Cyber Resilience Act (II PARTE)
Sovranità digitale e sicurezza dei prodotti tecnologici, osservazioni a margine della nuova proposta di regolamento presentata dal parlamento europeo e dal consiglio.
Nello scorso articolo, si sono illustrati alcuni tra i tratti maggiormente caratterizzanti i contenuti della proposta di Regolamento del Parlamento Europeo e del Consiglio relativo a requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali, il cosiddetto ‘Cyber Resilience Act’.
Come accennato, la proposta individua due obiettivi principali per garantire il corretto funzionamento del mercato interno, il primo che consiste nel creare le condizioni per lo sviluppo di prodotti con elementi digitali sicuri, garantendo che i prodotti hardware e software siano immessi sul mercato con un minor numero di vulnerabilità, facendo sì che i fabbricanti prendano la sicurezza in seria considerazione durante l’intero ciclo di vita di un prodotto e, il secondo, che consiste, invece, nel creare le condizioni che consentano agli utilizzatori di tenere conto della cybersicurezza nella scelta e nell’utilizzo dei prodotti con elementi digitali.
Sono stati definiti altresì quattro obiettivi specifici coerenti con la European Cyber Security Strategy, e cioè:
i) il miglioramento della sicurezza dei prodotti con elementi digitali fin dalla fase di progettazione e sviluppo e durante l’intero ciclo di vita;
ii) un quadro coerente in materia di cybersicurezza, facilitando la conformità per i produttori di hardware e software;
iii) il miglioramento della trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali;
iv) consentire alle imprese e ai consumatori di utilizzarli in modo sicuro.
All’interno degli obiettivi indicati, sono state previste, in particolare: norme per l’immissione sul mercato di prodotti con elementi digitali; requisiti essenziali per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali e obblighi per gli operatori economici, in relazione a tali prodotti, per quanto riguarda la cybersicurezza; requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza dei prodotti con elementi digitali durante l’intero ciclo di vita e obblighi per gli operatori economici in relazione a tali processi; norme sulla vigilanza del mercato e sull’applicazione dei requisiti di cui sopra.
Norme specifiche per l’intelligenza artificiale
Disposizioni specifiche sono contenute per i prodotti con elementi digitali classificati come sistemi di intelligenza artificiale ad alto rischio conformemente all’articolo 6 della Proposta di Regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (Legge Sull’intelligenza artificiale) del 21 Aprile 2021. Si prevede, in effetti, che i sistemi di IA che rientrano nell’ambito di applicazione del Cyber Resilience Act, debbano essere conformi ai requisiti essenziali stabiliti da quest’ultimo, nella misura in cui tali requisiti siano contemplati dalla dichiarazione di conformità UE, o da sue parti.
Per quanto riguarda le procedure di valutazione della conformità relative ai requisiti essenziali di cybersicurezza di un prodotto con elementi digitali contemplato dalla proposta di Cyber Resilience Act e classificato come sistema di IA ad alto rischio, precisa la proposta: è opportuno che si applichino come norma generale le disposizioni pertinenti dell’articolo 43 della proposta di regolamento sull’IA, senza che ciò comporti una riduzione del livello di garanzia necessario per i prodotti con elementi digitali critici. Ricordiamo, per completezza, che un ‘prodotto con elementi digitali critico’, è un prodotto con elementi digitali che presenta un rischio di cybersicurezza secondo i criteri di cui all’articolo 6, paragrafo 2, e la cui funzionalità principale è indicata nell’allegato III della proposta di Cyber Resilience Act e che, rientrano nella definizione, ai sensi del citato allegato III, per esempio, i software per sistemi di gestione dell’identità, quelli per la gestione degli accessi privilegiati, i sistemi di gestione delle informazioni e degli eventi di sicurezza (sistemi SIEM) oltre agli ipervisori (hypervisor) ed ai sistemi di runtime container che supportano l’esecuzione virtualizzata di sistemi operativi e ambienti simili.
I requisiti di sicurezza
Molto significative, con specifico riferimento al contenuto delle attività di realizzazione di prodotti con elementi digitali, appaiono le disposizioni di cui all’allegato I della proposta, ove sono specificamente indicati i requisiti essenziali di cybersicurezza, a loro volta classificati in: 1) Requisiti di sicurezza relativi alle proprietà dei prodotti con elementi digitali e 2) Requisiti di gestione delle vulnerabilità.
Nel dettaglio, merita particolare attenzione, quanto previsto all’art. 10 della proposta di Regolamento che individua, quali presupposti per l’ottenimento della necessaria dichiarazione di conformità UE del prodotto, gli obblighi posti a carico dei produttori di software, disponendo che, al comma 1 punto nr. 3 che, all’atto dell’immissione sul mercato di un prodotto con elementi digitali, il fabbricante includa una valutazione dei rischi di cybersicurezza nella documentazione tecnica del prodotto, al comma 1 nr. 5, che il fabbricante documenti sistematicamente, in modo proporzionato alla natura e ai rischi di cybersicurezza, gli aspetti pertinenti di cybersicurezza relativi al prodotto con elementi digitali, comprese le vulnerabilità di cui viene a conoscenza e qualsiasi informazione pertinente fornita da terzi e, se del caso, aggiorna la valutazione dei rischi del prodotto, ed infine, al comma 1. nr. 6 che: (…) o per un periodo di cinque anni dall’immissione sul mercato del prodotto, a seconda di quale sia il periodo più breve, i fabbricanti garantiscono che le vulnerabilità di tale prodotto siano gestite in modo efficace e in conformità dei requisiti essenziali di cui all’allegato I, sezione 2. A tal fine, dispongono di politiche e procedure adeguate, comprese politiche di divulgazione coordinata delle vulnerabilità, di cui all’allegato I, sezione 2, punto 5, per trattare e correggere potenziali vulnerabilità del prodotto con elementi digitali segnalate da fonti interne o esterne.
La correzione delle potenziali vulnerabilità
Come si può notare, dalle norme richiamate, uno dei cardini della proposta di regolamento in materia di cybersicurezza dei prodotti con elementi digitali è da individuarsi nella pianificazione di politiche e procedure adeguate a trattare e correggere potenziali vulnerabilità.
In effetti, tra i requisiti essenziali di cybersicurezza, di cui all’allegato I del Cyber Resilience Act, si prevede, espressamente, che i fabbricanti di prodotti con elementi digitali identifichino e documentino le vulnerabilità e i componenti contenuti nel prodotto, redigendo una distinta base del software in un formato di uso comune e leggibile da un dispositivo automatico, che includa almeno le dipendenze di primo livello del prodotto, effettuino prove e riesami efficaci e periodici della sicurezza del prodotto con elementi digitali, mettano in atto e applichino una politica di divulgazione coordinata delle vulnerabilità, e infine, adottino misure per facilitare la condivisione di informazioni sulle potenziali vulnerabilità nel loro prodotto e nei componenti di terzi contenuti in tale prodotto, fornendo anche un indirizzo di contatto per le segnalazioni.
