Il Cyber Resilience Act (CRA) [in inglese] dell’Unione Europea ha avuto il via libera del Consiglio dei ministri dell’UE: si completa così il quadro normativo dell’Unione sulla cybersicurezza di cui fanno parte anche la NIS2 e, per il settore finanziario, la normativa DORA. Il CRA si rivolge ai produttori di dispositivi digitali immessi sul mercato europeo, ma per i CIO significa avere una garanzia sui device che portano in azienda, e, di conseguenza, generare un impatto positivo sulla cyber-resilienza, perché, imponendo precisi requisiti di sicurezza ai produttori di dispositivi digitali connessi, il CRA ridurrà il rischio di attacchi informatici che sfruttano le vulnerabilità di questi prodotti.
“Conosco bene il Cyber Resilience Act, ed è sicuramente una mossa positiva da parte dell’UE”, afferma Giuseppe Ridulfo, Vice Responsabile Dipartimento Organizzazione e Responsabile Sistemi Informativi di Banca Popolare Etica Scpa. “Il CRA mira a rafforzare la sicurezza dei prodotti con elementi digitali e, insieme alla NIS2, fornisce un quadro più completo per la protezione delle infrastrutture critiche e dei prodotti digitali. Mentre la NIS2 si concentra sulla resilienza delle reti e dei servizi essenziali, il CRA si concentra direttamente sui requisiti di sicurezza dei prodotti stessi. Questo approccio integrato eleva gli standard di sicurezza nell’intera catena digitale, riducendo vulnerabilità e minacce potenziali già dalla progettazione. In quanto CIO, considero questo passo un’opportunità per allineare le strategie aziendali con i requisiti normativi e ridurre il rischio complessivo per l’azienda”.
La legge copre un ampio ventaglio di “prodotti con elementi digitali”, definiti come “un prodotto software o hardware e le loro soluzioni di elaborazione remota dei dati, incluse le componenti software o hardware che vengono portate sul mercato separatamente”. La norma è, dunque, trasversale: copre orizzontalmente tutti i prodotti digitali connessi a internet, come spiega Davide Baldini, avvocato e partner dello studio ICT Legal Consulting.
“Il CRA è una normativa sulla sicurezza del prodotto (product-safety legislation) con criteri risk-based simili a quelli adottati per l’AI Act”, afferma Baldini. “La normativa applica a prodotti con elementi digitali, ovvero tutti i dispositivi sia hardware che software il cui uso include una connessione dati logica o fisica diretta o indiretta a una rete o a un altro dispositivo, con qualche eccezione, tra cui alcuni software open-source e i servizi coperti da altre regole, ovvero quelli dei settori medicale, automotive e dell’aviazione”.
Il Cyber Resilience Act entrerà in vigore entro la fine di quest’anno e i produttori dovranno immettere sul mercato UE prodotti compliant entro il 2027.
Cyber Resilience Act: si completa il quadro normativo dell’UE sulla cybersicurezza
Il CRA vuole migliorare sia la sicurezza dei prodotti che la trasparenza per l’acquisto da parte dell’impresa o del consumatore, perché, anche grazie al nuovo marchio CE, sarà più facile capire quale prodotto è sicuro. Il CIO sarà facilitato nei suoi acquisti e nel monitoraggio della sicurezza dei prodotti: i produttori dovranno sia certificarne la compliance sia informare tempestivamente gli enti preposti (Enisa e Csirt nazionali) e il pubblico di eventuali nuove vulnerabilità che emergono.
Prevede, inoltre, che i dispositivi digitali siano costruiti con il principio della security by design, ovvero incorporando i requisiti di cybersicurezza fin dalla progettazione e lo sviluppo e continuando con la produzione e messa in vendita, per tutto il ciclo di vita. In aggiunta, i dispositivi devono essere forniti con configurazioni di sicurezza predefinite che minimizzino i rischi, riducendo la possibilità di accessi non autorizzati o di sfruttamento delle vulnerabilità, e i software dovranno prevedere aggiornamenti regolari.
Tutti i prodotti digitali che saranno certificati
Il CRA distingue i prodotti in base al livello di rischio cyber. Il livello default, in cui, afferma la Commissione Europea, rientra il 90% circa dei prodotti, riguarda dispositivi non destinati a contenere dati sensibili o a interagire con network sensibili. Questi device, anche se compromessi, non comportano rischi gravi di perdita di dati o di compromissione di reti o di contagi sistemici.
Ci sono poi i prodotti critici di classe I e critici di classe II, entrambi riconducibili agli elenchi in Allegato III (che saranno regolarmente aggiornati), e quelli altamente critici. Le classi I e II corrispondono a un livello di rischio medio-alto di cybersicurezza, perché il dispositivo digitale contiene dati sensibili oppure è connesso a network critici come quelli aziendali o degli enti pubblici. La categoria altamente critica si riferisce invece a prodotti che, se compromessi, comporterebbero un rischio sistemico, ovvero un’ampia propagazione dell’attacco.
Alcuni esempi di prodotti nella classe di rischio I sono: sistemi di identity management, software e hardware di privileged access management, inclusi i lettori biometrici, browser standalone e embedded, password manager, software anti-malware, sistemi di network management, sistemi operativi, router e modem connessi, switch, microprocessori con funzionalità di sicurezza.
Tra i prodotti nella classe II figurano: ipervisori e container runtime che supportano l’esecuzione virtualizzata di sistemi operativi e ambienti simili, firewall, sistemi di intrusion detection and prevention, microprocessori tamper-resistant, microcontroller tamper-resistant.
I prodotti altamente critici includono, invece, i device hardware con security box, smart meter gateway con sistemi di smart metering e altri device per fini di sicurezza avanzata come quelli per il cryptoprocessing sicuro, smartcard e simili.
“I livelli di rischio si traducono in discipline normative diverse per i produttori”, indica Baldini. “Se per il rischio di livello default ai produttori basterà il self-assessment della sicurezza del dispositivo, la categoria critica di livello I richiede o la conformità con standard armonizzati che saranno decisi da un organismo preposto dietro mandato della Commissione o la certificazione di un auditor esterno con qualifica di notified body. Per i prodotti critici di livello II, invece, il produttore dovrà obbligatoriamente richiedere l’audit esterna”.
Il collegamento con AI Act, NIS2 e DORA
Il quadro normativo dell’UE sulla cyber-sicurezza include la NIS2 e il DORA, che riguardano il CIO più direttamente nella sua attività di messa in sicurezza della sua azienda e dei partner con cui ha relazioni commerciali. Ma anche il CRA tocca il lavoro del CIO e completa le altre norme: per esempio, il direttore IT di una banca dovrà tenere conto della legge DORA, ma, quando acquista un prodotto connesso, guarderà anche alle garanzie fornite dal CRA.
Ci sono dei collegamenti anche con l’AI Act, che a sua volta ha elementi che riguardano la cybersicurezza e la gestione dei rischi nell’ambito dei modelli di intelligenza artificiale. Come osserva Baldini, “È possibile che un sistema AI classificato ad alto rischio sia anche un prodotto con elementi digitali ai sensi del CRA. Il legislatore ha, per fortuna, previsto questo caso e evitato la sovrapposizione normativa, indicando all’articolo 12 del CRA che, se il prodotto connesso è anche tra i sistemi di intelligenza artificiale ad alto rischio e lo stesso è compliant con il CRA, allora si presume la conformità con l’articolo 15 dell’AI Act (che impone la sicurezza cyber sui prodotti AI). Questo interessa, nello specifico, i CIO di aziende che sviluppano prodotti usando modelli AI”.
Come il CRA aiuta i CIO
Secondo il Direttore IT di Banca Etica Ridulfo, il Cyber Resilience Act è sicuramente un aiuto per i CIO e le loro aziende nel miglioramento della cybersicurezza.
“Uno degli aspetti cruciali del CRA è l’obbligo per i produttori di garantire che i prodotti con elementi digitali siano progettati e sviluppati secondo elevati standard di sicurezza, come indicato nell’Annex I. La conformità a questi requisiti rappresenta un filtro efficace per prodotti che altrimenti potrebbero introdurre vulnerabilità nelle nostre reti”, afferma Ridulfo. “Questo ci dà maggiore fiducia nel processo di acquisto, sapendo che i prodotti sono stati sottoposti a valutazioni rigorose e che la loro sicurezza sarà monitorata anche dopo la commercializzazione, attraverso aggiornamenti e patch regolari. Di conseguenza, il CRA ci permette di adottare tecnologie con meno rischi per la sicurezza e di concentrarci sulla resilienza operativa”.
Sebbene il CRA rappresenti un importante passo avanti, tuttavia, per Ridulfo ci sono aspetti della cyber resilienza che potrebbero essere migliorati. Per esempio, la normativa si concentra principalmente sui prodotti connessi, ma “l’evoluzione delle minacce richiede una maggiore attenzione ai comportamenti degli utenti finali e alle tecniche di attacco più sofisticate come il social engineering”, evidenzia Ridulfo. “Inoltre, la gestione delle vulnerabilità dei fornitori di terze parti, soprattutto in ecosistemi complessi, rimane un punto critico”.
La NIS2, infatti, ha cercato di dare risposta a questi timori chiedendo un rafforzamento della cybersicurezza sull’intera supply chain, ma i Direttori IT si preoccupano delle eventuali lacune nella tempestività di reazione ai nuovi attacchi, che richiede un costante aggiornamento e monitoraggio di tutte le parti coinvolte. Altro elemento che impensierisce i CIO è il “fattore umano” della sicurezza informatica, ovvero il comportamento corretto e consapevole di dipendenti e partner, dentro e fuori il perimetro aziendale. Le persone – qui i CIO sono davvero unanimi – restano “l’anello debole” della catena della cyber resilienza su cui è difficile agire con la pura azione normativa.
Read More from This Article: Cyber Resilience Act dell’UE: che cos’è e come faciliterà la vita ai CIO
Source: News