L’evoluzione delle minacce informatiche ha reso sempre più significativo l’impatto economico del cybercrime, il cui costo globale è destinato a superare i 15.630 miliardi di dollari entro il 2029. L'aumento del 69% previsto rispetto al 2024 evidenzia l'urgenza di adottare misure preventive e di risposta sempre più efficaci, tenendo conto che la cyber security è una sfida multidimensionale, che richiede un approccio coordinato a livello globale, nazionale, aziendale e individuale.
Di fronte a minacce sempre più rilevanti, l'Unione Europea ha intensificato gli sforzi finalizzati a creare un quadro normativo solido e coerente. Gli obiettivi principali sono la protezione delle infrastrutture critiche, il rafforzamento della fiducia nei servizi digitali e la promozione di un mercato digitale unico e sicuro. Un corpus normativo di livello europeo è infatti in grado di superare la frammentazione normativa esistente a livello nazionale ed evitare che le relative vulnerabilità (normative, ma che diventano informatiche) vengano facilmente sfruttate dai malintenzionati.
In questo contesto, il Cyber Resilience Act (CRA), adottato dal Consiglio Europeo lo scorso 10 ottobre 2024, è l’ultimo pilastro (in ordine di tempo) della strategia europea di cyber resilience e, insieme ad atti come la Direttiva NIS 2, contribuisce a rafforzare la sicurezza informatica continentale. NIS 2 e CRA operano su piani diversi e complementari: mentre NIS 2 ha uno scopo molto ampio e definisce i requisiti di cybersecurity per le entità che essa definisce essenziali e importanti, il Cyber Resilience Act intende invece rafforzare la sicurezza dei prodotti dotati di elementi digitali. La conformità ai requisiti del CRA, che riguardano la progettazione, lo sviluppo e la manutenzione dei prodotti, facilita il rispetto degli obblighi previsti dalla NIS 2 per le aziende che rientrano nel suo perimetro di applicazione.
Dello stesso ecosistema fa inoltre parte DORA, il Digital Operational Resilience Act, che estende il quadro normativo europeo focalizzandosi sulla resilienza degli enti finanziari. Se il CRA si concentra sui prodotti e la NIS 2 sulla sicurezza a tutto tondo (entità essenziali e importanti), DORA pone l'accento sui processi delle istituzioni finanziarie, che costituiscono la spina dorsale dell’economia continentale.
Il Cyber Resilience Act è un atto normativo che “introduce requisiti obbligatori di cybersecurity per i prodotti hardware e software, per tutto il loro ciclo di vita” (Commissione Europea). Esso nasce dalla crescente consapevolezza della necessità di proteggere i prodotti connessi, che sono sempre più pervasivi nella vita di tutti i giorni. La fragilità di questi dispositivi hardware e dei sistemi software, talvolta caratterizzati da un basso livello di sicurezza informatica (si pensi a tutto l’ecosistema dei prodotti IoT di tipo consumer), ha reso evidente la necessità di un intervento normativo di ampia portata.
Il campo di applicazione del Cyber Resilience Act è ampio e include tutti i prodotti connessi, direttamente o indirettamente, ad altri dispositivi o reti. La normativa riguarda, come detto, prodotti hardware e software, estendendosi quindi dagli elettrodomestici intelligenti a tutto l’ecosistema della smart home, ma anche ai pacchetti software venduti per molteplici casi d’uso, sia professionali che consumer.
Finora, molti prodotti coinvolti dalla normativa non hanno mai offerto vere garanzie dal punto di vista della sicurezza, che tradizionalmente è sempre stata riservata a casi specifici disciplinati da normative settoriali (es, quella dei dispositivi medicali). Il Cyber Resilience Act vuole porre rimedio a questa lacuna, sia pur prevedendo diverse eccezioni come quelle, appunto, dei prodotti coperti da normativa di dettaglio, dei software as-a-service (considerati servizi e non prodotti) e dei software open-source, a meno che questi non siano disponibili sul mercato a livello commerciale.
Il Cyber Resilience Act si applica a tutti i soggetti che progettano, producono, distribuiscono o importano prodotti con componenti digitali destinati al mercato europeo. I manufacturer, ovvero i produttori, sono i primi soggetti ad essere coinvolti dalla norma, ma lo sono anche i distributori e gli importatori a prescindere dall’ubicazione della loro sede; il prodotto, ovviamente, deve essere indirizzato al mercato UE. Estendendo i requisiti di sicurezza a tutti gli attori coinvolti nella supply chain, il legislatore comunitario ambisce a creare un mercato di prodotti digitali sicuri per i consumatori, siano essi aziende o privati cittadini.
L'adozione del Cyber Resilience Act da parte del Consiglio Europeo ha sancito il completamento del processo legislativo. Tuttavia, le aziende interessate non dovranno adeguarsi immediatamente ai nuovi requisiti; dopo la pubblicazione sulla Gazzetta Ufficiale dell'UE, infatti, è previsto un periodo di transizione di 36 mesi per consentire alle imprese di implementare le misure necessarie.
Cosa devono fare le aziende coinvolte dalla normativa (produttori, distributori, importatori) per essere conformi? Secondo la Commissione Europea, l’atto “impone ai produttori di tenere conto della sicurezza informatica nella progettazione e nello sviluppo di prodotti con elementi digitali”.
Certamente, dipende dal ruolo dell’attore all’interno della supply chain, ma di fatto i prodotti devono essere privi di vulnerabilità (note) al momento dell’immissione sul mercato; il produttore si impegna a valutare sotto il profilo della sicurezza tutti i componenti (al solito, hardware e software) impiegati dal prodotto, siano essi realizzati/sviluppati internamente che di terze parti; inoltre, si deve impegnare a realizzare i prodotti adottando paradigmi di security by design e privacy by design, ovvero integrando la sicurezza fin dalla fase di progettazione dei prodotti stessi. Non da ultimo, i produttori devono mantenere tale stato di cose con aggiornamenti regolari lungo tutto il ciclo di vita del prodotto.
Un tema chiave per la compliance, disciplinato dall’Allegato I della normativa, è proprio la gestione delle vulnerabilità da parte dei produttori. Vengono identificati 8 requisiti, che possiamo riassumere così:
I produttori dovranno sottostare a un processo di valutazione (assessment) per verificare la conformità ai meccanismi di sicurezza previsti, processo che varierà in base al livello di rischio dei prodotti immessi sul mercato. A seguito di una valutazione positiva, o di un self-assessment (laddove possibile), potranno apporre il marchio CE sui loro prodotti, che di fatto attesterà la conformità alle normative del Cyber Resilience Act. Il marchio mantiene quindi il proprio ruolo di garanzia per gli utenti (aziende e consumatori), poiché li solleva dall'onere di dover verificare autonomamente il rispetto dei requisiti di sicurezza digitale e assicura che il prodotto rispetti gli elevati standard previsti dalla normativa.