E’ stato pubblicato il Regolamento UE 2024/2847, c.d. Cyber Resilience Act (CRA): un tassello fondamentale per completare l’architettura normativa europea sulla cybersicurezza, volto a garantire un quadro normativo armonizzato e la certezza del diritto per gli utilizzatori, le organizzazioni e le imprese, comprese le microimprese e le piccole e medie imprese.
Prima dell’avvento del CRA, infatti, sebbene il diritto dell’Unione vigente si applicasse a determinati prodotti con elementi digitali, non esisteva un quadro normativo orizzontale che stabilisse requisiti di cybersicurezza completi per tutti i prodotti con elementi digitali. I vari atti adottati e le diverse iniziative intraprese fino ad allora a livello nazionale e dell’Unione affrontavano solo parzialmente i problemi e i rischi individuati in materia di cybersicurezza, creando un mosaico legislativo all’interno del mercato interno, aumentando l’incertezza del diritto sia per i fabbricanti sia per gli utilizzatori di tali prodotti e imponendo alle imprese e alle organizzazioni un onere aggiuntivo inutile per conformarsi a una serie di requisiti e obblighi per tipi di prodotti simili. La sua integrazione con le altre normative europee, come il Cybersecurity Act, la Direttiva NIS2, il General Product Safety Regulation (GPSR), il Regolamento Macchine e l’AI Act, rafforza, dunque, la sicurezza informatica delle infrastrutture oltre ad aumentare la coerenza ed efficienza nella protezione dei consumatori.
Il “CRA” stabilisce le condizioni limite per lo sviluppo di prodotti con elementi digitali sicuri, garantendo che i prodotti hardware e software siano immessi sul mercato con un minor numero di vulnerabilità e che i fabbricanti prendano la sicurezza in seria considerazione durante l’intero ciclo di vita di un prodotto. Si propone, inoltre, di creare le condizioni che consentano agli utilizzatori di tenere conto della cybersicurezza nella scelta e nell’utilizzo dei prodotti con elementi digitali, ad esempio migliorando la trasparenza per quanto riguarda il periodo di assistenza dei prodotti con elementi digitali messi a disposizione sul mercato.
Fissa anche obblighi per gli operatori economici in relazione a tali prodotti, i requisiti essenziali di cybersicurezza per i processi di gestione delle vulnerabilità e le norme sulla vigilanza del mercato (Capo V), compreso il monitoraggio, e sull’applicazione delle norme e dei requisiti fissati nel Regolamento.
Come anticipato. il CRA si applica “ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete”.
Il prodotto con elementi digitali, secondo la definizione fornita, è qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immesso sul mercato separatamente.
Sussistono, tuttavia, alcune eccezioni: il CRA, infatti, non si applica ai prodotti con elementi digitali già “coperti” dal Regolamento sui dispositivi medici, dal Regolamento sui dispositivi medico-diagnostici in vitro e dal Regolamento relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi.
Non si applica nemmeno ai prodotti con elementi digitali certificati in conformità al
Regolamento riguardante le norme in tema di aviazione civile, né all’equipaggiamento che rientra nell’ambito di applicazione della Direttiva sull’equipaggiamento marittimo.
Elemento caratterizzante della nuova normativa è la suddivisione dei prodotti con elementi digitali in tre macrocategorie a seconda del rischio di cybersecurity presentato: con elementi digitali, con elementi digitali importanti e con elementi digitali critici. A seconda della criticità degli elementi digitali sono imposti requisiti differenti per l’immissione sul mercato europeo e procedure di valutazione di conformità diverse. Ad esempio, i prodotti a basso rischio possono essere valutati mediante controlli interni, mentre quelli ad alto rischio richiedono l’intervento di organismi terzi per ottenere dichiarazioni formali di conformità. Quanto ai prodotti con elementi digitali critici, invece, diventano cruciali l’intervento della Commissione e il dettato del cd. Cybersecurity Act. Infatti, la Commissione dovrà adottare disposizioni atte a determinare quali prodotti con elementi digitali aventi la funzionalità principale di una categoria di prodotti di cui all!Allegato IV del CRA (es. dispositivi hardware con cassette di sicurezza) – per poter dimostrare la conformità ai requisiti essenziali di cui all!Allegato I (tutti o solo in parte) – debbano necessariamente ottenere un certificato europeo di cybersecurity un livello di affidabilità almeno «sostanziale» nell’ambito di un sistema europeo di certificazione della cybersicurezza di cui proprio al Cybersecurity Act, ove presente.
Di particolare interesse risulta essere il dettato dell’articolo 12 del CRA il quale si interseca con il Regolamento europeo sull’intelligenza artificiale (“AI Act”). In tale Regolamento trovano spazio importante i sistemi di IA ad alto rischio, ai quali sono dedicate varie disposizioni contenenti numerosi requisiti e obblighi. Il legislatore europeo, nella stesura del predetto articolo 12, si è giustamente preoccupato di disciplinare l’interrelazione tra queste due normative con riferimento proprio ai sistemi di IA ad alto rischio.
Elemento centrale dell’EU CRA è l’adozione di un meccanismo di certificazione che avrà come conseguenza quella di permettere ai produttori di apporre il marchio CE ai prodotti hardware e software che saranno ritenuti conformi ai requisiti del regolamento, e che potrà avvenire o attraverso una autocertificazione, nel caso di prodotti a basso rischio, o con una certificazione da enti terzi, per i prodotti considerati ad alto rischio, che richiedono una verifica più rigorosa. Il marchio CE quindi, già oggi utilizzato per dimostrare il rispetto di norme sullo spettro elettromagnetico e sulle radiofrequenze, servirà anche a dichiarare che un certo prodotto rispetta i requisiti minimi di sicurezza.
I soggetti destinatari degli obblighi del CRA possono essere tanto i fabbricanti dei prodotti con elementi digitali, quanto gli importatori e i distributori.
In generale, i fabbricanti devono integrare la sicurezza sin dalle prime fasi di progettazione e sviluppo dei prodotti digitali, seguendo un approccio noto come “security by design”. In aggiunta, i dispositivi devono essere forniti con configurazioni di sicurezza predefinite che minimizzino i rischi, riducendo la possibilità di accessi non autorizzati o di sfruttamento delle vulnerabilità, e i software dovranno prevedere aggiornamenti regolari.
I produttori devono, dunque, condurre valutazioni del rischio relativo alla cybersicurezza dei prodotti, identificare e applicare i controlli di sicurezza tecnici e di processo (incluse le attività di manutenzione, assistenza e gestione vulnerabilità).
Tra questi troviamo, ad esempio, la messa a disposizione sul mercato senza vulnerabilità sfruttabili note o, ancora, la necessità che i prodotti in questione siano “progettati, sviluppati e prodotti per limitare le superfici di attacco, comprese le interfacce esterne”. Sicuramente di estremo interesse è l’inserimento tra i requisiti essenziali del principio di “minimizzazione dei dati”, noto in ambito protezione dei dati personali, estendendolo anche ai dati non personali.
Similarmente ad altre normative, il Cyber resilience act richiede ai fabbricanti di notificare al CSIRT (“Computer Security Incident Response Team”) gli incidenti determinati dallo sfruttamento di vulnerabilità dei prodotti.
Importatori e distributori devono verificare che i prodotti rispettino le normative vigenti prima di immetterli sul mercato europeo. Inoltre, in caso di modifiche sostanziali ai prodotti, come aggiornamenti del software, è necessaria una nuova valutazione per assicurare la conformità.
Il Regolamento (UE) 2024/2847 è entrato in vigore il 10 dicembre 2024 – venti giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea avvenuta il 20 novembre 2024 – e diventerà pienamente applicabile a partire dall’11 dicembre 2027. Tuttavia, alcune disposizioni troveranno applicazione anticipata.
Gli obblighi relativi alla notifica di vulnerabilità e incidenti di sicurezza per i prodotti con elementi digitali, stabiliti all’articolo 14, saranno infatti in vigore dall’11 settembre 2026, mentre le norme del capo IV (articoli 35-51), che disciplinano la notifica degli organismi di valutazione della conformità, la sorveglianza del mercato e le misure di conformità, entreranno in vigore già dall’11 giugno 2026.
Avv. Valentina De Simone
Commenti recenti