L’approvazione del Cyber Resilience Act, ad oggi ancora in fase di discussione, imporrebbe alle aziende di hardware e software l’adozione di requisiti di sicurezza informatica rafforzati sui propri prodotti.
Con il settimo articolo della rubrica CyberItalia, si fornisce una breve panoramica della proposta di Cyber Resilience Act e dei principali obblighi che il regolamento introdurrebbe sui produttori di prodotti digitali.
Il Cyber Resilience Act (CRA) è una proposta di regolamento della Commissione Europea volta a introdurre requisiti comuni di cybersicurezza per i prodotti con elementi digitali, sia hardware che software.
Quando? La proposta è stata presentata il 14 settembre 2022. Sia il Consiglio dell’UE, sia il Parlamento hanno raggiunto un testo di compromesso sulla proposta della Commissione, si attendono quindi ora i triloghi per arrivare all’approvazione del testo definitivo (atteso entro il 2023).
A chi si rivolge? Le previsioni del CRA sono rivolte alla catena di operatori economici che partecipano allo sviluppo, produzione e distribuzione di prodotti con elementi digitali, quindi essenzialmente:
- Fabbricanti (sviluppatore e produttore)
- Importatori
- Distributori
Dal punto di vista oggettivo, il Regolamento si focalizza sui prodotti con “elementi digitali”, in particolar modo il mondo dell’IoT e dei connected devices. Non sono coperti dal Regolamento i servizi SaS – che ricadono invece nella NIS 2 – alcuni specifici prodotti digitali coperti da normative settoriali e in generale le “attività non commerciali”. Su quest’ultima locuzione si sta catalizzando ampia parte di dibattito sul CRA, poiché una sua applicazione restrittiva avrebbe impatti significativi sulla sostenibilità di numerosi progetti di software open source in corso. Questi progetti, se sviluppati da aziende ma anche in alcuni casi da fondazioni non-profit, perderebbero infatti il loro status “non commerciale” e sarebbero quindi tenuti al rispetto di tutti gli obblighi previsti dal CRA, molti dei quali – come sottolineato da diversi membri della comunità OSS – non sarebbero compatibili con le caratteristiche dell’open source.
Cosa prevede? Obiettivo primario del CRA è affrontare lo scarso livello di sicurezza informatica e le vulnerabilità presenti in numerosi software e hardware sul mercato. Allo stesso tempo, il CRA mira a colmare la mancanza di informazioni esaustive sulle proprietà di sicurezza informatica dei prodotti digitali per consentire ai consumatori di fare scelte più consapevoli al momento dell’acquisto.
- Requisiti di sicurezza minimi – Rispetto al primo punto, la proposta di CRA intende garantire che i software e gli hardware resi disponibili sul mercato soddisfino determinati requisiti essenziali di cybersicurezza. Per ogni prodotto con elementi digitali sarà richiesta l’effettuazione di un cybersecurity risk assessment, che valuti il livello di vulnerabilità del prodotto e ne documenti il processo di gestione. Previsioni ancor più stringenti sono introdotte con riferimento a prodotti ritenuti “critici”, come web browser, firewalls, password manager – c.d. classe I – e sistemi operativi, CPUs – c.d. classe II. Questi prodotti dovranno infatti sottostare a specifiche procedure di valutazione di conformità effettuate da enti terzi notificati.
- Cybersecurity by design – A tal fine, la proposta di CRA impone ai fabbricanti di tenere conto della cybersicurezza dei prodotti già a partire dalla loro progettazione (“cybersecurity by design”), sulla base di una valutazione dei rischi, e garantirla durante l’intero ciclo vita del prodotto commercializzato.
- Segnalazione incidenti – Introduce inoltre in capo ai fabbricanti obblighi di segnalazione e notifica alle autorità competenti nel caso in cui vengano a conoscenza di un incidente di sicurezza o vulnerabilità sfruttate nei propri prodotti.
- Trasparenza – In relazione all’asimmetria informativa tra imprese e consumatori, la proposta CRA intende introdurre misure per migliorare la trasparenza sulla sicurezza dei prodotti hardware e software.
Sulla cybersicurezza vedi anche: CyberItalia: L’evoluzione normativa della cybersecurity in Italia (dirittoaldigitale.com); CyberItalia: Dalla Direttiva NIS 1 alla NIS 2 in pillole; CyberItalia: Prima normativa italiana cybersicurezza – il Decreto NIS in pillole (dirittoaldigitale.com); CyberItalia: Come il Cybersecurity Act cambia la cybersicurezza (dirittoaldigitale.com); CyberItalia: Perimetro di Sicurezza Nazionale Cibernetica (dirittoaldigitale.com); Come conformarsi al Regolamento DORA sulla cybersecurity (dirittoaldigitale.com)