La proposta EU Cyber ​​Resilience Act: cos’è e come può avere un impatto sulla catena di approvvigionamento

Il 15 settembre 2022 la Commissione europea ha pubblicato la sua proposta di nuovo regolamento che stabilisce i requisiti relativi alla sicurezza informatica per i prodotti con “elementi digitali”, noto come proposto Cyber ​​Resilience Act (il CRA).

La CRA introduce regole comuni di sicurezza informatica per produttori, sviluppatori e distributori di prodotti con elementi digitali, sia hardware che software. Le norme mirano a garantire che: (i) i prodotti e i software connessi immessi sul mercato dell’UE siano più sicuri; (ii) i produttori restano responsabili della sicurezza informatica per tutto il ciclo di vita di un prodotto; e (iii) i consumatori siano adeguatamente informati sulla sicurezza informatica dei prodotti che acquistano e utilizzano.

La CRA integra la “Direttiva NIS2” che sta attraversando anche il processo legislativo dell’UE. La direttiva NIS2 abrogherà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (l Direttiva NSI) e modificherà le norme sulla sicurezza delle reti e dei sistemi informativi. In particolare, la direttiva NIS2 amplierà il campo di applicazione delle entità tenute a conformarsi alle sue regole, specificherà misure tecniche, operative e organizzative minime e semplificherà gli obblighi di segnalazione degli incidenti al fine di evitare una segnalazione eccessiva.

Principali obblighi

  1. Requisiti essenziali di sicurezza informatica

Prodotti con elementi digitali (prodotti) saranno ammessi sul mercato solo se soddisfano i “requisiti essenziali di sicurezza informatica” di cui alla sezione 1 dell’allegato I della CRA. Questi requisiti di sicurezza sono di alto livello e redatti in modo ampio. Non sono nuovi, ma piuttosto codificano le buone pratiche esistenti. Per esempio:i prodotti devono proteggere la disponibilità delle funzioni essenziali, inclusa la resilienza e la mitigazione degli attacchi di negazione del servizio”.

  1. Requisiti di gestione delle vulnerabilità

I fabbricanti di prodotti devono inoltre rispettare vari requisiti relativi alla gestione delle vulnerabilità stabiliti nella sezione 2 dell’allegato I della CRA. I produttori devono disporre di politiche e procedure appropriate per garantire che le vulnerabilità siano affrontate in modo appropriato. Per esempio, “una volta che un aggiornamento della sicurezza è stato reso disponibile, i produttori devono divulgare pubblicamente le informazioni sulle vulnerabilità corrette e disporre di una politica sulla divulgazione coordinata delle vulnerabilità“.

  1. Requisiti aggiuntivi per prodotti “critici”.

Mentre tutti i prodotti che rientrano nell’ambito della CRA devono essere sottoposti a una procedura di valutazione della conformità di autocertificazione (ovvero il processo di valutazione della conformità del prodotto alle norme pertinenti – in questo caso i requisiti essenziali di sicurezza informatica sopra descritti), i “prodotti critici” devono essere sottoposti a una valutazione più formale con il coinvolgimento di un organismo centrale dell’UE selezionato dalle autorità nazionali degli Stati membri. L’allegato III divide i prodotti critici in due “classi”. I prodotti di Classe I includono software per sistemi di gestione delle identità e software di gestione degli accessi privilegiati, gestione delle password, sistemi di gestione del traffico di rete, mentre i prodotti di Classe II coprono sistemi operativi per server, desktop e dispositivi mobili. Entrambe le classi richiedono una valutazione della progettazione tecnica e dello sviluppo del prodotto da parte di un organismo centrale dell’UE (compresa l’esecuzione dei test) seguita da un’autovalutazione della conformità da parte del fabbricante o da una valutazione completa della garanzia della qualità da parte dell’organismo centrale dell’UE. L’elenco di tali organismi notificati sarà disponibile centralmente su un nuovo strumento di notifica elettronico che sarà gestito dalla Commissione.

I prodotti che non rientrano nella definizione di “prodotti critici” possono in alternativa essere valutati sulla base del controllo interno del fabbricante senza una valutazione diretta da parte dell’organismo notificato.

  1. Conformità di prodotti e informazioni e istruzioni per gli utenti

Il capo III della CRA fornisce vari requisiti di conformità che i fabbricanti di prodotti che rientrano nell’ambito della CRA devono rispettare. Insieme al prodotto deve essere allegata una dichiarazione di conformità UE (nel formato di cui all’allegato IV del CRA) e il marchio CE deve essere apposto sul prodotto stesso o, ove non possibile, sull’etichetta del prodotto. La dichiarazione di conformità includerà il nome e il numero dell’organismo notificato autorizzato che ha eseguito una procedura di valutazione della conformità.

Prima dell’immissione in commercio del prodotto deve inoltre essere redatta la “documentazione tecnica”. La documentazione tecnica deve inoltre essere continuamente aggiornata, se del caso, durante il ciclo di vita previsto del prodotto o per cinque anni dopo l’immissione del prodotto sul mercato (a seconda di quale sia il periodo più breve). L’allegato V del CRA stabilisce i dettagli precisi di ciò che la documentazione tecnica deve contenere. Ciò include una valutazione del rischio di sicurezza informatica e rapporti di test relativi ai processi di gestione delle vulnerabilità.

L’allegato II stabilisce cosa deve essere contenuto nelle “informazioni e istruzioni per l’utente”. Queste informazioni devono essere fornite dal produttore in un linguaggio chiaro e comprensibile. Comprende, tra l’altro, l’obbligo di fornire un punto di contatto dove poter segnalare e ricevere informazioni sulle vulnerabilità della sicurezza informatica del prodotto, qualsiasi circostanza nota o prevedibile che possa comportare rischi significativi per la sicurezza informatica e il tipo di supporto tecnico offerto dal produttore e quando/come gli utenti possono aspettarsi di ricevere gli aggiornamenti di sicurezza.

  1. Obblighi di segnalazione

I fabbricanti devono notificare all’ENISA, senza indebito ritardo e in ogni caso entro 24 ore di venire a conoscenza di qualsiasi vulnerabilità sfruttata attivamente contenuta nel prodotto o di qualsiasi incidente che abbia un impatto sulla sicurezza del prodotto. Gli utenti devono inoltre essere informati senza indebito ritardo e, ove necessario, il produttore deve fornire informazioni sulle misure correttive che l’utente può adottare per mitigare l’impatto dell’incidente.

  1. Obblighi sul resto della filiera

Anche i distributori e gli importatori hanno obblighi ai sensi del CRA. I loro obblighi mirano a garantire che i prodotti non conformi provenienti dall’estero non arrivino sul mercato dell’UE. Ad esempio, gli importatori sono tenuti a garantire prima di immettere un prodotto sul mercato che (i) le procedure di valutazione della conformità appropriate siano state eseguite dal fabbricante, (ii) il fabbricante abbia redatto la documentazione tecnica e (iii) il prodotto reca la marcatura CE e accompagnata dalle relative informazioni e istruzioni. Devono inoltre informare il produttore se identificano una vulnerabilità nel prodotto. E se il prodotto presenta un rischio significativo per la sicurezza informatica, devono informare anche le autorità competenti.

Esecuzione e sanzioni per il mancato rispetto

L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) avrà la supervisione del CRA a livello dell’UE. Riceverà notifiche dai produttori di vulnerabilità sfruttate attivamente e preparerà rapporti tecnici biennali sulle tendenze emergenti relative ai rischi per la sicurezza informatica nei prodotti.

A livello nazionale, il CRA sarà imposto dalle “autorità di vigilanza del mercato”. Queste autorità saranno designate dai governi nazionali e potrebbero essere un organismo di nuova creazione o esistente, come le autorità per la protezione dei dati. Le autorità di vigilanza del mercato avranno il potere di ordinare il ritiro o il richiamo di un prodotto dal mercato e di imporre sanzioni pecuniarie fino a un massimo di 15 milioni di EUR o del 2,5% del fatturato annuo totale mondiale.

Entrata in vigore

Il CRA passerà ora alla consueta Procedura Legislativa Ordinaria. Una volta adottato, le organizzazioni e gli Stati membri dell’UE lo avranno due anni per ottemperare ai nuovi requisiti. Tuttavia, l’eccezione a questa regola è l’obbligo di comunicazione per i produttori che si applicherà un anno dall’entrata in vigore.

E il Regno Unito?

Poiché il Regno Unito non è più membro dell’UE, non sarà vincolato dalle nuove regole. Tuttavia, il Regno Unito è in procinto di approvare un atto legislativo simile chiamato Product Security and Telecommunications Infrastructure Bill (PSTIB). Il PSTIB è attualmente in fase di relazione alla Camera dei Lord, il che significa che il disegno di legge ha quasi completato il suo passaggio legislativo. Il PSTIB prevede il potere per il Segretario di Stato di specificare i requisiti di sicurezza relativi ai prodotti collegabili pertinenti e pone obblighi a produttori, importatori e distributori in relazione a tali requisiti di sicurezza. Le sanzioni per il mancato rispetto del PSTIB sono altrettanto elevate, fino a un massimo di 10 milioni di sterline o il 4% delle entrate mondiali nell’ultimo periodo contabile completato.

La nostra presa

Molti dei requisiti essenziali di sicurezza informatica rispecchiano semplicemente le buone pratiche e quindi molte aziende non avranno un lavoro significativo da fare a questo riguardo. La parte complessa riguarda l’elaborazione del tipo di prodotti di valutazione della conformità che possono richiedere e la produzione/aggiornamento di una serie di politiche, procedure e altra documentazione richiesta dalla CRA. Gli obblighi di segnalazione ai sensi della CRA aggiungeranno oneri alle società già soggette a obblighi di segnalazione ai sensi della legge sulla protezione dei dati, della direttiva NIS e di altre normative settoriali. Gli obblighi di segnalazione imposti a distributori e importatori possono anche creare tensione nella catena di approvvigionamento e durante le trattative contrattuali, poiché i produttori saranno indubbiamente nervosi per i distributori e gli importatori che segnalano le potenziali vulnerabilità dei prodotti alle autorità di vigilanza del mercato.

Leave a Comment

Your email address will not be published. Required fields are marked *