A cura di Sebastiano Toffaletti
Gli ultimi mesi del 2023 potrebbero portare all’adozione del Cyber Resilience Act, o almeno ad un compromesso politico in seno alle istituzioni dell’UE. La Spagna, che detiene la presidenza del consiglio fino alla fine dell’anno, è determinata a chiudere la negoziazione sotto il proprio mandato.
Il Cyber Resilience Act, nel gergo CRA, completa la direttiva NIS2 nel promuovere nuovi livelli di sicurezza informatica non solo per le infrastrutture digitali, ma anche per i prodotti hardware e oggetti telematici per la casa. Fatta esclusione per apparecchiature medicali, aviazione e settore automobilistico, qualunque dispositivo connesso, come elettrodomestici smart, telecamere per la sorveglianza, televisori o giocattoli dovrà dimostrare un livello di riferimento di sicurezza.
Nelle intenzioni del legislatore europeo il sistema di marcatura e label dei prodotti promuoverà consapevolezza da parte dei consumatori e renderà i produttori responsabili della sicurezza dei loro prodotti. Sin dallo sviluppo e progettazione di nuovi prodotti, i fabbricanti dovranno integrare la capacità di rispondere a requisiti minimi sicurezza.
Anche una volta immessi sul mercato, i prodotti dovranno continuare a garantire protezione contro attacchi informatici e l’obbligo di fornire aggiornamenti di sicurezza durante tutto il ciclo di vita del prodotto. Le istituzioni UE non hanno ancora trovato del tutto una linea condivisa sull’obbligo a fornire aggiornamenti di sicurezza. Sarà molto interessante seguire la negoziazione politica, in quanto la questione potrebbe avere impatti importanti sui fabbricanti europei, ma non solo. Pensiamo in particolare a tutti quei prodotti, specie provenienti dalla Cina, la cui vita utile viene volutamente ridotta dal fabbricante semplicemente rendendo obsoleto il software. Al momento della redazione di questo articolo, esistono ancora posizioni contrapposte tra Commissione, Parlamento e Consiglio UE. Mentre la Commissione, finora sostenuta dai paesi membri, vuole fissare a 5 anni il periodo minimo in cui il fabbricate è tenuto a fornire aggiornamenti, la lobby dei grandi produttori per lo più extra europei ha fatto pressione sul parlamento riuscendo ad inserire la possibilità di accorciare il periodo a discrezione del fabbricante.
L’immissione sul mercato UE di prodotti soggetti al Cyber Resilience Actt prevederà la classificazione in base al rischio, da cui discendono requisiti diversi a seconda della classe. I prodotti considerati “critici” saranno soggetti a norme armonizzate e a controlli di terze parti indipendenti. Rientrano in questa categoria, ad esempio, i gestori di password, le interfacce di rete, i cripto-processori sicuri, le Smart card, i lettori e i token.
In linea con una diffusa sensibilità verso gli interessi della Piccola e Media Impresa, vero motore del sistema economico non solo italiano ma di tutti i paesi dell’Unione, Il Cyber Resilience Act riconosce l’importanza di coinvolgere attivamente le PMI nel processo decisionale, garantendo che queste imprese ricevano il supporto necessario per adattarsi alle nuove normative.
La European DIGITAL SME Alliance, l’associazione che a livello europeo maggiormente presidia gli interessi delle PMI soprattutto negli ambiti relativi al digitale tra cui la sicurezza informatica, sostiene il CRA e l’armonizzazione dei requisiti di sicurezza informatica. Tuttavia, l’Alleanza ha chiesto maggiore attenzione al potenziale impatto del CRA sulle PMI, affinché ricevano orientamenti chiari e risorse finanziarie per facilitare la conformità con la nuova legge. Per stimolare l’innovazione, l’Alleanza ha inoltre chiesto il supporto della Commissione europea attraverso finanziamenti, assistenza tecnica e collabo razione tra le parti interessate. L’attuazione richiederà infatti uno sforzo collettivo da parte di tutti gli attori coinvolti. La Commissione europea dovrebbe istituire programmi in collaborazione con l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) ed altri organismi di cybersecurity per offrire supporto, assistenza tecnica e sostegno finanziario alle PMI nell’affrontare i nuovi requisiti regolamentari.
Il successo del CRA risiede dunque nell’empowerment delle PMI. Queste imprese devono essere rappresentate nei comitati di standardizzazione per adattare le norme alle loro esigenze specifiche e garantire che i requisiti tecnici siano adeguati alle realtà più piccole. L’istituzione di meccanismi strutturati di consultazione consentirebbe loro di fornire contributi su aspetti chiave del Cyber Resilience Act, come standard, linee guida e strumenti di sostegno finanziario.
Alcune questioni rimango ancora aperte e ci si aspetta facciano parte delle negoziazioni presiedute dalla Spagna nel Consiglio UE, con la Commissione e con il Parlamento. Anche l’Italia ha un ruolo centrale in questo processo, o almeno ce l’ha il deputato europeo Nicola Danti, eletto nella lista della Lega, il quale presiede la commissione parlamentare incaricata.
Tra le questioni ancora non affrontate, per facilitare l’adozione da parte delle PMI è auspicabile che i legislatori forniscano una lista di metodologie e quadri riconosciuti come riferimento, semplificando così il processo decisionale per le aziende più piccole.
Rimane ancora da chiarire se il legislatore intenda estendere il campo di applicazione oltre che ai prodotti connessi anche ai servizi post vendita cioè il mercato dei servizi secondari legati ai dati generati dai prodotti smart. Inoltre, al fine di evitare o almeno ridurre le inevitabili discrepanze di attuazione tra Stati membri, e quindi prevenire concorrenza sleale tra aziende, è necessario creare un sistema centralizzato gestito dalla Commissione europea o da ENISA per armonizzare le metodologie e i tempi delle valutazioni del rischio.
In aggiunta a quanto sopra, la European DIGITAL SME Alliance ha spesso insistito sulla necessita di regolamentare la capacità dei fabbricanti di imporre protocolli di sicurezza che limitano l’accesso indipendente di terze parti ai loro dispositivi. Tali restrizioni ledono da un lato il “diritto alla riparazione” per gli utenti e limitano la concorrenza di imprese indipendenti nel mercato post vendita. Allo stesso modo è importante mantenere l’obbligo di fornire aggiornamenti di sicurezza per l’intero ciclo di vita dei prodotti, o almeno 5 anni, e di evitare “sconti” alle aziende che desiderano accorciarlo.
Una questione ancora osteggiata fieramente da molte aziende extra europee, specie BigTech, è l’obbligo per i fabbricanti di comunicare ad ENISA, piuttosto che alle agenzie nazionali, l’esistenza di vulnerabilità, includendo potenzialmente anche quelle non ancora risolte. Queste aziende mettono l’accento sui rischi che una diffusione di tali vulnerabilità potrebbe generare. Si può però rispondere che esse devono probabilmente molto al valore dei loro brand, più che alla qualità dei loro prodotti, e quindi temono di dover ammettere di non essere sempre all’altezza della tale reputazione.
Altra questione ancora aperta è la possibile esclusione del Software Libero e Open Source, quanto meno se utilizzato a scopo non commerciale. L’obbligo di estendere la conformità ai fornitori di componenti è considerato molto oneroso, se non addirittura impossibile da affrontare, per chi sviluppa in ecosistemi altamente distribuiti come l’Open Source.
Come spesso accade, sebbene il processo legislativo sia ormai giunto alla conclusione, le questioni più spinose sono ancora irrisolte. I prossimi mesi ci diranno cosa deciderà l’UE, quali interessi nazionali avranno ottenuto le migliori condizioni e quali aziende saranno penalizzate o ne avranno un beneficio. Tutti, certamente, dovranno mettere la sicurezza tra le loro priorità.