"La cyber security è una questione che interessa tutta la società, non più solo una questione di mercato": con queste parole la Commissione Europea ha voluto sottolineare l'importanza del nuovo Cyber Resilience Act. Una norma che, si spiega, "introduce requisiti obbligatori di cyber sicurezza per i prodotti che hanno componenti digitali, lungo tutto il loro ciclo di vita". Senza norme che impongano una sicurezza "da zero", è il messaggio, difficilmente tutto il mercato si sentirebbe motivato a perseguirla.

Il Cyber Resilience Act nasce da una constatazione precisa: gli attacchi informatici cavalcano sempre più spesso vulnerabilità presenti nele piattaforme software e nella parte software di prodotti fisici. Ad aggravare la situazione, i consumatori e le imprese non hanno abbastanza informazioni e indicazioni per poter scegliere un prodotto che sia "garantito" per la sua sicurezza. Manca il "marchio CE" per la cyber security, ed è quello che la nuova norma introduce.

Il Cyber Resilience Act non reiventa la ruota, quando questa c'è e funziona. Non sostituisce cioè le normative europee già esistenti sulla sicurezza cyber. E, anzi, i prodotti che sono già stati certificati conformi a norme UE preesistenti legate alla cyber security si considereranno "validi" anche per il nuovo Cyber Resilience Act.

La norma inoltre non tocca i servizi "puri" - ad esempio le applicazioni SaaS - tranne quando questi servono per l'elaborazione dei dati relativi a un oggetto o un macchinario connesso. In sostanza, il Cyber Resilience Act non andrà a sindacare sul funzionamento della nostra piattaforma di email, ma toccherà ad esempio i moduli che gestiscono le immagini raccolte da una videocamera di sicurezza o controllano da remoto una linea di produzione.

Cyber Resilience Act: gli obblighi

In estrema sintesi, il Cyber Resilience Act impone che nell'Unione Europa possano essere commercializzati solo prodotti a marchio CE digitalmente sicuri, i cui produttori si comportino in modo tale da mantenerli sicuri lungo tutto il loro ciclo di vita. Messa così sembra semplice, ma le due condizioni si realizzano attraverso diversi passi tutt'altro che banali.

Per la norma, un prodotto è "sicuro" se - tra l'altro - è progettato e realizzato in modo da avere un livello di sicurezza appropriato ai rischi cyber che il suo uso comporta, non ha vulnerabilità note al momento in cui viene venduto, ha una configurazione sicura di default, è protetto da connessioni illecite, tutela i dati che raccoglie (e raccoglie solo quelli che servono davvero al suo funzionamento), prevede l'eliminazione di vulnerabilità attraverso aggiornamenti software.

Da parte sua, un produttore agisce correttamente se - tra l'altro - rende disponibili le "bill of materials" dei componenti software dei suoi prodotti, emette rapidamente patch gratuite in caso di nuove vulnerabilità, rende pubbliche e dettaglia le vulnerabilità che rileva e risolve, testa regolarmente la "solidità" dei prodotti che commercializza. Queste e le altre attività imposte dal Cyber Resilience Act vanno svolte per tutta la vita di un prodotto, o almeno per cinque anni dalla sua immissione sul mercato.

Nella maggioranza - la Commissione stima il 90% - dei casi le caratteristiche di cyber security di un prodotto possono essere auto-certificate dal produttore. Questi deve eseguire una auto-valutazione della cyber security di un prodotto secondo le linee guida della normativa. Sotto la propria responsabilità il produttore presenta una specifica documentazione che dichiara l'affidabilità del prodotto, per poi poter apporre il marchio CE. Se il prodotto o software viene modificato in modo rilevante, la procedura va ripetuta.

Il restante 10% dei prodotti e software a rischio cyber richiede, secondo la Commissione Europea, una maggiore attenzione. Sono i cosiddetti "prodotti critici con elementi digitali", critici perché una loro falla o violazione può portare, in cascata, ad altre pericolose e più estese violazioni della sicurezza. Prevedibilmente, e ovviamente, in questa categoria rientrano innanzitutto i prodotti che "fanno" in vario modo cyber security e i componenti di base dell'IT e dell'OT. L'elenco è ampio e diviso in una Classe I di prodotti a relativamente minor rischio e una Classe II di prodotti più critici.

Nella Classe I troviamo ad esempio web browser, password manager, antimalware, piattaforme di network management e monitoring, SIEM, firewall, IPS, router, switch, microprocessori, microcontroller, ASIC, moduli IoT. Nella Classe II troviamo tra l'altro sistemi operativi, piattaforme di virtualizzazione, firewall e IPS industriali, chip di sicurezza, router e switch industriali, sistemi di controllo e automazione industriale progettati per servizi essenziali e critici, soluzioni di Industrial IoT, smart meter, componenti robotici.

Per i prodotti di Classe I non bastano le autocertificazioni di base. Un produttore può ancora auto-certificarsi, ma solo se dichiara di aver seguito precisi standard di mercato, specifiche di sicurezza o certificazioni di cyber security già previste dalla UE. In alternativa, può far certificare il suo prodotto da una terza parte, tipicamente un ente di certificazione accreditato. Quest'ultima strada - il coinvolgimento di una terza parte - è l'unica possibile per i prodotti di Classe II.

I vari Stati membri UE attiveranno una sorvegliaza costante del mercato per verificare l'affidabilità cyber di prodotti e produttori (ma anche di importatori e distributori). Se si rileva che un prodotto non è sicuro come dichiarato, o non lo è più, la sua commercializzazione può essere bloccata nella nazione che si è "allertata". È previsto un meccanismo di escalation: il blocco in una nazione viene valutato a livello UE e, se giustificato, viene esteso a più nazioni e l'agenzia europea per la sicurezza (ENISA) può scendere in campo per valutare in dettaglio il prodotto segnalato.

Le sanzioni previste dal Cyber Resilience Act sono pesanti. La non-compliance con i requisiti essenziali di cyber security di un prodotto comporta una multa che può arrivare fino a 15 milioni di euro o al 2,5% del fatturato dell'anno fiscale precedente (vale la cifra più elevata). Non osservare un qualsiasi altro obbligo della norma comporta una sanzione fino a 10 milioni di euro o al 2% del fatturato. Fornendo informazioni non corrette, incomplete o ingannevoli agli organismi di certificazione o alle authority di sorveglianza si rischia una sanzione sino a 5 milioni di euro al 1% del fatturato.

Il Cyber Resilience Act non è ancora una norma ratificata ma solo una dettagliata bozza proposta dalla Comissione. Ora la bozza va esaminata dal Consiglio e dal Parlamento Europeo, per eventuali modifiche. Alla fine di questa valutazione potrà entrare davvero in vigore. Da quel momento le aziende avranno due anni per adattarsi alla norma. Fa eccezione l'obbligo per un produttore di notificare immediatamente gli incidenti di sicurezza legati ai suoi prodotti e lo sfruttamento attivo delle loro vulerabilità. Questo obbligo entrerà in vigore già un anno dopo la ratificazione del Cyber Resilience Act.