Il Cyber Resilience Act dell’Unione Europea introduce requisiti più rigorosi in materia di cybersicurezza per tutti i prodotti con componenti digitali, imponendo misure di protezione lungo l’intero ciclo di vita. Considerata la complessità del nuovo quadro normativo, questo articolo offre una sintesi chiara e strutturata dei principali obblighi e implicazioni per le imprese.
Cos’è il Cyber Resilience Act
Legge sulla ciberresilienza (CRA) rappresenta una delle prime normative dell’UE concepite per incrementare la sicurezza informatica dei prodotti e servizi dotati di componenti digitali, che sono sempre più integrati nei sistemi industriali, nonché nella nostra vita quotidiana. Dispositivi come sensori industriali, PLC, sistemi di controllo remoto, ma anche tecnologie di rete come firewall e router, o prodotti di massa come smartwatch, rientrano tra quelli che dovranno conformarsi a questa regolamentazione.
Il Cyber Resilience Act è pensato per fornire alle aziende un quadro chiaro per garantire la sicurezza e l’affidabilità dei dispositivi IoT utilizzati in contesti industriali e per aiutare i consumatori a fare scelte più informate nell’acquisto e utilizzo di dispositivi connessi. Con l’applicazione del CRA, tutti i dispositivi e sistemi immessi nel mercato dell’UE, provenienti sia da aziende europee che da fornitori internazionali, dovranno rispettare severi standard di cybersicurezza, anche per quelli utilizzati nell’automazione industriale. Questo significa che le aziende dovranno adottare misure di protezione avanzate per ridurre i rischi legati a minacce cibernetiche, assicurando che i loro impianti e infrastrutture siano resilienti agli attacchi e sicuri per l’operatività continua e la protezione dei dati sensibili.
Classificazione dei rischi e conformità
Il Cyber Resilience Act stabilisce una classificazione dettagliata dei prodotti con componenti digitali in base al rischio associato, suddividendo i prodotti in tre categorie principali:
- Classe II: Prodotti ad alta criticità che necessitano di una certificazione da parte di un organismo accreditato;
- Classe I: Prodotti critici, ma non al livello della Classe II, che richiedono comunque un controllo e una conformità adeguata;
- Categoria Predefinita: Prodotti non critici, per i quali è sufficiente una dichiarazione di conformità da parte del produttore.
Requisiti e obblighi legali per la cybersecurity ai sensi del CRA
Questo quadro normativo impone alle aziende del settore manifatturiero e dell’automazione industriale di adattarsi a standard elevati di sicurezza e trasparenza, assicurando una protezione continua contro le minacce cibernetiche. Nello specifico:
- Valutazione del Rischio: I produttori sono tenuti a valutare e ridurre costantemente i rischi legati ai loro PDE durante l’intero ciclo di vita del prodotto.
- Monitoraggio e Aggiornamenti: Dopo la messa in commercio, i produttori devono monitorare costantemente i prodotti per identificare rischi legati alla sicurezza informatica e applicare tempestivamente aggiornamenti, gratuiti per almeno cinque anni. In caso di vulnerabilità, è necessaria una risposta immediata.
- Segnalazione: È previsto l’obbligo di segnalare tempestivamente qualsiasi vulnerabilità sfruttata e incidente alle autorità nazionali tramite ENISA, entro 24 ore per i casi di allerta precoce e 72 ore per le notifiche complete.
- Trasparenza: I produttori devono fornire documentazione tecnica dettagliata e istruzioni chiare per gli utenti finali, garantendo che questi ultimi siano ben informati sulle caratteristiche di sicurezza dei prodotti.