Lo scorso 12 marzo, il Parlamento UE ha approvato ufficialmente il Cyber Resilience Act, segnando un importante passo in avanti in tema di cybersicurezza dei prodotti immessi nel mercato.
Ambito di applicazione
Il Cyber Resilience Act si pone come obiettivo quello di andare a sopperire alle lacune normative in ambito di sicurezza dei prodotti con elementi digitali, difatti, non si applicherà a quei prodotti per i quali è già prevista una normativa ad hoc, quali:
- i dispositivi medici già regolati dal Regolamento (UE) 2017/745
- i dispositivi medico-diagnostici in vitro già regolati dal Regolamento (UE) 2917/746
- i veicoli a motore e relativi componenti, già regolati dal Regolamento (UE) 2019/2144,
- i prodotti con elementi digitali certificati in conformità con il Regolamento (UE) 2018/1139
Sono esclusi poi, in generale, i prodotti coperti da eventuali norme settoriali che garantiscano un analogo livello di sicurezza.
Inoltre, il Regolamento non si applicherà allo stesso modo a tutti i prodotti, bensì questi vengono suddivisi in tre categorie:
- prodotti con elementi digitali;
- prodotti con elementi digitali importanti suddivisi in classe I e II; e
- prodotti con elementi digitali critici.
In base a questa suddivisione, quindi saranno previsti obblighi diversificati soprattutto in tema di valutazione di conformità.
Il Regolamento, inoltre specifica che, salvo per quanto riguarda i requisiti relativi all’accuratezza e alla robustezza previsti dall’AI Act, le disposizioni ivi contenute si applicheranno anche ai sistemi di AI ad alto rischio e, a certe condizioni, la valutazione di conformità ai sensi del Cyber Resilience Act potrà essere effettuata nell’ambito della valutazione di conformità ai sensi dell’AI Act, creando quindi un dialogo tra le due discipline.
Obblighi ai fabbricanti, importatori e distributori
Il Cyber Resilience Act pone obblighi differenziati in capo ai fabbricanti, agli importatori ed ai distributori, con responsabilità più gravi in capo il primo.
In particolare, per quanto riguarda gli obblighi dei fabbricanti, si evidenzia che questi avranno il compito di, tra gli altri, di:
- effettuare una valutazione dei rischi di cibersicurezza associati a un prodotto con elementi digitali e di tenere in considerazione i risultati di tale valutazione durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto;
- segnalare alla persona o al soggetto che si occupa della fabbricazione o della manutenzione del componente un’eventuale vulnerabilità in quest’ultimo, e affrontare e correggere tale vulnerabilità conformemente ai requisiti di gestione previsti dal Cyber Resilience Act;
- documentare sistematicamente gli aspetti di cibersicurezza relativi al prodotto con elementi digitali, tenendo anche aggiornata la valutazione dei rischi di cibersicurezza del prodotto;
- prevedere un periodo di assistenza del prodotto durante il quale dovrà essere garantito che le vulnerabilità verranno gestite in modo efficace ed in conformità al Cyber Resilience Act. Tale periodo di assistenza dovrà essere predeterminato tenendo in considerazione, tra gli altri aspetti, il periodo di utilizzo previsto del prodotto, la ragionevole aspettativa dell’utilizzatore e la natura del prodotto;
- redigere una documentazione tecnica secondo quanto previsto all’interno del Regolamento ed eseguire o far eseguire (nel caso di prodotti con elementi digitali importanti e prodotti con elementi digitali critici) le procedure di valutazione della conformità, al cui esito positivo verrà consegnata una dichiarazione di conformità UE. Tale documentazione dovrà essere conservata per almeno 10 anni, o per un periodo pari alla durata del periodo di assistenza nel caso in cui quest’ultimo sia più lungo;
- designare un punto di contatto per consentire agli utilizzatori di comunicare direttamente e rapidamente, in modo anche da facilitare la segnalazione di vulnerabilità del prodotto con elementi digitali; e
- notificare al CSIRT designato come coordinatore e all’ENISA le vulnerabilità attivamente sfruttate nei propri prodotti e gli incidenti gravi di cui viene a conoscenza.
Gli importatori e i distributori invece avranno obblighi più lievi, che si sostanziano nel controllare che il fabbricante (e anche l’importatore, nel caso del distributore) abbia adempiuto ai propri obblighi informativi e di documentazione. Inoltre, dovranno evitare di immettere il prodotto sul mercanto nel caso in cui ritengano o abbiano motivo di ritenere che un prodotto con elementi digitali o i processi messi in atto dal fabbricante non siano conformi al Cyber Resilience Act. Nel caso in cui il prodotto sia già stato immesso nel mercato, dovranno comunque adottare misure correttive o se è il caso, ritirare o richiamare il prodotto. Infine, dovranno segnalare al fabbricante eventuali vulnerabilità del prodotto di cui dovessero venire a conoscenza.
È importante sottolineare tuttavia che un importatore o distributore potrà essere considerato un fabbricante ai fini del Cyber Resilience Act, e quindi essere soggetto agli obblighi previsti per quest’ultimo, qualora immetta sul mercato un prodotto con elementi digitali con il proprio nome o marchio commerciale o apporti una modifica sostanziale a un prodotto con elementi digitali già immesso sul mercato.
Conclusioni
È evidente che il Cyber Resilience Act apporterà una serie di nuovi adempimenti che i fabbricanti di prodotti con elementi digitali dovranno rispettare. Sarà necessario quindi che le aziende inizino a familiarizzare con il testo normativo in modo da adottare prontamente misure e policy per valutare i rischi di cibersicurezza, anche durante il periodo di assistenza del prodotto oltre che prepararsi a predisporre relativa documentazione tecnica. Ad ora il Regolamento è stato approvato dal solo Parlamento, manca quindi l’approvazione della Commissione affinché il Cyber Resilience Act diventi legge.
Nella stessa settimana è stato approvato anche l’AI Act, per saperne di più, può essere d’interesse l’articolo AI Act Finalizzato: Ecco Cosa E’ Stato Concordato