Novità sul fronte della sicurezza informatica: il primo pacchetto normativo del Cyber Resilience Act (CRA) verrà approvato prossimamente dall’Unione europea.
Si tratta di una legge volta a proteggere tutti i prodotti digitali nell’Ue, tramite un assetto di certificazioni e di vigilanza.
Il CRA si pone degli obiettivi che, in generale, garantiscono un miglioramento della sicurezza sin dalla fase di progettazione e di sviluppo dei prodotti digitali, per assicurare sia alle imprese che ai consumatori un utilizzo sicuro dei dispositivi di informazione e comunicazione (ICT) e una sempre maggiore trasparenza.
Anche l’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA) viene considerata nella nuova legge. Il ruolo dell’ENISA sarà, infatti, quello di vigilare, controllare e coordinare la situazione, intervenendo in caso di riscontrate vulnerabilità.
Inoltre, alla stessa Agenzia toccherà informare gli altri Stati membri affinché attivino le procedure nazionali per l’implementazione delle misure di prevenzione.
Nuovi obblighi
Il Cyber Resilience Act introduce nuovi obblighi per gli Stati membri. Ora, segnalare incidenti gravi non sarà più sufficiente, in quanto il CRA si allinea alla direttiva Network and Information Security (NIS 2). La NIS 2 determina scadenze ristrette per la trasmissione del preallarme (48 ore) e della notifica degli incidenti informatici (72 ore) e obbliga all’invio di una relazione definitiva entro un mese dalla trasmissione della notifica.
Applicazione
Il CRA avrà un’applicazione estesa a tutti i prodotti direttamente o indirettamente collegati a un altro dispositivo o rete, con alcune eccezioni, tra cui strumenti medici o medico-diagnostici, aviazione civile, veicoli a motore e servizi open source.
Una volta che la legge sarà entrata in vigore i produttori di tecnologie informatiche dovranno implementare misure di sicurezza durante l’intero ciclo vitale del prodotto.
Inoltre, i software (programmi) e gli hardware (dispositivi fisici) considerati “sicuri”, riporteranno la marcatura CE.
Questo implica l’obbligo, da parte di tutti i fornitori e per tutti i prodotti, di ottenere una certificazione specifica, secondo il Regolamento Ue sulla cybersicurezza.
Infine, il Parlamento e il Consiglio Ue hanno inserito ulteriori misure a sostegno di piccole e micro imprese. Tra queste, sono incluse anche attività di sensibilizzazione, formazione e supporto alle procedure di prova e valutazione della conformità.
Quello del CRA, insomma, si prospetta come il principio di una cooperazione virtuosa tra i settori pubblico e privato, con misure specifiche per le vulnerabilità dei prodotti.
Articolo di A.F.