Cyber Resilience Act: quali impatti per le aziende italiane?

Il 12 marzo 2024 è stato approvato dal Parlamento Europeo il testo definitivo del Cyber Resilience Act (CRA), il regolamento europeo sulla sicurezza informatica che stabilisce i requisiti obbligatori di cyber security per tutti i prodotti e i software a componente digitale.

Tale approvazione dei contenuti giunge dopo alcune modifiche alla originaria proposta di legge UE del 2022, effettuate con pubblicazione il 20 dicembre 2023.

Lo step finale sarà ora l’approvazione da parte del Consiglio Europeo, dopodiché il Cyber Resilience Act sarà legge.

Cos’è il Cyber Resilience Act, quali sono gli obiettivi

Il Cyber Resilience Act pone requisiti e standard di sicurezza informatica per i prodotti e i software che contengono una componente digitale (di fatto si farebbe prima a individuare quelli esclusi, dal momento che quasi tutti i prodotti hanno ormai una componete digitale).

In sostanza, esso trova applicazione in tutti quei prodotti collegati direttamente o indirettamente a un altro dispositivo o rete, ad esclusioni di casistiche particolari già disciplinate quali software o servizi open source, come nel caso dei dispositivi medici, dell’aviazione e delle automobili.

Il regolamento UE ha quindi l’obiettivo di porre rimedio a due problemi:

• l’inadeguato livello di cyber security di molti prodotti e i relativi aggiornamenti di sicurezza, anch’essi sotto standard;
• la difficoltà per imprese (e consumatori) nel riconoscere quali prodotti sono sicuri dal punto di vista cyber e nel permettere una configurazione che garantisca un adeguato livello di sicurezza informatica.

Il fine del CRA è quello di garantire:

• norme che regolamentino in maniera più strutturata l’immissione nel mercato europeo di prodotti o software dotati di una componente digitale;
• requisiti di sicurezza informatica relativi alla progettazione, lo sviluppo e la manutenzione dei tali prodotti;
• coprire l’intero lifecycle dei prodotti da un punto di vista della cyber security, non solo quindi in una fase iniziale.

Collocazione del CRA nel panorama normativo europeo

Il Cyber Resilience Act si aggiunge a un gruppo di normative sulla cyber security e l’intelligenza artificiale, basti pensare al GDPR (protezione dati personali), alla Direttiva NIS2 (sicurezza informatica di soggetti essenziali ed importanti nel panorama UE), AI Act (regolamentazione dell’Intelligenza Artificiale), DORA (regolamento UE relativo alla sicurezza informatica dei servizi finanziari europei).

Rispetto ad essi si differenzia poiché va a coprire orizzontalmente i dispositivi digitali ormai onnipresenti nelle aziende ed abitazioni: dalle videocamere di sorveglianza, ai prodotti per la domotica, ai plc industriali e i pacchetti software.

Impatti del CRA per le aziende italiane

Il Cyber Resilience Act influenza significativamente le strategie di tutte le aziende italiane che producono, importano o vendono prodotti digitali.

Questi i principali adempimenti previsti:

• obbligo di marcatura CE per la sicurezza informatica: i prodotti digitali devono soddisfare i requisiti di sicurezza del CRA per ottenere la marcatura CE, requisito fondamentale per la loro immissione sul mercato europeo;
• dichiarazione di conformità: le aziende soggette al Cyber Resilience Act devono redigere una dichiarazione di conformità che attesti il rispetto dei requisiti del regolamento;
• gestione delle vulnerabilità: le aziende devono identificare e correggere le vulnerabilità dei loro prodotti digitali in modo tempestivo;
• notifica degli incidenti informatici: le aziende dovranno notificare alle autorità competenti gli incidenti informatici che potrebbero avere un impatto significativo sulla sicurezza dei loro prodotti.

Entrata in vigore del Cyber Resilience Act e adeguamento

Il regolamento dovrebbe entrare in vigore – salvo imprevisti – nella prima parte del 2024. I fabbricanti dovranno applicare le norme 36 mesi dopo la loro entrata in vigore.

Dal momento che si parla di prodotti digitali, il regolamento verrà riesaminato periodicamente per verificare la sua adeguatezza ai tempi.

Compliance al CRA: perché affidarsi a società specializzate in cyber security

Adeguarsi al Cyber Resilience Act può essere un processo complesso per le aziende.

Affidarsi a società specializzate in cyber security può essere una scelta vantaggiosa per i seguenti motivi:

• competenze specifiche: una partnership con chi ha competenze e conoscenze specifiche in materia di sicurezza informatica aiuta ad assicurare la corretta applicazione di elevati standard di cyber security per i propri prodotti digitali;
• risparmio di tempo e risorse: esternalizzare l’attività permette alle aziende di risparmiare tempo e risorse interne che – quasi mai sono sostenibili – per aziende e organizzazioni;
• vantaggio competitivo: il mercato è e sarà sempre più attento alla sicurezza informatica. È plausibile che chi acquisterà prodotti digitali potrà effettuare la sua scelta rispetto ad altri competitor sulla base del livello di sicurezza informatica;
• prevenzione e risposta agli incidenti informatici: è fondamentale avere una strategia di prevenzione e un piano di risposta agli incidenti informatici per gestire in modo efficace le eventuali minacce che dovessero minare prodotti e sistemi informatici aziendali.

Chiedi supporto ad Axitea per la compliance in materia di Cyber Resilience Act.