15 settembre 2022: l’Europa dice basta alla (spropositata) libertà sulla rete digitale.
Risale a tale data infatti, l’emanazione del Cyber Resilience Act da parte della Commissione Europea: l’obiettivo è quello di definire un ampio quadro normativo per la sicurezza informatica dei prodotti digitali connessi in rete (c.d. “Internet of Things”), prevedendo obblighi più stringenti ai relativi produttori e non solo ( il Regolamento si rivolge anche agli importatori di prodotti digitali).
Il Cyber Resilience Act va ad introdurre nell’ordinamento comunitario un quadro comune di certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione (“TIC”). In Italia, la certificazione della cybersicurezza è stata da poco attuata dal D.lgs. n. 123/2022, entrato in vigore lo scorso 4 settembre, che recepisce la citata normativa europea. Il decreto, infatti, oltre a designare l’Agenzia per la cybersicurezza nazionale (“ACN”) come autorità nazionale di riferimento in materia, individua nella stessa il ruolo di regolatrice della certificazione della cybersicurezza e di vigilanza sui certificati e sulle dichiarazioni di conformità.
Nell’ottica del controllo e della vigilanza, il Regolamento favorisce la cooperazione tra istituzioni, demandando l’attività ispettiva e sanzionatoria alle autorità nazionali di vigilanza del mercato degli Stati membri, imponendo loro di fornire alle autorità nazionali per la protezione dei dati tutte le informazioni rilevanti per lo svolgimento dei loro compiti, e riservando all’ENISA il diritto di adottare misure correttive o restrittive a livello comunitario.
La Commissione si prefigge di perseguire quattro specifici obiettivi:
- creare un quadro comune europeo per la cybersecurity nella UE;
- garantire che i produttori migliorino la sicurezza informatica dei prodotti, sin dalla fase di progettazione e durante l’intero ciclo di vita;
- aumentare la trasparenza delle pratiche di sicurezza informatica e delle proprietà tecniche dei prodotti;
- fornire ai consumatori e alle aziende prodotti sicuri pronti all’utilizzo.
Più in dettaglio, tali prodotti devono:
- essere consegnati con una configurazione sicura di default, compresa la possibilità di ripristinare il prodotto allo stato originale;
- garantire la protezione dall’accesso non autorizzato mediante meccanismi di controllo appropriati (esempio: sistemi di autenticazione o di gestione dell’identità);
- proteggere la riservatezza dei dati memorizzati, trasmessi o altrimenti elaborati, personali o di altro tipo;
- proteggere l’integrità dei dati memorizzati, trasmessi o altrimenti elaborati, personali o di altro tipo;
- trattare solo dati, personali o di altro tipo, adeguati, pertinenti e limitati a quanto necessario in relazione all’uso previsto del prodotto (secondo il principio di “minimizzazione dei dati”);
- proteggere la disponibilità delle funzioni essenziali;
- ridurre al minimo il proprio impatto negativo sulla disponibilità dei servizi forniti da altri dispositivi o reti;
- essere progettati, sviluppati e prodotti per limitare le superfici di attacco, comprese le interfacce esterne;
- essere progettati, sviluppati e prodotti per ridurre l’impatto di un incidente utilizzando meccanismi e tecniche di mitigazione dello sfruttamento appropriati;
- fornire informazioni sulla sicurezza registrando e/o monitorando le attività interne pertinenti;
- assicurare che le vulnerabilità possano essere affrontate attraverso gli aggiornamenti di sicurezza.
Il Regolamento si applica a qualunque prodotto software o hardware: come espressamente previsto dall’art. 2 della proposta di Regolamento, esso si applica a “prodotti con elementi digitali il cui uso previsto o ragionevolmente prevedibile includa una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete”. Tale definizione viene ulteriormente specificata nell’allegato III, che distingue i prodotti in due classi, sulla base del livello di rischio:
In “Classe I” rientrano i prodotti considerati ad alto rischio, perché presentano elementi digitali con un alto grado di vulnerabilità e criticità della sicurezza informatica:
- sistemi operativi per server, desktop e dispositivi mobili;
- ipervisori e sistemi di runtime per container che supportano l’esecuzione virtualizzata di sistemi operativi e ambienti simili;
- infrastruttura a chiave pubblica ed emittenti di certificati digitali;
- firewall, sistemi di rilevamento e/o prevenzione delle intrusioni destinati all’uso industriale;
- microprocessori di uso generale;
- microprocessori destinati all’integrazione in controllori logici programmabili;
- router, modem per la connessione a Internet e switch per uso industriale;
- moduli di sicurezza hardware (HSM);
- crittoprocessori;
- smartcard, lettori di smartcard e token;
- Componenti di rilevamento, di controllo e attuatori per robot;
- Contatori intelligenti.
In “Classe II”, invece, rientrano quei prodotti che presentano un livello di rischio di sicurezza informatica inferiore rispetto ai prodotti di Classe I:
- software per sistemi di gestione delle identità e software per la gestione degli accessi privilegiati;
- browser standalone e incorporati;
- gestori di password;
- software che cerca, rimuove o mette in quarantena il software dannoso;
- prodotti con elementi digitali con funzione di rete privata virtuale (VPN);
- sistemi di gestione della rete;
- strumenti di gestione della configurazione di rete;
- sistemi di monitoraggio del traffico di rete;
- gestione delle risorse di rete;
- sistemi di gestione delle informazioni e degli eventi di sicurezza;
- gestione di aggiornamenti/patch, compresi i gestori di avvio;
- sistemi di gestione della configurazione delle applicazioni;
- software di accesso remoto/condivisione;
- software di gestione dei dispositivi mobili;
- interfacce di rete fisiche;
- sistemi operativi non compresi nella classe II;
- firewall, sistemi di rilevamento e/o prevenzione delle intrusioni non coperti dalla classe II;
- router, modem destinati alla connessione a Internet e switch, non compresi nella classe II;
- microprocessori non compresi nella classe II;
- microcontrollori;
La restante gamma di prodotti che non rientra nelle classi elencate nell’allegato III, possono essere valutati dalle aziende produttrici che avranno l’onere di approntare soluzioni ed azioni migliorative.