Il quadro normativo europeo sulla cybersecurity si rafforza ulteriormente con l’aggiunta di un altro tassello, grazie all’entrata in vigore lo scorso 10 dicembre 2024 del Cyber Resilience Act (EU CRA). Presentato dalla Commissione Europea nel settembre 2022, il nuovo regolamento europeo stabilisce norme comuni per armonizzare la gestione della sicurezza informatica da parte dei produttori di prodotti e servizi connessi. Il nuovo Regolamento, che avrà effetto a partire da 18 mesi dall’entrata in vigore, entrando pertanto del tutto in esercizio dal 2027, è volto a migliorare la cybersecurity e la protezione delle infrastrutture digitali europee, rafforzando i requisiti di sicurezza per dispositivi IT, OT, IoT e software venduti in Europa, riducendo in tal modo la superficie di attacco esposta alle minacce informatiche.
Al fine di incrementare la sicurezza dei loro prodotti, i produttori di dispositivi e servizi connessi cui il Regolamento è rivolto, inclusi dispositivi IoT e applicazioni digitali e software, dovranno pertanto rispettare rigorosi requisiti di sicurezza garantendo una gestione integrata della cybersecurity dei prodotti fin dalle loro prime fasi di progettazione. Si tratta di implementare un approccio noto come ‘security by design’, che comporta che la sicurezza informatica sia parte integrante dell’intero ciclo di vita del prodotto, e non qualcosa di aggiunto in un secondo momento.
Il Regolamento richiede altresì ai produttori di dispositivi e servizi connessi di provvedere alla riduzione dei rischi derivanti dalle vulnerabilità, introducendo l’obbligo di fornire a utilizzatori e consumatori aggiornamenti di sicurezza regolari e tempestivi. I produttori saranno inoltre tenuti a reagire in maniera tempestiva di fronte a eventuali vulnerabilità critiche, che possono insorgere al presentarsi di nuove minacce alla cyber sicurezza. Le aziende dovranno pertanto sviluppare meccanismi di gestione mirati a individuare e correggere tempestivamente le eventuali vulnerabilità, garantendo la protezione contro minacce emergenti e nuovi exploit.
Il Cyber Resilience Act aumenta anche le responsabilità dei produttori, introducendo per questi un obbligo di trasparenza e comunicazione legato alle politiche di gestione della sicurezza informatica, alla segnalazione delle vulnerabilità e all’obbligo di informare le autorità competenti in caso di violazioni alla sicurezza. Ai produttori sarà inoltre richiesto un maggior livello di documentazione riguardante i test di sicurezza condotti sui propri prodotti.
La Commissione prevede dunque un impatto positivo per i consumatori come conseguenza dell’adozione del nuovo Regolamento, che trarranno vantaggio dal potenziamento della sicurezza informatica dei prodotti e dei servizi acquistati. Il CRA farà infatti sì che dispositivi IoT e software siano progettati per essere nativamente più sicuri e facili da aggiornare, riducendo il rischio legato a vulnerabilità note, che spesso fungono da punto di ingresso per gli attaccanti. Consumatori ed end user beneficeranno altresì di una maggior informazione in tema di cybersecurity dei prodotti connessi, in quanto il Regolamento renderà le etichette di conformità alla sicurezza informatica un requisito obbligatorio per la commercializzazione di determinati prodotti. Rafforzando la sicurezza informatica intrinseca dei prodotti, il documento punta infine a ridurre la disuguaglianza in termini di cybersecurity tra grandi aziende e PMI, che per le loro dimensioni spesso non dispongono di risorse adeguate a dotarsi delle necessarie pratiche di sicurezza avanzate, o per aggiornare di continuo i loro prodotti.
Il Cyber Resilience Act va dunque a integrare e completare il quadro normativo sulla cybersecurity già esistente, che ricordiamo include la Direttiva europea 2022/2555 NIS2, che stabilisce misure di sicurezza informatica per la resilienza delle infrastrutture critiche nell’UE, e a livello italiano la Legge 105/2019, nota come ‘Legge sul perimetro di sicurezza nazionale cibernetica’, che stabilisce misure per la protezione delle infrastrutture digitali critiche nel nostro Paese, la Legge 90/2024 e la 138/2024, che regola l’adeguamento delle normative italiane in materia di sicurezza cibernetica, con attenzione particolare alla protezione delle infrastrutture critiche e al rafforzamento delle misure di prevenzione e risposta agli attacchi informatici a livello nazionale.
Commenti recenti