Il marchio CE per la cyber security, Cyber Resilience Act, cos’è e come funziona.
La sicurezza informatica è un argomento che riguarda tutti, dalle grandi aziende ai singoli cittadini. Chiunque navighi in rete può subire attacchi di tipo informatico e per questo motivo la tematica della cyber security deve essere affrontata con normative trasversali. Queste regole devono andare a toccare differenti settori di mercato e tipologie di prodotti, attraverso regole valide per tutti.
In questo articolo vi parleremo della Cyber Resilience Act, una nuova norma definita dalla Commissione Europea.
Cyber Resilience Act, di cosa si tratta?
Questa nuova norma introdurrà requisiti obbligatori di cyber security per tutti i prodotti che hanno componenti digitali, lungo tutto il loro ciclo di vita. Sarà introdotto di fatto un “marchio CE” per la cyber security. Verranno imposti in questo modo dei requisiti precisi di cyber security nei confronti di tutti i prodotti commercializzati all’interno dell’Unione Europea. Determinati requisiti verranno imposti anche nei confronti dei produttori, estendendola poi ad importatori e distributori. Questa normativa non andrà a sostituire le normative Europee presenti in ambito di sicurezza informatica, infatti tutti i prodotti che possiedono già una certificazione di conformità secondo le preesistenti norme UE, continueranno ad essere considerati conformi anche per la nuova norma “Cyber Resilience Act”.
Il Cyber Resilience Act non è ancora stato ratificato, si tratta solo di una bozza molto dettagliata proposta dalla Commissione. Questa bozza dovrà ora essere esaminata dal Consiglio e dal Parlamento Europeo, per apportare le eventuali modifiche. Una volta superata anche questa fase, la norma potrà entrare in vigore.
Una volta entrata in vigore, le aziende avranno due anni per adeguarsi, mentre l’obbligo di notifica immediata degli incidenti di sicurezza legati al proprio prodotto, entrerà in vigore già dopo un anno dalla ratificazione della norma.
Riguarderà tutti questa nuova norma?
La risposta è no.
Questa nuova norma non riguarderà tutti i prodotti con componenti digitali che sono già coperti da norme specifiche per il “software embedded”, i dispositivi medicali e diagnostici, l’aviazione civile, i veicoli e l’ambito militare. In più non vengono toccati tutti quei servizi come ad esempio le applicazioni SaaS, con un’unica eccezione: quando questi servizi servono per l’elaborazione dei dati relativi ad un elemento connesso.
Come funzionerà e quali saranno gli obblighi per i produttori?
Questa nuova normativa imporrà che all’interno dell’Unione europea vengano commercializzati solamente prodotti con presente il marchio CE che siano sicuri digitalmente. Farà in modo che i produttori si comportino in modo da mantenere i prodotti sicuri durante tutto il loro ciclo di vita.
Stando a questa norma però non sarà così semplice attendere a questi passaggi.
Verrà considerato sicuro un prodotto solo se:
- è progettato e realizzato in modo tale da avere un livello di sicurezza proporzionato al livello di rischio agli attacchi a cui è sottoposto durante il suo utilizzo;
- non ha vulnerabilità al momento della vendita;
- possiede una configurazione sicura di base;
- è protetto da connessioni illecite;
- i dati che raccoglie sono strettamente legati al suo funzionamento e vengono tutelati;
- è prevista l’eliminazione di possibili vulnerabilità tramite aggiornamenti.
Un produttore, invece, verrà considerato affidabile se:
- rende disponibile l’elenco di tutti i componenti, sottoassiemi, semilavorati e materie prime necessari per realizzare un prodotto, in italiano definito “Distinta base”;
- in caso di eventuali vulnerabilità emette rapidamente patch gratuite;
- rende pubbliche e dettaglia le vulnerabilità che rileva e risolve;
- testa con regolarità la “solidità” dei prodotti che commercializza.
Ognuna di queste attività che vengono previste dal Cyber Resilience Act andranno svolte per tutto il ciclo di vita del prodotto o per un periodo minimo di 5 anni dalla sua immissione nel mercato.
Cosa prevede questa norma?
Questa nuova norma prevede una macro-categoria di prodotti e software per i quali basta una auto-certificazione del produttore. Come può essere facilmente intuibile il 90% dei prodotti rientra in questa categoria. Sotto la propria responsabilità, quindi, il produttore presenterà la documentazione richiesta in cui attesterà l’affidabilità del prodotto, secondo cui successivamente verrà apposto il marchio CE.
Nel restante 10% dei prodotti e software ritenuti a rischio sicurezza informatica detti “prodotti critici con elementi digitali”, rientrano tutti i prodotti che in qualche maniera hanno a che fare strettamente con la cyber security e i componenti di base dell’IT e dell’OT.
Quali sono gli obblighi per distributori ed importatori?
Anche importatori e distributori sono sottoposti a degli obblighi.
Prima di tutto non possono importare o distribuire prodotti e relativa documentazione che non siano certificati secondo la nuova norma. Sono obbligati anche ad agire direttamente nel caso scoprissero che un prodotto non è a norma avvisando tempestivamente le autorità e, nel caso dovesse essere necessario, ritirandolo dal mercato.
L’obbligo di certificazione di un prodotto ricade anche in generale su chiunque apporti modifiche digitali sostanziali ad un prodotto già sul mercato. Oppure sarà obbligatoria per tutti coloro che lo portino sul mercato con il proprio marchio.
In questi casi appena citati importatori, distributori e chiunque effettui questo tipo di modifiche al prodotto, verrà considerato alla stessa maniera dei produttori.
Il mercato come potrà reagire?
I principali venditori di prodotti appaiono già tutti in linea con la nuova norma e i loro prodotti spesso hanno già tutte le certificazioni adeguate. Per coloro che invece hanno a che fare con prodotti di fascia medio-bassa o bassa, la situazione cambia radicalmente essendo questo tipo di prodotti già noti per non essere spesso sicuri e poco o per nulla supportati.
Chi sorveglierà il rispetto della nuova norma?
A salvaguardare il rispetto della Cyber Resiliance Act sarà una regolare attività di sorveglianza che ogni stato membro UE affiderà ad un’autorità nazionale. Se da questa azione di sorveglianza dovesse emergere che un prodotto non risulta più essere sicuro come dichiarato al momento della commercializzazione, la sua distribuzione potrà anche essere bloccata. Questo avverrà dapprima nella nazione da cui è provenuta l’allerta e successivamente anche nelle altre nazioni dell’UE. Nel controllo e per una valutazione più approfondita di un prodotto segnalato potrà entrare in campo anche l’agenzia europea per la sicurezza, la quale avrà anche la possibilità di apporre in qualsiasi momento un blocco comunitario alla distribuzione di un prodotto.
La mancata osservazione di questa norma può portare a multe estremamente salate.
