttamente gli operatori economici che, come responsabili del trattamento di dati personali, utilizzando questi prodotti con elementi digitali e si ritrovano a dover garantire la conformità del trattamento dei dati con il Regolamento EU n. 679/2016 (GDPR). Nel fare ciò però, i vari operatori economici saranno portati a prendere delle decisioni in merito ai dispositivi di cui far uso per tutelare i propri consumatori ed i loro dati personali. La scelta presa a valle ha in realtà un effetto a ritroso su tutta la catena di produzione, spingendo anche i fabbricanti di questi prodotti a prevedere per default delle impostazioni “privacy-friendly” nei dispositivi immessi sul mercato. Solo così, infatti, potranno sperare di essere scelti rispetto agli altri produttori e rimanere competitivi.

Quali sono i contenuti principali della Proposta?

Una panoramica in quattro punti. I principali elementi di ritocco rispetto al quadro normativo presentato riguardano:

  1. regole per l’inserimento nel mercato di prodotti contenenti elementi digitali in modo da garantirne il rispetto di requisiti di regole per l’inserimento nel mercato di prodotti contenenti elementi digitali in modo da garantirne il rispetto di requisiti di cibersicurezza;;
  2. requisiti essenziali per il design, lo sviluppo, la produzione, i processi di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti rispetto alla requisiti essenziali per il design, lo sviluppo, la produzione, i processi di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti rispetto alla cibersicurezza;
  3. requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cibersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita dei dispositivi e obblighi per gli operatori economici in relazione a tali processi; dei prodotti con elementi digitali durante l’intero ciclo di vita dei dispositivi e obblighi per gli operatori economici in relazione a tali processi;
  4. regole sulla vigilanza del mercato e l’applicazione delle misure sopra indicate.

Come si esprime l’EDPS sulla proposta relativa alla cybersicurezza dei prodotti con elementi digitali

Privacy by design e by default. Come detto, gli obblighi delineati dalla Proposta si ripercuotono indirettamente anche sui produttori, imponendo loro di progettare già nella fase di design del prodotto i requisiti di tutela della privacy necessari a garantirne un uso in linea con il rispetto della normativa in tema di cybersicurezza. Per esempio, prevedere di default tecniche quali la pseudonimizzazione e la criptazione permette di trattare in una fase successiva solo i dati strettamente necessari alle finalità individuate, evitando di dover gestire un generico flusso di informazioni che creerebbe non pochi problemi rispetto ai dettami del GDPR. L’EDPS accoglie con favore le misure in tema di privacy by design, volte a rendere punto centrale della cybersicurezza europea tutti quei requisiti basati su sicurezza e minimizzazione.

Certificazioni di cybersicurezza e standardizzazione. Su standard e certificati che attestino il rispetto dei requisiti minimi di cybersicurezza europei, l’EDPS ricorda l’importanza di creare sinergie tra le varie entità europee che si occupano di individuare e rilasciare tali attestazioni, chiarendo il tipo di cooperazione da creare tra le varie autorità pertinenti. L’inserimento di indicazioni puntuali ed operative su come coordinare questa condivisione di informazioni permetterà di trasferire in concreto quanto, ad ora, resta solo un auspicio di collaborazione inserito nella Proposta.

In conclusione, l’EDPS accoglie di buon occhio la Proposta dei legislatori europei, fornendo indicazioni volte perlopiù a incrementare ulteriormente l’effettività di quanto predisposto nel regolamento. Una volta approvato, il regolamento in questione andrà ad arricchire il panorama di misure di cybersicurezza a tutela dei cittadini europei.

A tale fine, potrebbero essere di interesse i seguenti articoli: Regolamento DORA approvato : nuovi obblighi di cybersecurity (dirittoaldigitale.com) e La Direttiva NIS2 approvata – novità in materia cybersecurity (dirittoaldigitale.com).

 

(Visited 78 times, 1 visits today)
Close Search Window