Latest news

Cyber Resilience Act: panoramica della bozza di regolamentazione UE

L’Unione Europea (UE) continua a svolgere un ruolo di primo piano nell’ambito delle normative sulla cybersecurity. Un notevole sviluppo in questo contesto è rappresentato dall’Atto sulla Resilienza Cibernetica (CRA), una proposta regolamentare mirata a promuovere la creazione e la commercializzazione di prodotti sicuri contenenti componenti digitali (PDE).

Il CRA è concepito come un complemento alla Direttiva NIS2, che si concentra sulla sicurezza cibernetica nei servizi forniti da entità ritenute di importanza critica nell’UE. Queste due regolamentazioni costituiscono elementi fondamentali di un quadro normativo completo che l’UE ha rafforzato negli ultimi anni per affrontare le sfide crescenti legate alla sicurezza informatica.

cyber resilience act panoramica della bozza di regolamentazione ue

Prodotti con Elementi Digitali (PDE) e obiettivi del Cyber Resilience Act (CRA)

Nel settembre 2022, la Commissione Europea ha reso pubblica la bozza del CRA, l’Atto sulla Resilienza Cibernetica. Questa proposta normativa mira a potenziare la sicurezza dei Prodotti con Elementi Digitali (PDE), ponendo un’enfasi significativa sulla loro fase di pianificazione, progettazione, sviluppo, commercializzazione e manutenzione.

Allo stesso tempo, cerca di promuovere la tempestiva segnalazione dell’exploit di vulnerabilità o di altri incidenti legati alla sicurezza informatica associati a questi prodotti. Il CRA si estenderebbe a un’ampia gamma di operatori economici, inclusi i produttori di PDE e coloro che gestiscono la loro produzione, importazione o distribuzione nell’ambito del mercato dell’Unione Europea (UE).

Ma cosa si intende concretamente per “Prodotti con Elementi Digitali” (PDE)? La bozza definisce i PDE come “qualsiasi prodotto software o hardware e relative soluzioni di elaborazione dati remote, compresi componenti software o hardware da mettere sul mercato separatamente.” Importante sottolineare che i PDE comprendono anche “prodotti il cui utilizzo previsto e ragionevolmente prevedibile include una connessione logica o fisica diretta o indiretta a un dispositivo o a una rete.” Di conseguenza, il termine PDE non si riferisce solo alle applicazioni e al software, ma può anche abbracciare dispositivi fisici o hardware come smart TV, frigoriferi, baby monitor, telecamere per la casa, smartwatch, e molti altri.

Il CRA affronta diverse problematiche legate ai PDE, soprattutto il fatto che, al momento, molte normative dell’UE riguardano solo una parte limitata di essi dal punto di vista della sicurezza. Ciò significa che molti PDE entrano sul mercato con livelli insufficienti di sicurezza informatica, creando potenziali vulnerabilità che possono interessare non solo singole organizzazioni, ma anche l’intera catena di approvvigionamento. Inoltre, alcuni di questi prodotti non ricevono la manutenzione adeguata e non forniscono sufficienti informazioni agli utenti sulla loro sicurezza.

I principi e gli obiettivi del CRA riflettono le intenzioni delle linee guida sulla sicurezza per la progettazione e la predefinizione discusse alcuni mesi fa. L’UE desidera che le aziende coinvolte nella produzione o nell’ambito dei PDE mettano in atto principi di sicurezza affidabili fin dalla fase iniziale e per tutto il ciclo di vita di questi prodotti. L’obiettivo è quello di portare sul mercato PDE con il minor numero possibile di vulnerabilità e garantirne la manutenzione continua. Inoltre, si prevede che gli utenti possano considerare la sicurezza informatica come un criterio di valutazione nella scelta dei Prodotti con Elementi Digitali (PDE) sul mercato, beneficiandone sia a livello personale che organizzativo.

Il CRA stabilisce alcune categorie di PDE “critici” per i quali sono previste regole specifiche e più rigorose. Questi prodotti critici sono suddivisi in due classi, con la “classe II” rappresentante il livello di rischio più elevato per la sicurezza informatica. La classificazione di un PDE come “critico” si basa sulla gravità e sulla portata del potenziale impatto derivante dall’exploit delle vulnerabilità in esso presenti. Si presta particolare attenzione se tali prodotti operano in contesti sensibili o svolgono funzioni critiche, quali l’elaborazione di dati confidenziali, ad esempio.

I PDE di “classe I” comprendono software per la gestione di accessi privilegiati, gestori di password, browser autonomi e integrati, sistemi di gestione di reti e sistemi di gestione della configurazione delle applicazioni, tra molti altri. I PDE di “classe II” includono sistemi operativi per server, desktop e dispositivi mobili, microprocessori a uso generico e criptoprocessori sicuri, tra altri. Firewall, sistemi di rilevamento o prevenzione delle intrusioni, nonché router, modem e switch possono rientrare in una delle due classi, con quelli a uso industriale che verrebbero classificati in “classe II”.

Il CRA non si applicherebbe a determinati PDE, in quanto sono già coperti da altre normative. Questi includono prodotti destinati all’uso medico, all’aviazione civile, ai veicoli a motore, alla sicurezza nazionale o a scopi militari. Inoltre, il CRA non riguarderebbe i servizi cloud, come il Software come Servizio (SaaS), né il software libero e open source (FOSS) sviluppato o fornito al di fuori di un contesto commerciale.

Allo stesso modo, non si applicherebbe ai PDE che sono stati immessi sul mercato prima dell’entrata in vigore del regolamento, a meno che non subiscano modifiche significative che influenzino il loro livello di rischio per la sicurezza informatica. Ciò che rimarrebbe costante per tutti i PDE nell’ambito di applicazione del CRA è l’obbligo di segnalare vulnerabilità e incidenti.

cyber resilience act panoramica della bozza di regolamentazione ue

Cyber Resilience Act: obblighi da rispettare per gli operatori economici

Gli operatori economici coinvolti nella produzione e commercializzazione dei Dispositivi Elettronici connessi (PDEs) devono adempiere a determinati requisiti al fine di garantire la sicurezza cibernetica e la conformità alle normative. Ecco gli obblighi principali:

Valutazione continua dei rischi

I produttori di PDEs sono tenuti a effettuare valutazioni continue dei rischi durante le fasi di progettazione, sviluppo e produzione. L’obiettivo è garantire l’assenza di vulnerabilità di sicurezza che potrebbero essere sfruttate. Ciò include la fornitura di prodotti con configurazioni predefinite sicure, l’implementazione di meccanismi di controllo appropriati, la crittografia dei dati sensibili in fase di riposo e in transito e la memorizzazione e l’elaborazione dei dati strettamente necessari.

Gestione dei componenti software di terze parti

Il CRA sottolinea l’importanza della gestione diligente dei componenti software di terze parti integrati nei PDEs. Si richiede di effettuare inventari dei componenti e delle dipendenze, noti come elenchi dei materiali software (SBOMs).

Risoluzione delle vulnerabilità

Una volta che i PDEs sono sul mercato, le vulnerabilità identificate devono essere risolte tempestivamente. Gli utenti devono ricevere patch, aggiornamenti e istruzioni relative. Gli utenti dovrebbero anche essere informati in caso di incidenti di sicurezza per consentire una risposta rapida.

Politiche e procedure di gestione delle vulnerabilità

I produttori devono avere e mantenere politiche e procedure adeguate per la documentazione, la gestione, la risoluzione e la divulgazione delle vulnerabilità segnalate da fonti interne ed esterne.

Segnalazione delle vulnerabilità

Le vulnerabilità e gli incidenti di sicurezza informatica relativi ai PDEs devono essere segnalati all’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) entro 24 ore dalla loro identificazione, includendo dettagli sulla vulnerabilità e sulle azioni intraprese.

Informazioni agli utenti

Gli utenti dei PDEs dovrebbero essere informati su aspetti di sicurezza cibernetica che riguardano la selezione e l’uso dei prodotti, oltre alle loro funzionalità.

Dichiarazione di conformità e documentazione tecnica

Ogni produttore deve redigere e mantenere una dichiarazione di conformità all’UE, insieme a una documentazione tecnica che espone i mezzi utilizzati per garantire la conformità ai requisiti del regolamento. Inoltre, devono sottoporsi a processi di valutazione della conformità.

Importatori e distributori

Gli importatori e distributori devono mettere sul mercato solo PDE conformi ai requisiti fondamentali del regolamento. Se scoprono rischi di sicurezza informatica in PDE associati a loro, devono notificarli al produttore e alle autorità competenti.

Rispettare questi obblighi è essenziale per garantire la sicurezza cibernetica e la conformità delle apparecchiature elettroniche connesse nel mercato dell’Unione Europea.

Cyber Resilience Act: potenziali sanzioni per violazioni

Le sanzioni per le violazioni del CRA saranno definite dagli Stati membri e seguiranno dei limiti già stabiliti, come segue:

  • la mancata conformità ai requisiti essenziali potrebbe comportare multe amministrative fino a 15 milioni di euro o, nel caso di un’azienda, fino al 2,5% del suo fatturato globale totale dell’anno finanziario precedente, a seconda di quale sia l’importo più elevato.
  • In base a questa logica, le multe per la mancata conformità ad altre obbligazioni normative potrebbero arrivare fino a 10 milioni di euro o all’2% del fatturato globale.
  • Nel caso in cui vengano fornite informazioni errate, insufficienti o ingannevoli alle autorità competenti, le multe potrebbero raggiungere fino a 5 milioni di euro o all’1% del fatturato globale.

Nel calcolare l’ammontare delle multe in caso di violazione, l’autorità competente terrà conto di vari fattori, tra cui la gravità e la durata della violazione, le sue conseguenze, le dimensioni e la quota di mercato dell’operatore economico coinvolto.

Per quanto riguarda il futuro, questo regolamento entrerà in vigore poco dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, previo il processo di revisione e approvazione da parte del Consiglio dell’Unione Europea e del Parlamento Europeo. Inizialmente, si è dichiarato che il CRA sarebbe stato pienamente applicabile nel mercato europeo dopo 24 mesi dall’inizio, ma che, dopo i primi 12 mesi, i produttori avrebbero dovuto rispettare l’obbligo di segnalare vulnerabilità e incidenti. Tuttavia, tali condizioni potrebbero subire modifiche.

A luglio 2023, è stata pubblicata una nota stampa che ha informato sulla revisione della bozza del CRA da parte del Consiglio dell’Unione Europea e ha menzionato alcune delle modifiche suggerite. Queste modifiche hanno riguardato vari aspetti, tra cui la portata del regolamento, i destinatari delle segnalazioni di sfruttamento di vulnerabilità e altri incidenti, la complessità della dichiarazione di conformità, il supporto alle piccole imprese e microimprese e, come detto, le scadenze per l’attuazione del CRA, tra le altre cose.

Pertanto, al momento, la prudenza consiglia di attendere che le parti interessate raggiungano accordi espliciti e formali, che verranno resi pubblici in un documento ufficiale, al fine di comprenderne appieno i requisiti che entreranno in vigore con questo regolamento.

assume breach

Potenzia la tua sicurezza informatica: scopri i nostri corsi specializzati

In un mondo sempre più interconnesso, la sicurezza informatica è una priorità indiscussa, e l’evoluzione delle normative in ambito cibernetico riflette questa crescente consapevolezza. Alla luce di ciò, la formazione e l’aggiornamento delle competenze sono diventati cruciali per affrontare le sfide della cibersicurezza in modo efficace.

In Nexsys, comprendiamo l’importanza di restare al passo con l’evoluzione delle minacce e delle normative. Ecco perché offriamo corsi di formazione altamente specializzati, come il Corso di Ethical Hacking Avanzato e il Corso Blue Team, progettati per equipaggiare gli esperti di sicurezza informatica e le squadre di difesa cibernetica con le competenze necessarie per affrontare le sfide di oggi e domani.

Se vuoi saperne di più su come i nostri corsi di formazione possono aiutarti a rafforzare la sicurezza informatica della tua organizzazione, ti invitiamo a contattarci. La tua sicurezza e la protezione dei tuoi dati sono la nostra priorità, e siamo pronti a collaborare con te per garantire un ambiente digitale sicuro e protetto. Non aspettare: investi nella tua sicurezza informatica oggi stesso.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!