In gazzetta europea il Regolamento (UE) 2024/2847, noto come Cyber Resilience Act (CRA) che introduce requisiti di cibersicurezza obbligatori per i prodotti digitali distribuiti nell’Unione Europea. Approvato il 23 ottobre 2024, entrerà pienamente in vigore l’11 dicembre 2027, segnando una svolta nella gestione della sicurezza informatica per produttori e distributori.

Prodotti soggetti alla CRA

Il CRA si applica a tutti i prodotti con elementi digitali importanti (Allegato III) e critici (Allegato IV) che sono collegati, direttamente o indirettamente, a una rete. Questo include dispositivi connessi come altoparlanti intelligenti, videocamere di sorveglianza, dispositivi IoT, software e componenti per infrastrutture critiche. Tuttavia, alcune categorie di prodotti sono escluse, tra cui dispositivi medici, automobili, aerei e attrezzature marine che sono già regolati da normative specifiche.

Requisiti fondamentali

Il CRA impone ai produttori di soddisfare una serie di requisiti di sicurezza essenziali (Allegato I), tra cui:

1. Sicurezza per progettazione: i prodotti devono essere progettati per garantire un livello adeguato di sicurezza in base ai rischi valutati.
2. Gestione delle vulnerabilità: i prodotti devono consentire aggiornamenti automatici per correggere le vulnerabilità e proteggere contro l’accesso non autorizzato.
3. Confidenzialità e integrità dei dati: i prodotti devono proteggere i dati personali e non personali, garantendo la loro integrità e riservatezza.
4. Minimizzazione dei dati: i prodotti devono elaborare solo i dati necessari, rispettando i principi di minimizzazione.
5. Resilienza agli incidenti: i prodotti devono continuare a funzionare in modo sicuro anche dopo un incidente, riducendo l’impatto sugli altri servizi.

Gestione delle vulnerabilità

I produttori devono identificare e documentare le vulnerabilità e creare un documento che identifica i componenti e le dipendenze software e dei sistemi. Devono inoltre affrontare prontamente le vulnerabilità tramite aggiornamenti di sicurezza separati da quelli delle funzionalità.

Sanzioni

Il mancato rispetto del CRA può comportare sanzioni severe, comprese multe fino a 15 milioni di euro o il 2,5% del fatturato annuo globale. Le violazioni possono anche portare al ritiro dei prodotti dal mercato europeo. La fornitura di informazioni errate, incomplete o fuorvianti agli organismi notificati e alle autorità di vigilanza del mercato può comportare sanzioni pecuniarie fino a 5 milioni di euro.

Tempistiche di implementazione

La legge prevede una cronologia di attuazione:

• 11 dicembre 2025: adozione delle descrizioni tecniche per le categorie di prodotti.
• 11 settembre 2026: obbligo di segnalazione allo CSIRT e ad ENISA delle vulnerabilità attivamente sfruttate e degli incidenti gravi attraverso la piattaforma unica di segnalazione.
• 11 dicembre 2027: piena applicazione del regolamento.

Conclusioni

Il Cyber Resilience Act (CRA) segna una pietra miliare nella regolamentazione della sicurezza informatica in Europa, con l’obiettivo di innalzare gli standard di protezione per i prodotti digitali connessi. Questa normativa impone obblighi rigorosi ai produttori, incentivando un approccio proattivo alla sicurezza attraverso requisiti chiave come la progettazione sicura, la gestione delle vulnerabilità e la resilienza agli incidenti.

Con sanzioni severe per i trasgressori e una cronologia ben definita per l’attuazione, il CRA si pone come uno strumento cruciale per garantire la sicurezza dell’ecosistema digitale europeo. Non solo protegge i consumatori, ma promuove anche una maggiore trasparenza e responsabilità lungo tutta la filiera dei prodotti tecnologici.

A partire dal 2027, l’entrata in vigore completa del regolamento rappresenterà un cambio di paradigma, spingendo l’industria verso una cultura della sicurezza più robusta e consapevole. Per le aziende che operano nel settore, questo non sarà solo un obbligo normativo, ma un’opportunità per differenziarsi e guadagnare la fiducia di un mercato sempre più attento alla sicurezza digitale.

L'articolo Pillola sul Cyber Resilience Act: Le nuove regole per la cibersicurezza dei prodotti digitali in UE proviene da il blog della sicurezza informatica.