Cyber Resilience Act (CRA) - Regolamento (UE) 2024/2847
Nello “tsunami” normativo che sta’ investendo l’Unione Europea in questi ultimi anni, c’è da annoverare il CRA (Cyber Resilience Act).
Il Regolamento (UE) 2024/2847, pubblicato il 23 ottobre 2024 è relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n.168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza).
Cerchiamo di capirne un po’ di più, riportando di seguito qualche FAQ:
Perché la necessità di tale regolamento?
La risposta è abbastanza ovvia se si pensa che gli attacchi informatici costituiscono una questione di interesse pubblico considerato che hanno un impatto non solo sull’economia dell’Unione (solo per avere un’idea nel 2021 la Commissione Europea aveva stimato un costo annuale globale dovuto ai soli attacchi ransomware di ben 20 miliardi di euro), ma anche sulla democrazia, sulla sicurezza dei consumatori e sulla salute.
Se a ciò si aggiunge che ogni 11 secondi avviene un attacco ransomware, si ha percezione di quanto sia importante la questione “sicurezza informatica”.
Pertanto, è indispensabile che l’Unione Europea si occupi di rafforzare l’approccio alla cibersicurezza, occuparsi della ciberresilienza e migliorare il funzionamento del mercato interno, definendo un quadro giuridico uniforme per i requisiti essenziali di cibersicurezza per l’immissione sul mercato dell’Unione di prodotti con elementi digitali.
Qual è la data di applicazione?
Il suddetto regolamento si applica a partire dall’11 dicembre 2027, tuttavia, l’articolo 14 si applica a decorrere dall’11 settembre 2026 e il capo IV (Notifica degli Organismi di Valutazione della Conformità: articoli da 35 a 51) si applica a decorrere dall’11 giugno 2026.
Qual è l’ambito di applicazione?
L’ambito di applicazione del regolamento 2024/2847 è definito all’Articolo 2: “il presente regolamento si applica ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete”.
In aggiunta a quanto sopra riportato, di particolare importanza è il contenuto del considerando 53, di cui si riporta un estratto:
“I fabbricanti di prodotti che rientrano nell’ambito di applicazione del regolamento (UE) 2023/1230 del Parlamento Europeo e del Consiglio che sono anche prodotti con elementi digitali come definiti nel presente regolamento dovrebbero rispettare sia i requisiti essenziali di cui al presente regolamento sia i requisiti essenziali di cibersicurezza di cui al presente regolamento e di tutela della salute di cui al regolamento (UE) 2023/1230. I requisiti essenziali di cibersicurezza di cui al presente regolamento e alcuni requisiti essenziali stabiliti nel regolamento (UE) 2023/1230 potrebbero affrontare rischi di cibersicurezza simili. La conformità ai requisiti essenziali di cibersicurezza di cui al presente regolamento potrebbe pertanto facilitare la conformità ai requisiti essenziali che coprono anche determinati rischi di cibersicurezza di cui al regolamento (UE) 2023/1230, in particolare quelli riguardanti la protezione contro la corruzione e la sicurezza e l’affidabilità dei sistemi di controllo di cui all’Allegato III, sezioni 1.1.9 e 1.2.1 di tale regolamento”.
Quali sono gli obblighi dei fabbricanti?
Gli obblighi dei fabbricanti sono dettagliati all’Articolo 13.
In particolare, al paragrafo 1 si stabilisce che “All’atto dell’immissione sul mercato di un prodotto con elementi digitali, i fabbricanti assicurano che esso sia stato progettato, sviluppato e prodotto conformemente ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I”.
Si ricorda che nell’allegato I (Requisiti Essenziali di Cibersicurezza) alla Parte I si stabiliscono i requisiti di cibersicurezza relativi alle proprietà dei prodotti con elementi digitali.
Di conseguenza ogni fabbricante per poter immettere sul mercato il proprio prodotto con elementi digitali dovrà effettuare una valutazione dei rischi di cibersicurezza di cui tenerne conto durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto, allo scopo di ridurre tali rischi al minimo anche in relazione alla salute e alla sicurezza degli utilizzatori.
Ovviamente tale valutazione dei rischi di cibersicurezza sarà inclusa nella documentazione tecnica che deve essere redatta prima dell’immissione sul mercato del prodotto con elementi digitali ed è costantemente aggiornata, se del caso, almeno per tutta la durata del periodo di assistenza, come riportato nell’articolo 31.
A proposito di documentazione tecnica, l’allegato VII prevede che il fabbricante produca le seguenti informazioni, a seconda dell’applicabilità al pertinente prodotto con elementi digitali:
- Una descrizione generale del prodotto con elementi digitali;
- Una descrizione della progettazione, dello sviluppo e della produzione del prodotto con elementi digitali e dei processi di gestione delle vulnerabilità;
- Una valutazione dei rischi di cibersicurezza (come anticipato di sopra);
- Informazioni pertinenti di cui si è tenuto conto per determinare il periodo di assistenza;
- Un elenco delle norme armonizzate applicate integralmente o in parte;
- Le relazioni delle prove effettuate per verificare la conformità del prodotto con elementi digitali di cibersicurezza;
- Una copia della dichiarazione di conformità UE;
- la distinta base del software.
Tra gli obblighi dei fabbricanti rientra anche quanto previsto dall’articolo 14.
In particolare, al paragrafo 1 è previsto che il fabbricante notifichi simultaneamente al CSIRT designato come coordinatore, conformemente al paragrafo 7 dello stesso articolo, ossia dello Stato membro in cui ha lo stabilimento principale nell’Unione e all’ENISA, qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali di cui viene a conoscenza.
Lo stesso articolo prevede al paragrafo 3 che il fabbricante è altresì obbligato a notificare, con le stesse modalità, anche qualsiasi incidente grave che abbia un impatto sulla sicurezza del prodotto con elementi digitali di cui viene a conoscenza.
Si ricordi infine quanto detto all’inizio a proposito della decorrenza di applicabilità dell’articolo 14 che non coincide con quella del regolamento.
A cosa vanno incontro i fabbricanti nel caso in cui non lo applicassero?
Come avviene in generale per altri regolamenti, l’Unione Europea anche in questo caso lascia come unico “grado di libertà” ai singoli Stati la possibilità di fissare le norme sulle sanzioni applicabili, infatti, è esattamente ciò che prevede l’articolo 64 al paragrafo 1, dove tra l’altro si riporta che “le sanzioni previste devono essere effettive, proporzionate e dissuasive”.
L’articolo 2 stabilisce che: “La non conformità ai requisiti essenziali di cibersicurezza di cui all’allegato I e agli obblighi di cui agli articoli 13 e 14 è soggetta a sanzioni amministrative pecuniarie fino a 15.000.000 euro o, se l’autore del reato è un’impresa, fino al 2,5% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.
Infine, per completezza, riportiamo che sono previste delle sanzioni importanti anche per i rappresentanti autorizzati, gli importatori e i distributori che non dovessero rispettare quanto previsto dal regolamento, oltreché a tutti coloro che forniscono informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità di vigilanza del mercato.
A questo punto, se è rimasto qualche dubbio da chiarire o qualche aspetto da approfondire, ICIM Consulting è a disposizione per eventuali corsi dedicati in -house o anche da remoto.
Non è una corrispondenza, ma una newsletter personalizzata.
Rimani sempre aggiornato con le nostre newsletter sul Gruppo ICIM.
