lo scenario

Cyber Resilience Act e NIS 2: verso una cybersecurity europea integrata



Indirizzo copiato

Con l’introduzione del Cyber Resilience Act, l’UE impone nuovi requisiti di cybersecurity per i prodotti digitali. Il regolamento integra la Direttiva NIS 2, promuovendo un approccio coordinato alla sicurezza delle infrastrutture digitali e delle catene di approvvigionamento

Pubblicato il 26 nov 2024

Lucrezia Falciai

Associate presso Chiomenti, Avvocato specializzato in cybersecurity e data protection

Pierluigi Perri

Università degli Studi di Milano



cyber resilience

La costellazione di normative in materia di cybersecurity sembra arricchirsi in maniera ormai quasi quotidiana. Appena un mese dopo l’entrata in vigore della cosiddetta Direttiva NIS 2 è il turno del Cyber Resilience Act (CRA), ossia il regolamento europeo che ha l’obiettivo di introdurre dei requisiti trasversali di cybersecurity volti garantire che i prodotti con elementi digitali immessi nel mercato dell’Unione abbiano dei livelli di sicurezza – e quindi di affidabilità – maggiori.

Il Regolamento 2024/2847, pubblicato in Gazzetta Ufficiale dell’UE il 20 novembre scorso, effettua una distinzione fra tre macrocategorie di prodotti a seconda del rischio di cybersecurity presentato: con elementi digitali, con elementi digitali importanti e con elementi digitali critici.

A seconda della criticità degli elementi digitali, infatti, sono imposti requisiti differenti per l’immissione sul mercato europeo e vengono previste procedure di valutazione di conformità diverse. Tali obblighi gravano in capo a varie categorie di soggetti: possono essere tenuti alla verifica dei requisiti tanto i fabbricanti dei prodotti con elementi digitali, quanto gli importatori e i distributori.

Punti di contatto con la Direttiva NIS 2

In quest’ottica, il Cyber Resilience Act potrebbe sembrare una normativa a sé stante, che disciplina aspetti diversi rispetto alla Direttiva NIS 2, di cui abbiamo già scritto qui. Infatti, il primo parrebbe essere rivolto esclusivamente ai fabbricanti, agli importatori e ai distributori di prodotti con elementi digitali, mentre la seconda sembrerebbe interessare solo alcune entità considerate critiche. Eppure, ad una lettura più attenta dei due testi normativi e della ratio del legislatore, emerge come gli stessi siano invece complementari tra di loro, in un’ottica di protezione a tutto tondo delle infrastrutture digitali e dei dati in esse presenti.

I prodotti con elementi digitali quale elemento della supply chain

Infatti, la Direttiva NIS 2 ha introdotto requisiti orizzontali che mirano a mitigare i rischi di cybersecurity a cui sono esposti i soggetti critici ed importanti. Tra questi troviamo, ad esempio, misure di gestione dei rischi di cybersecurity che includono, tra le altre, quelle tese alla sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori. Spesso un elemento chiave della catena di approvvigionamento è costituito anche dai prodotti digitali impiegati tanto dal soggetto critico o essenziale, quanto dai suoi fornitori.

Tuttavia, la Direttiva NIS 2 non introduce espressamente requisiti obbligatori per la sicurezza dei prodotti con elementi digitali i quali, però, costituiscono un elemento fondamentale ai fini della valutazione e del controllo della catena di approvvigionamento. Dunque, in quest’ottica il Cyber Resilience Act può essere letto come un elemento di completamento di questo aspetto.

Tale integrazione con le disposizioni della Direttiva NIS 2 si rende particolarmente rilevante soprattutto se si considera che, di frequente, i prodotti con elementi digitali sono dipendenze critiche per i soggetti essenziali o importanti. In tal senso, secondo quanto stabilito dalla Direttiva NIS 2, la criticità di un fornitore è un elemento da valutare sia ai fini delle misure tecniche, operative e organizzative che devono essere implementate, sia nell’analisi di proporzionalità delle stesse. Da ciò ne consegue che, verosimilmente, le misure che i soggetti essenziali e importanti andranno a richiedere ai fornitori di prodotti con elementi digitali saranno più stringenti. Dunque, l’incremento delle proprie misure di cybersecurity potrà costituire un asset competitivo per le aziende che vorranno migliorare la propria posizione sul mercato nei prossimi anni.

La divulgazione delle vulnerabilità

Un altro punto di contatto con la Direttiva NIS 2 è costituito da un elemento che sta assumendo sempre maggiore rilevanza nell’ambito delle normative in materia di cybersecurity, ossia la divulgazione delle vulnerabilità.

Il Cyber Resilience Act, infatti, impone ai fabbricanti di notificare al CSIRT nazionale e all’ENISA qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali di cui venga a conoscenza. Tali segnalazioni vengono utilizzate al fine di innalzare il livello generale di cibersicurezza dei soggetti essenziali e importanti, nonché per garantire un’efficace azione di analisi e contenimento delle minacce da parte delle Autorità di vigilanza preposte.

Dunque, le notifiche delle vulnerabilità effettuate ai sensi del Cyber Resilience Act verranno utilizzate anche ai fini della Direttiva NIS 2, nell’ottica di alimentare la banca dati europea delle vulnerabilità, che a sua volta offrirà un supporto ai fabbricanti nell’individuare quanto di vulnerabile dovesse essere presente nei loro prodotti, al fine di garantire l’immissione sul mercato di elementi più sicuri. Dunque, tale meccanismo circolare dovrebbe contribuire ad accrescere la cybersecurity e la resilienza dell’intero sistema.

Nell’ottica di agevolare questi adempimenti, i fabbricanti di prodotti con elementi digitali dovrebbero adottare politiche di divulgazione coordinata delle vulnerabilità per agevolare il processo di segnalazione da parte di individui che identifichino problemi di sicurezza cibernetica all’interno di specifici prodotti. In particolare, tali politiche dovrebbero consistere in un processo strutturato attraverso il quale sia possibile segnalare le vulnerabilità al fabbricante in modo da consentire a quest’ultimo di diagnosticarle ed eliminarle prima che informazioni dettagliate in merito siano comunicate a terzi o al pubblico.

Infine, data l’intrinseca delicatezza delle informazioni relative alle vulnerabilità, il Cyber Resilience Act auspica anche il riconoscimento e un compenso per coloro che individuino e segnalino all’azienda le vulnerabilità riscontrate (cosiddetti programmi di bug bounty), sempre in un’ottica di coordinated vulnerability disclosure. Tuttavia, i fabbricanti dovrebbero analizzare con grande attenzione tale possibilità e dotarsi di policy apposite ai fini dell’identificazione di procedure e modalità di condivisione delle vulnerabilità di sicurezza, poiché vi è un elevato rischio di sfruttamento da parte di soggetti malintenzionati.

Cyber Resilience Act, un nuovo tassello per la cyber security Ue

Alla luce di quanto sopra, con l’introduzione del Cyber Resilience Act, il quadro normativo sulla cybersecurity ottiene un altro tassello essenziale per garantire la sicurezza e la cyber resilienza dell’intero ecosistema.

Inoltre, sebbene le disposizioni del regolamento in questione trovino applicazione a partire dall’11 dicembre 2027, è opportuno che gli operatori del settore inizino a valutare come strutturarsi per conformarsi alle disposizioni.

Infatti, sebbene l’orizzonte temporale appaia estremamente ampio, l’interazione con altre normative come la Direttiva NIS 2 fa sì che alcune richieste di conformità anticipata possano arrivare anche prima della scadenza fissata dal legislatore, poiché numerose aziende stanno già strutturando i loro sistemi di acquisto dei prodotti e scelta dei fornitori in un’ottica di compliance alle varie disposizioni in materia di cybersecurity che entreranno in vigore ben prima del 2027.

Pertanto, essere già preparati a gestirle può costituire un asset strategico fondamentale per quelle realtà che desiderino affermare o migliorare la propria posizione sul mercato.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4