Il Cyber Resilience Act rappresenta una delle normative più rilevanti nell’ambito della sicurezza informatica dell’Unione Europea, destinata a incidere profondamente su tutti gli operatori economici che immettono sul mercato prodotti con elementi digitali. La proposta di Regolamento, passata al Parlamento Europeo, è stata approvata definitivamente dal Consiglio lo scorso 10 ottobre (vedi Comunicato stampa). L’atto sarà pubblicato ufficialmente in Gazzetta nelle prossime settimane, dopo la firma congiunta da parte dei Presidenti del Parlamento e del Consiglio. Scarica qui il testo approvato: Cyber Resilience Act_text_EN

Questa normativa avrà un impatto considerevole sul mercato unico europeo, interessando un numero stimato di circa 4 milioni di imprese. Tali imprese, appartenenti a diversi settori della filiera di commercializzazione, dovranno conformarsi ai requisiti di sicurezza imposti dal regolamento.

L’obiettivo centrale del Cyber Resilience Act è quello di introdurre requisiti essenziali di sicurezza informatica per garantire la protezione delle infrastrutture digitali e la resilienza delle tecnologie utilizzate in tutta l’Unione Europea.

Questo regolamento, concepito per rispondere alle crescenti minacce cyber, si inserisce in un contesto normativo che mira a rafforzare la sicurezza informatica su vasta scala, estendendo i suoi effetti a un’ampia gamma di settori economici, compresi quelli che utilizzano software open source. Attraverso l’introduzione di obblighi specifici per i diversi operatori della filiera, il Cyber Resilience Act intende garantire che tutti i prodotti digitali commercializzati siano conformi a standard elevati di sicurezza.

Il presente articolo si propone di esaminare in modo approfondito la struttura del Cyber Resilience Act, analizzando i destinatari della normativa, gli obblighi posti in capo agli operatori economici, le procedure di sorveglianza del mercato e le sanzioni previste per la mancata conformità. Particolare attenzione sarà dedicata alla descrizione delle disposizioni normative che regolano l’immissione sul mercato dei prodotti digitali, nonché agli obblighi di conformità che gli operatori dovranno rispettare per evitare onerose sanzioni pecuniarie.

Perché il Cyber Resilience Act? Quando entrerà in vigore?

Il Cyber Resilience Act rappresenta una risposta necessaria e proporzionata alle sfide poste dal panorama digitale attuale, caratterizzato da una crescente interconnessione dei dispositivi e da una vulnerabilità strutturale dei prodotti con elementi digitali.

L’Unione Europea ha ritenuto che le normative esistenti, come il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Direttiva NIS, non fossero sufficienti a fronteggiare le minacce emergenti legate alla sicurezza dei prodotti digitali. Sebbene queste normative abbiano posto le basi per la protezione dei dati e la sicurezza delle reti, mancava una regolamentazione dedicata a garantire che i prodotti immessi sul mercato fossero sicuri, resilienti e in grado di fronteggiare le vulnerabilità informatiche.

In questo contesto, il Cyber Resilience Act si propone di colmare questa lacuna normativa, stabilendo requisiti minimi di sicurezza informatica per tutti i prodotti con elementi digitali, lungo l’intera filiera di produzione e commercializzazione. La proposta risponde all’evidente necessità di un quadro giuridico che imponga obblighi precisi agli operatori economici, garantendo che i prodotti non solo siano sicuri al momento dell’immissione sul mercato, ma che vengano mantenuti tali attraverso aggiornamenti e gestione delle vulnerabilità.

Il meccanismo di entrata in vigore del Cyber Resilience Act è strutturato in modo progressivo per consentire alle imprese di adeguarsi senza subire eccessivi disagi operativi. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, ma le disposizioni diverranno operative in fasi diverse. I principali obblighi, come la conformità alle misure di sicurezza di base, saranno pienamente applicabili dopo 36 mesi.

Altre disposizioni chiave, come quelle relative agli obblighi di notifica delle vulnerabilità e agli incidenti di sicurezza, entreranno in vigore entro 21 mesi. Infine, le regole più specifiche, che riguardano la sorveglianza del mercato saranno applicabili entro 18 mesi.

Questo meccanismo a tappe risponde alla necessità di dare alle imprese il tempo necessario per adeguarsi alle nuove disposizioni del Cyber Resilience Act e implementare processi e tecnologie in grado di rispettare gli standard di sicurezza informatica imposti dalla normativa.

Oggetto del Regolamento, ambito di applicazione ed esclusioni

Il Cyber Resilience Act ha come obiettivo principale quello di garantire la sicurezza informatica dei prodotti con elementi digitali immessi sul mercato dell’Unione Europea. Il regolamento stabilisce i requisiti essenziali che tali prodotti devono soddisfare per assicurare la protezione contro attacchi informatici e la resilienza dei sistemi informatici coinvolti. L’ambito di applicazione del regolamento è ampio e include qualsiasi prodotto con elementi digitali che venga messo a disposizione sul mercato, sia che si tratti di hardware, software o di componenti di software o hardware, forniti separatamente.

L’articolo 2 del Cyber Resilience Act stabilisce, inoltre, alcune eccezioni significative. In particolare, i prodotti sviluppati o modificati specificamente per la sicurezza nazionale o per la difesa non rientrano nell’ambito di applicazione del Cyber Resilience Act. Tale esclusione è giustificata dalla necessità di rispondere a esigenze particolari di sicurezza che non possono essere adeguatamente coperte dalla normativa generale in materia di prodotti digitali. Altri prodotti esclusi sono quelli progettati per gestire informazioni classificate e quelli sviluppati per scopi personali e non commerciali.

Una distinzione fondamentale riguarda i prodotti che, pur rientrando nella definizione generale di “prodotto con elementi digitali“, sono già soggetti ad altre normative dell’Unione Europea che disciplinano la sicurezza informatica in modo specifico. Tra questi si possono citare, a titolo d’esempio, i dispositivi medici, e i veicoli a motore. In questi casi, il Regolamento non si applicherà direttamente, poiché tali prodotti devono già conformarsi a normative settoriali più specifiche, che stabiliscono requisiti di sicurezza ad hoc.

Requisiti per l’immissione sul mercato dei prodotti con elementi digitali

Il Cyber Resilience Act stabilisce requisiti precisi per l’immissione sul mercato dei prodotti con elementi digitali, al fine di garantire la sicurezza informatica lungo tutto il ciclo di vita del prodotto. Gli articoli 6, 7 e 8 del regolamento, insieme all’Annex I, definiscono in dettaglio le condizioni che i prodotti devono rispettare per essere considerati conformi e sicuri.

L’Articolo 6 dispone che i prodotti con elementi digitali possono essere immessi sul mercato solo se soddisfano i requisiti essenziali di sicurezza elencati nell’Annex I, Parte I, a condizione che siano correttamente installati, mantenuti e utilizzati per lo scopo previsto.

Tali requisiti includono la capacità del prodotto di affrontare in modo efficace le vulnerabilità conosciute e la necessità di poter installare aggiornamenti di sicurezza tempestivi. È inoltre previsto che i processi interni implementati dal produttore siano conformi ai requisiti specifici di sicurezza, garantendo la sicurezza dei dati e delle funzioni sensibili durante l’intero ciclo di vita del prodotto.

L’Articolo 7 introduce il concetto di prodotti importanti con elementi digitali. Questi prodotti, che svolgono funzioni critiche per la sicurezza informatica di altri sistemi, sono soggetti a procedure di valutazione della conformità più stringenti, come previsto dall’articolo 32 del Regolamento. La loro classificazione è basata sui rischi che essi rappresentano per la sicurezza informatica complessiva, e include prodotti utilizzati per la protezione di reti, la gestione di dati sensibili o la prevenzione delle intrusioni.

L’Articolo 8 del Cyber Resilience Act disciplina invece i prodotti critici con elementi digitali, che richiedono una certificazione di sicurezza informatica di livello “sostanziale” o superiore. Tali prodotti, come quelli utilizzati in contesti di infrastrutture essenziali o in settori particolarmente vulnerabili, devono dimostrare una conformità ai requisiti essenziali di sicurezza attraverso un iter di certificazione riconosciuto a livello europeo. Questo meccanismo di certificazione è volto a garantire che i prodotti critici possano offrire un elevato livello di protezione contro gli attacchi informatici.

Obblighi per produttori, importatori e distributori, e per i responsabili di software open source

Il Cyber Resilience Act impone obblighi stringenti a carico di tutti gli operatori economici coinvolti nella commercializzazione di prodotti con elementi digitali. Tali obblighi si applicano a produttori, importatori e distributori, ciascuno dei quali ha responsabilità precise per garantire che i prodotti immessi sul mercato dell’Unione Europea siano conformi ai requisiti di sicurezza previsti dal regolamento.

I produttori sono i principali responsabili della conformità del prodotto. Essi devono assicurare che i loro prodotti con elementi digitali siano progettati, sviluppati e prodotti nel rispetto dei requisiti essenziali di sicurezza informatica, come stabilito nell’Annex I del Cyber Resilience Act. I produttori devono inoltre mantenere una documentazione tecnica dettagliata che dimostri la conformità del prodotto ai requisiti normativi, inclusi i processi adottati per gestire le vulnerabilità.

Un aspetto fondamentale è l’obbligo di garantire la capacità del prodotto di ricevere aggiornamenti di sicurezza tempestivi, e di mantenere tali aggiornamenti disponibili per almeno cinque anni dall’immissione del prodotto sul mercato o per l’intera durata del supporto garantito dal produttore. La mancata gestione delle vulnerabilità sfruttate attivamente o il mancato aggiornamento del prodotto può comportare sanzioni significative.

Gli importatori devono verificare che i prodotti che intendono immettere sul mercato siano conformi ai requisiti del regolamento, assicurandosi che il produttore abbia eseguito correttamente le valutazioni di conformità e che sia disponibile la documentazione tecnica. Gli importatori sono inoltre tenuti a garantire che i prodotti siano accompagnati dalle informazioni necessarie, comprese le istruzioni per l’uso e le avvertenze relative alla sicurezza.

I distributori devono agire con la dovuta diligenza per garantire che i prodotti da loro distribuiti siano conformi ai requisiti essenziali di sicurezza informatica. Devono collaborare con i produttori e gli importatori per assicurarsi che le procedure di conformità siano state seguite e che i prodotti siano sicuri prima della loro commercializzazione.

Un altro aspetto rilevante del Cyber Resilience Act riguarda i responsabili del software open source. Generalmente, i software open source non commerciali, sviluppati da individui o comunità per scopi non economici, sono esclusi dal campo di applicazione del regolamento. Tuttavia, nel momento in cui il software open source è utilizzato nell’ambito di un’attività commerciale, o se è incluso in prodotti con elementi digitali immessi sul mercato, esso rientra nell’ambito di applicazione del regolamento e deve rispettare i requisiti di sicurezza.

Il regolamento introduce inoltre un obbligo di notifica per le vulnerabilità sfruttate attivamente e per gli incidenti gravi che potrebbero compromettere la sicurezza. La notifica è obbligatoria per i produttori in caso di vulnerabilità attivamente sfruttate, e deve essere effettuata entro 24 ore dall’accertamento del fatto. Al contrario, la notifica delle vulnerabilità non sfruttate attivamente è facoltativa, ma fortemente raccomandata per favorire una gestione tempestiva dei rischi informatici.

Procedure di conformità e organismi notificati

I Capitoli III e IV del Cyber Resilience Act disciplinano le procedure di conformità dei prodotti con elementi digitali e le disposizioni relative agli organismi notificati di valutazione della conformità. In particolare, il Capitolo III stabilisce che i produttori devono garantire che i loro prodotti soddisfino i requisiti essenziali di sicurezza previsti dal regolamento prima dell’immissione sul mercato.

Questo processo include la preparazione di una documentazione tecnica che dimostri la conformità del prodotto e la redazione di una dichiarazione di conformità UE. Inoltre, il marchio CE deve essere apposto in modo visibile e leggibile, indicando che il prodotto è conforme agli standard europei.

Il Capitolo IV del Cyber Resilience Act regola la notifica degli organismi di valutazione della conformità, stabilendo che tali organismi devono essere designati dagli Stati membri e soddisfare requisiti specifici di competenza e imparzialità. Gli organismi notificati sono responsabili della verifica della conformità dei prodotti più critici attraverso procedure di controllo approfondite, garantendo che essi rispettino gli standard di sicurezza informatica richiesti. Queste disposizioni mirano a creare un sistema armonizzato a livello europeo per garantire la sicurezza dei prodotti digitali.

Sorveglianza del mercato e sanzioni

Il Capitolo V del Cyber Resilience Act stabilisce il quadro per la sorveglianza del mercato, affidata alle autorità nazionali degli Stati membri, che devono vigilare affinché i prodotti con elementi digitali immessi sul mercato rispettino i requisiti di sicurezza previsti dal regolamento. Le autorità di sorveglianza del mercato hanno il potere di accedere ai dati e alla documentazione dei prodotti, e possono adottare misure correttive, come il ritiro dei prodotti non conformi o pericolosi. Inoltre, le autorità collaborano a livello europeo per assicurare un’applicazione uniforme del regolamento su tutto il territorio dell’Unione.

Quanto al regime sanzionatorio,  gli Stati membri dovranno stabilire norme sulle sanzioni applicabili in caso di violazioni del Regolamento, assicurando che le sanzioni siano efficaci, proporzionate e dissuasive. Le sanzioni amministrative previste per la mancata conformità ai requisiti essenziali di sicurezza informatica (Annex I) e agli obblighi di gestione delle vulnerabilità (Articoli 13 e 14 del Cyber Resilience Act ) possono arrivare fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo dell’impresa, a seconda di quale sia maggiore.

Inoltre, per la violazione di altri obblighi, come quelli relativi alla conformità tecnica o alla mancata cooperazione con le autorità di sorveglianza del mercato, le sanzioni possono raggiungere fino a 10 milioni di euro o il 2% del fatturato mondiale annuo. Infine, la fornitura di informazioni errate o incomplete alle autorità può comportare multe fino a 5 milioni di euro o all’1% del fatturato.

Le autorità di sorveglianza possono applicare queste sanzioni in aggiunta ad altre misure correttive, come il ritiro o il divieto di commercializzazione dei prodotti. Questo sistema di sanzioni è stato progettato per garantire che gli operatori economici rispettino rigorosamente i requisiti di sicurezza imposti dal regolamento.

Conclusioni

Il Cyber Resilience Act si pone come una delle normative più incisive per il futuro della sicurezza informatica nell’Unione Europea, con un impatto significativo su circa 4 milioni di imprese che operano nel mercato unico. Questa nuova regolamentazione non solo rafforzerà la resilienza dei prodotti con elementi digitali, ma imporrà standard di sicurezza elevati e uniformi in tutto il territorio dell’UE. La sua portata si estende non solo alle piccole e medie imprese, ma anche alle grandi multinazionali che intendono commercializzare prodotti, o sub-componenti di prodotti, nel mercato europeo.

La normativa avrà un impatto profondo non solo sui produttori, ma anche su importatori e distributori, imponendo loro la responsabilità di assicurare la conformità dei prodotti con le nuove regole di sicurezza informatica.

In questo contesto, ottenere un vantaggio competitivo richiede alle imprese di agire tempestivamente, iniziando fin da ora a comprendere le dinamiche sottese al Cyber Resilience Act e preparandosi ad adeguarsi alle nuove regole.

Una consulenza legale esperta rappresenta un fattore chiave per navigare con successo le complessità della normativa e garantire che l’adeguamento avvenga in modo tempestivo ed efficace. Affrontare per tempo le nuove sfide imposte dal regolamento non solo ridurrà i rischi di sanzioni (assai elevate), ma permetterà alle imprese di distinguersi sul mercato come operatori affidabili e sicuri, migliorando la propria competitività in un contesto sempre più interconnesso e globalizzato.