Cyber Resilience Act (I PARTE)
Sovranità digitale e sicurezza dei prodotti tecnologici, osservazioni a margine della nuova proposta di regolamento presentata dal parlamento europeo e dal consiglio.
Lo scorso settembre è stata presentata una proposta di regolamento del parlamento europeo e del consiglio relativo a requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali.
Si tratta di una norma di fondamentale importanza nell’attuazione dei principi contenuti nella comunicazione congiunta al parlamento europeo e al consiglio del 2020 contenente la strategia dell’UE in materia di cybersicurezza per il decennio digitale, che prevede tra gli obiettivi da raggiungere, quelli in materia di resilienza, sovranità tecnologica e leadership.
Nel testo citato si legge, in effetti, che, in considerazione del fatto che le infrastrutture chiave e i servizi essenziali dell’UE sono sempre più interdipendenti e digitalizzati – e tutti gli elementi connessi a Internet nell’UE, che si tratti di automobili automatizzate, sistemi di controllo industriale o elettrodomestici, e l’intera catena di approvvigionamento che li rende disponibili – devono essere sicuri fin dalla progettazione, resilienti agli incidenti informatici e, nel caso vengano scoperte delle vulnerabilità, queste devono poter essere corrette rapidamente.
Quanto sopra, evidentemente poiché, la cybersicurezza fin dalla progettazione (cyber security by design) dei processi, delle operazioni e dei dispositivi industriali può mitigare i rischi, ridurre potenzialmente i costi per le imprese, come pure per la società in senso lato, aumentando pertanto la resilienza. Questo perchè in un ambiente connesso un incidente di cybersicurezza in un prodotto può pregiudicare un’intera organizzazione o un’intera catena di approvvigionamento, spesso propagandosi attraverso le frontiere del mercato interno nel giro di pochi minuti, con effetti significativi gravi per le attività economiche e sociali o persino diventare una minaccia letale.
Un aspetto finora trascurato
In effetti, in determinate condizioni tutti i prodotti con elementi digitali integrati in un sistema di informazione elettronico più ampio o connessi a un tale sistema possono fungere da vettore di attacco per soggetti malintenzionati. Di conseguenza anche l’hardware e il software che sono considerati meno critici possono facilitare la compromissione iniziale di un dispositivo o di una rete, consentendo a soggetti malintenzionati di ottenere un accesso privilegiato a un sistema o di muoversi lateralmente tra sistemi.
Per comprendere esattamente il fenomeno si può considerare la relazione di accompagnamento al Cyber Resilience Act ove si precisa che sebbene la normativa vigente in materia di mercato interno si applichi ad alcuni prodotti con elementi digitali, la maggior parte dei prodotti hardware e software non è attualmente disciplinata da alcuna normativa dell’UE riguardante la loro cybersicurezza.
In particolare, l’attuale quadro giuridico dell’UE in materia di Cyber Security non affronta, nello specifico, allo stato attuale, la questione della cybersicurezza del software non incorporato nei dispositivi (per esempio firewall, componenti di rete etc.) anche se, con sempre maggiore frequenza, la realtà ci dimostra che gli attacchi alla cybersicurezza prendono sempre più di mira le vulnerabilità di tali prodotti, causando costi sociali ed economici significativi.
Esistono, in effetti, numerosi esempi di attacchi informatici di grande portata dovuti a una sicurezza non ottimale dei prodotti, come il worm ransomware WannaCry, che ha sfruttato una vulnerabilità di Windows, colpendo, nel 2017, 200.000 computer in 150 Paesi provocando danni per miliardi di dollari, o il recente attacco a catene di approvvigionamento, che ha utilizzato il software di amministrazione di rete di un noto produttore per attaccare oltre 1.000 imprese, costringendo una catena di supermercati a chiudere tutti i suoi 500 negozi in Svezia, oppure, infine, i numerosi incidenti in cui sono violate le applicazioni bancarie per rubare denaro a consumatori ignari.
Tali prodotti risentono di due problemi principali, che comportano ulteriori costi per gli utilizzatori e per la società, da una parte, un basso livello di cybersicurezza, testimoniato da vulnerabilità diffuse e dalla fornitura insufficiente e incoerente di aggiornamenti di sicurezza per porvi rimedio e, dall’altra, un’insufficiente comprensione delle informazioni e un accesso limitato alle stesse da parte degli utilizzatori, che impediscono loro di scegliere prodotti con proprietà di cybersicurezza adeguate o di utilizzarli in modo sicuro.
Cosa viene proposto dall’Europa
In questo ambito, la proposta di regolamento stabilisce:
a) norme per l’immissione sul mercato di prodotti con elementi digitali per garantire la cybersicurezza di tali prodotti;
b) requisiti essenziali per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali e obblighi per gli operatori economici in relazione a tali prodotti per quanto riguarda la cybersicurezza;
c) requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi; d) norme sulla vigilanza del mercato e sull’applicazione delle norme e dei requisiti di cui sopra.
Il regolamento si applicherà a tutti i prodotti con elementi digitali il cui uso previsto e ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete, ma non si applicherà ai prodotti con elementi digitali che rientrano nell’ambito di applicazione del regolamento (UE) 2017/745 (ossia i dispositivi medici per uso umano e accessori per tali dispositivi) e del regolamento (UE) 2017/746 (dispositivi medico-diagnostici in vitro per uso umano e accessori per tali dispositivi), in quanto entrambi i regolamenti contengono già requisiti relativi ai dispositivi, anche in merito al software, e obblighi generali per i fabbricanti, che riguardano l’intero ciclo di vita dei prodotti, nonché procedure di valutazione della conformità.
Il regolamento non si applicherà, inoltre, ai prodotti con elementi digitali che sono stati certificati in conformità del regolamento 2018/1139 (livello elevato e uniforme di sicurezza dell’aviazione civile), né ai prodotti a cui si applica il regolamento (UE) 2019/2144 (relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi, nonché di sistemi, componenti ed entità tecniche destinati a tali veicoli).
Tassonomia dei prodotti ‘critici’
I prodotti con elementi digitali critici sono soggetti a specifiche procedure di valutazione della conformità e sono suddivisi in classi (classe I e classe II), come indicato nell’allegato III alla proposta, le quali riflettono il loro livello di rischio di cybersicurezza (la classe II rappresenta un rischio maggiore).
Un prodotto con elementi digitali è considerato critico, e quindi incluso nell’allegato III, tenendo conto dell’impatto delle potenziali vulnerabilità di cybersicurezza incluse nel prodotto con elementi digitali.
Per la determinazione del rischio di cybersicurezza si tiene conto, tra l’altro, della funzionalità legata alla cybersicurezza del prodotto con elementi digitali e dell’uso previsto in ambienti sensibili come quelli industriali.
Sono compresi sia i prodotti che possono essere connessi in modo fisico tramite interfacce hardware sia i prodotti che sono connessi in modo logico, per esempio tramite socket di rete, pipe, file, interfacce per programmi applicativi o qualsiasi altro tipo di interfaccia software.
