INFORMATION TECHNOLOGY
In vigore il Cyber Resilience Act (CRA) dell’Unione Europea.
Il 10 dicembre 2024 è entrato in vigore il Cyber Resilience Act (Regolamento UE 2024/2847 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali) che ha introdotto requisiti obbligatori di sicurezza informatica per i prodotti hardware e software con elementi digitali.
Il Regolamento sarà applicabile a partire dall'11 dicembre 2027, ad eccezione degli obblighi di comunicazione dei produttori che si applicheranno a partire dall'11 settembre 2026.
La nuova normativa stabilisce che i prodotti con elementi digitali devono soddisfare diversi requisiti per garantire la loro sicurezza informatica e per essere immessi sul mercato, tra cui:
- requisiti di sicurezza relativi alle proprietà di tali prodotti, compreso il fatto che la progettazione, lo sviluppo e la produzione del prodotto devono essere effettuati in modo tale da garantire un livello adeguato di cybersicurezza, con approccio basato sul rischio; e
- requisiti di gestione delle vulnerabilità, come l'individuazione e la documentazione delle vulnerabilità, nonché l'attuazione di test, politiche e misure per facilitare la condivisione delle informazioni.
Inoltre, Il CRA chiarisce – all’articolo 7 - quali prodotti si qualificano come «prodotti con elementi digitali importanti» e quali requisiti aggiuntivi devono essere soddisfatti. Sono inoltre previste disposizioni di coordinamento e armonizzazione specifiche con il Regolamento 2024/1689 sull'intelligenza artificiale per i sistemi di intelligenza artificiale (IA) ad alto rischio.
La legge chiarisce gli obblighi imposti ai produttori, che includono:
- garantire il rispetto dei requisiti essenziali per i loro prodotti al momento dell'immissione sul mercato, in particolare effettuando valutazioni della conformità;
- effettuare una valutazione dei rischi per la cybersicurezza e includerla nella documentazione tecnica;
- effettuare una specifica due diligence sui componenti provenienti da terzi;
- attuare politiche e procedure adeguate, comprese politiche coordinate di divulgazione delle vulnerabilità;
- garantire che i prodotti rimangano conformi e adottare misure correttive in caso di disallineamento dalla conformità; e
- fornire agli utenti complete informazioni e istruzioni.
Il produttore deve, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui ne viene a conoscenza, notificare al Computer Security Incident Response Team (CSIRT) e all'Agenzia dell'Unione europea per la cibersicurezza (ENISA) qualsiasi vulnerabilità attivamente sfruttata rispetto al prodotto con elementi digitali, notificando altresì qualsiasi impatto sulla sicurezza per gli utenti. La notifica dell'incidente deve essere inviata entro 72 ore dal momento in cui si viene a conoscenza dell'incidente. Il CRA consente inoltre la notifica volontaria di eventuali vulnerabilità o minacce informatiche che potrebbero influire sul profilo di rischio di un prodotto. L'ENISA ha il mandato di istituire una piattaforma unica di comunicazione.
Per quanto riguarda gli utenti, i produttori devono informarli, senza indebito ritardo e dopo averne preso conoscenza, in merito a qualsiasi incidente e, se necessario, in merito alle misure correttive che gli utenti possono attuare per attenuare l'impatto dell'incidente.
Le sanzioni previste possono arrivare fino a 15 milioni di euro o, per le imprese, fino al 2,5 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Il Regolamento sarà applicabile a partire dall'11 dicembre 2027, ad eccezione degli obblighi di comunicazione dei produttori che si applicheranno a partire dall'11 settembre 2026.
La nuova normativa stabilisce che i prodotti con elementi digitali devono soddisfare diversi requisiti per garantire la loro sicurezza informatica e per essere immessi sul mercato, tra cui:
- requisiti di sicurezza relativi alle proprietà di tali prodotti, compreso il fatto che la progettazione, lo sviluppo e la produzione del prodotto devono essere effettuati in modo tale da garantire un livello adeguato di cybersicurezza, con approccio basato sul rischio; e
- requisiti di gestione delle vulnerabilità, come l'individuazione e la documentazione delle vulnerabilità, nonché l'attuazione di test, politiche e misure per facilitare la condivisione delle informazioni.
Inoltre, Il CRA chiarisce – all’articolo 7 - quali prodotti si qualificano come «prodotti con elementi digitali importanti» e quali requisiti aggiuntivi devono essere soddisfatti. Sono inoltre previste disposizioni di coordinamento e armonizzazione specifiche con il Regolamento 2024/1689 sull'intelligenza artificiale per i sistemi di intelligenza artificiale (IA) ad alto rischio.
La legge chiarisce gli obblighi imposti ai produttori, che includono:
- garantire il rispetto dei requisiti essenziali per i loro prodotti al momento dell'immissione sul mercato, in particolare effettuando valutazioni della conformità;
- effettuare una valutazione dei rischi per la cybersicurezza e includerla nella documentazione tecnica;
- effettuare una specifica due diligence sui componenti provenienti da terzi;
- attuare politiche e procedure adeguate, comprese politiche coordinate di divulgazione delle vulnerabilità;
- garantire che i prodotti rimangano conformi e adottare misure correttive in caso di disallineamento dalla conformità; e
- fornire agli utenti complete informazioni e istruzioni.
Il produttore deve, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui ne viene a conoscenza, notificare al Computer Security Incident Response Team (CSIRT) e all'Agenzia dell'Unione europea per la cibersicurezza (ENISA) qualsiasi vulnerabilità attivamente sfruttata rispetto al prodotto con elementi digitali, notificando altresì qualsiasi impatto sulla sicurezza per gli utenti. La notifica dell'incidente deve essere inviata entro 72 ore dal momento in cui si viene a conoscenza dell'incidente. Il CRA consente inoltre la notifica volontaria di eventuali vulnerabilità o minacce informatiche che potrebbero influire sul profilo di rischio di un prodotto. L'ENISA ha il mandato di istituire una piattaforma unica di comunicazione.
Per quanto riguarda gli utenti, i produttori devono informarli, senza indebito ritardo e dopo averne preso conoscenza, in merito a qualsiasi incidente e, se necessario, in merito alle misure correttive che gli utenti possono attuare per attenuare l'impatto dell'incidente.
Le sanzioni previste possono arrivare fino a 15 milioni di euro o, per le imprese, fino al 2,5 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
