ThinkTank_Logo_nero
L'attesa è finita
Ailance™ ThinkTank è qui!

Legge sulla resilienza informatica: via libera del Consiglio europeo

Le conseguenze del Cyber Resilience Act per le aziende e perché non devono essere sottovalutate.
Categorie:

Il 10 ottobre 2024 il Consiglio dell'Unione Europea ha adottato il Cyber Resilience Act (CRA). In base ai nuovi regolamenti CRA, per la prima volta i requisiti obbligatori di sicurezza informatica si applicheranno a tutti i dispositivi connessi. Questi includono macchine da caffè controllate da app, orologi intelligenti e baby monitor intelligenti. Finora tali requisiti di sicurezza informatica erano previsti solo per singole categorie di prodotti. Le aziende non dovrebbero sottovalutare le conseguenze.

È qui che entra in gioco il Cyber Resilience Act.

Il CRA stabilisce che in futuro tutti i prodotti connessi dovranno recare il marchio CE. Il marchio CE segnala all'esterno che il prodotto connesso garantisce un'adeguata protezione contro i rischi informatici. I consumatori possono così riconoscere a colpo d'occhio che il prodotto è stato testato anche per quanto riguarda gli aspetti di sicurezza informatica.

"L'obiettivo è quello di evitare sovrapposizioni di requisiti dovute alle diverse legislazioni degli Stati membri dell'UE", ha dichiarato il Consiglio nella sua comunicazione.

Il regolamento si applica a tutti i prodotti che sono direttamente o indirettamente collegati a un altro dispositivo o rete. Sono previste alcune esenzioni per i prodotti per i quali i requisiti di cybersicurezza sono già previsti dalla legislazione europea vigente, ad esempio i dispositivi medici, le apparecchiature per l'aviazione e i veicoli a motore.

I nuovi regolamenti impongono obblighi a tutti gli operatori economici coinvolti. Ciò vale per i produttori, gli importatori e i rivenditori. In futuro, dovranno garantire che i prodotti che vendono soddisfino i requisiti di cybersicurezza e abbiano il marchio CE. Inoltre, i produttori dovranno segnalare le vulnerabilità informatiche e gli incidenti informatici a un centro di segnalazione centrale e fornire aggiornamenti regolari sulla sicurezza.

Suggerimento di lettura: La direttiva NIS 2 entrerà presto in vigore: queste le aziende interessate

Ecco le conseguenze del Cyber Resilience Act per le aziende

  1. Requisiti di sicurezza più severi per i prodotti
    Le aziende che producono o vendono prodotti con componenti digitali devono garantire che i loro prodotti soddisfino i requisiti del CRA. Questo vale sia per l'hardware che per il software.
    - Approccio security-by-design: i prodotti devono essere sviluppati fin dall'inizio in modo da ridurre al minimo i rischi per la sicurezza. Ciò significa che le aziende devono investire maggiormente in ricerca e sviluppo per garantire che le funzioni di sicurezza siano integrate nei prodotti.
    - Aggiornamenti e manutenzione regolari: i produttori sono obbligati a fornire aggiornamenti di sicurezza per un certo periodo di tempo al fine di eliminare le vulnerabilità. Ciò può comportare costi più elevati e una maggiore responsabilità per la manutenzione del prodotto.

  2. Responsabilità e sanzioni più severe
    Uno degli effetti più importanti del Cyber Resilience Act è l'introduzione di regole di responsabilità più severe per produttori e fornitori. Le aziende che non soddisfano i requisiti di sicurezza previsti dal CRA dovranno affrontare sanzioni significative.
    - Multe: le aziende che violano le norme possono essere multate pesantemente. Si tratta di un approccio simile a quello del Regolamento generale sulla protezione dei dati (GDPR), dove le infrazioni possono essere punite con pesanti multe.
    - Conseguenze legali per i prodotti insicuri: Se i prodotti causano danni a causa di falle nella sicurezza informatica, le aziende possono essere ritenute responsabili. Questo potrebbe portare a un'ondata di cause legali per responsabilità da prodotto.

  1. Obblighi di documentazione estesi
    Le aziende devono conservare un'ampia documentazione tecnica e le prove di come soddisfano i requisiti di cybersecurity. Questa documentazione deve essere messa a disposizione delle autorità di vigilanza.
    - Dichiarazioni di conformità: Le aziende devono presentare una dichiarazione di conformità UE che attesti che il prodotto soddisfa gli standard di sicurezza.
    - Documentazione tecnica: le aziende sono tenute a conservare la documentazione tecnica che dimostra la conformità ai requisiti di sicurezza e alle misure di minimizzazione dei rischi.

  1. Impatto sulle catene di fornitura e sui fornitori terzi
    Poiché le aziende fanno sempre più affidamento su catene di fornitura globali e fornitori terzi, devono assicurarsi che anche questi partner soddisfino i requisiti del CRA.
    - Fornitori e fornitori di servizi: le aziende devono garantire che tutti i fornitori e i fornitori di servizi coinvolti nella produzione o nella fornitura di un prodotto siano anch'essi conformi ai requisiti di sicurezza.
    - Gestione del rischio di sicurezza: le aziende devono implementare un sistema completo di gestione del rischio di sicurezza che copra anche i rischi nella catena di fornitura e con i fornitori terzi.

  1. Test e certificazione dei prodotti
    Si prevede inoltre che il CRA introduca requisiti per il test e la certificazione dei prodotti informatici. Ciò significa che le aziende dovranno sottoporre i loro prodotti a test di sicurezza indipendenti prima di lanciarli sul mercato.
    - Certificazioni: Le aziende possono avere bisogno di far certificare i loro prodotti per confermare che soddisfano i requisiti di sicurezza applicabili. Questo può rappresentare un ulteriore onere finanziario, soprattutto per le aziende più piccole.
    - Audit di terzi: In alcuni casi, per garantire la conformità ai requisiti della CRA, possono essere richiesti controlli e revisioni indipendenti.

  1. Effetti internazionali
    Le aziende che vendono i loro prodotti a livello internazionale devono assicurarsi di soddisfare i requisiti CRA non solo all'interno dell'UE, ma anche a livello mondiale. Questo potrebbe portare le aziende globali ad adattare i propri standard di cybersicurezza alle severe normative dell'UE.
    - Conformità globale: le organizzazioni potrebbero dover ripensare le loro strategie di conformità globale per garantire che soddisfino sia il CRA che altri requisiti internazionali di cybersecurity.

Cyber Resilience Act con un periodo transitorio di tre anni.

Una volta adottato dal Consiglio europeo, l'atto giuridico sarà firmato dal Presidente del Consiglio e dal Presidente del Parlamento europeo nelle prossime settimane e quindi pubblicato nella Gazzetta ufficiale dell'UE. Il nuovo regolamento entrerà in vigore 20 giorni dopo la pubblicazione.  

Per la legge sulla resilienza informatica è previsto un periodo di transizione di tre anni. Entro tale data, al più tardi, i prodotti venduti sul mercato dovranno soddisfare i nuovi requisiti di sicurezza informatica e documentarli con un marchio CE. Altri obblighi previsti dal CRA, come l'obbligo per i produttori di segnalare eventuali vulnerabilità informatiche sfruttate, si applicheranno già tra 21 mesi.

Sintesi: il Cyber Resilience Act avrà un impatto significativo sulle organizzazioni in quanto introduce requisiti di sicurezza più severi e obblighi di responsabilità più elevati. Se da un lato la conformità al CRA comporterà costi e sforzi aggiuntivi per molte aziende, dall'altro il regolamento offre opportunità per le aziende che investono nella sicurezza informatica e implementano tempestivamente i cambiamenti. A lungo termine, il CRA contribuirà a rendere il mercato europeo dei prodotti digitali più sicuro e resistente alle minacce informatiche.

Fonte: Ordinanza sui requisiti orizzontali di sicurezza informatica per i prodotti con elementi digitali (Legge sulla resilienza informatica), 10 ottobre 2024

Tag:
Condividi questo post :
it_ITItalian