Il Parlamento europeo ha recentemente approvato il Cyber Resilience Act (CRA), un passo chiave verso la regolamentazione della sicurezza informatica nell’Unione Europea. Questo regolamento, una volta formalmente approvato dal Consiglio Europeo, avrà un impatto significativo sui prodotti digitali immessi sul mercato europeo, ponendo requisiti specifici di sicurezza per garantire una maggiore resilienza cibernetica. Si tratta di un’iniziativa destinata a migliorare la sicurezza complessiva dei prodotti digitali, che copre una vasta gamma di dispositivi, dal software alle videocamere di sorveglianza, fino ai dispositivi per la domotica e i plc industriali. Il CRA si applica a tutti i prodotti con componenti connessi a dispositivi o reti, escludendo solo alcune categorie già coperte da normative verticali simili, come i dispositivi medici.

Inoltre, il CRA è applicabile anche al software open-source solo se viene commercializzato. Questo equilibrio tra la promozione dello sviluppo del software e la protezione degli utenti è stato un punto cruciale durante la definizione del testo del regolamento. Infine, il CRA include anche i servizi di elaborazione dati remota come parte del concetto di “prodotto”, assicurando che questi siano soggetti agli stessi standard di sicurezza. Il CRA impone requisiti sia ai produttori che agli importatori e distributori di prodotti, soprattutto per quelli provenienti da fuori dell’Unione Europea. Questi requisiti si suddividono in due categorie principali: requisiti per i prodotti e requisiti per i processi di gestione della conformità.

I requisiti per i prodotti sono dettagliati nell’allegato I del regolamento e comprendono diverse disposizioni. In primo luogo, si richiede l’assenza di vulnerabilità conosciute al momento dell’immissione sul mercato, sia per i prodotti stessi che per i loro componenti. Inoltre, si richiede la gestione delle vulnerabilità e degli aggiornamenti durante il ciclo di vita del prodotto, con particolare attenzione a separare gli aggiornamenti funzionali da quelli di sicurezza e a fornire strumenti per gli aggiornamenti automatici. Altri requisiti includono pratiche di sicurezza consolidate come la progettazione sicura, configurazioni predefinite sicure e meccanismi di autenticazione e tracciamento degli eventi di sicurezza. La gestione delle vulnerabilità è al centro del CRA, con disposizioni anche per la divulgazione delle vulnerabilità sia all’ENISA che agli utenti. Complessivamente, i requisiti non sono radicalmente diversi da quelli già seguiti da molti produttori di software più maturi, ma rappresentano un notevole passo avanti per le piccole aziende meno strutturate o per i prodotti importati dall’estero. Il regolamento cerca di mitigare gli oneri per le piccole imprese e promuovere l’innovazione, ad esempio attraverso la creazione di ambienti di test controllati per prodotti innovativi, specialmente per le microimprese e le PMI.

Il Cyber Resilience Act richiede che i prodotti con componenti digitali, inclusi quelli software, siano conformi ai requisiti stabiliti e portino il marchio CE. Questo regolamento mira a sollevare gli utenti dall’onere di valutare la sicurezza informatica dei prodotti, fornendo garanzie predefinite.

Analogamente all’approvazione di un’automobile, i prodotti digitali dovrebbero essere immessi sul mercato con certe garanzie di sicurezza, rendendo superfluo per l’utente il doverle verificare. Sarà fornita documentazione dettagliata sull’utilizzo sicuro dei prodotti. I prodotti saranno categorizzati in base alla criticità, con procedure di certificazione specifiche per quelli altamente critici. La norma mira a creare un mercato UE uniforme per i produttori, semplificando i requisiti di conformità e rendendo più accessibile il mercato europeo e le aziende avranno 36 mesi per adeguarsi alla normativa, ma è consigliabile iniziare a operare secondo i principi indicati fin da subito.

Visualizzazioni: 12