La Commissione Europea prosegue la propria strategia sulla sicurezza cibernetica nell’area UE attraverso la proposta di regolamento “on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020” (c.d. “Cyber Resilience Act”; di seguito il “Regolamento”), adottata lo scorso 15 settembre. L’obiettivo è chiaro: predisporre un quadro normativo comune in materia di sicurezza informatica per i prodotti digitali connessi in rete (c.d. “Internet of Things”) ed immessi sul mercato dell’Unione, prevedendo nuovi obblighi in capo ai relativi produttori e perseguendo un incremento nel livello di sicurezza e nella consapevolezza degli utenti.
Il contesto della proposta di Regolamento
Nell’ecosistema digitale nel quale quotidianamente sviluppiamo le nostre vite, la presenza di prodotti digitali connessi alle rete (di seguito “IoT”) si è fortemente intensificata. L’utilizzo di sistemi tecnologici avanzati, in grado di rilevare attraverso propri sensori una moltitudine di informazioni dall’ambiente circostante e di scambiarle con altri oggetti connessi alle rete, rende necessario porre l’attenzione sui temi di sicurezza e di integrità dei dati che vengono contestualmente acquisiti e trattati. Non è un mistero, infatti, come molte delle vulnerabilità dei dispositivi IoT siano sfruttate dagli hacker non solo per compiere attività di cybercrime che colpiscono i singoli utenti ma anche, e soprattutto, per sferrare attacchi informatici alle infrastrutture nazionali sensibili, tema più che mai delicato in un momento assai delicato per gli equilibri geopolitici.
È in questo contesto che va letta la proposta di Regolamento - avente ad oggetto proprio i prodotti “con elementi digitali” - posta a rimedio della necessità di far fronte al basso livello di sicurezza che caratterizza questi prodotti e alla scarsa consapevolezza che, soprattutto in materia di sicurezza, anima gli utenti.
Ambito di applicazione e obblighi per gli operatori
Il concetto di “orizzontalità” emergente sin dal titolo della proposta normativa in esame, si traduce in un campo di applicazione particolarmente ampio. Il Regolamento, infatti, è destinato ad applicarsi a qualsiasi prodotto software o hardware e alle relative soluzioni di elaborazione dati a distanza (purché queste ultime siano essenziali all’operatività del prodotto) durante l’intero ciclo di vita dello stesso, dalla fase di progettazione fino alla fase di obsolescenza.
In buona sostanza, il Regolamento coprirà sia i prodotti digitali fisici, come i dispositivi IoT, sia i prodotti digitali immateriali, come i prodotti software incorporati nei dispositivi connessi.
Al fine di perseguire gli obiettivi indicati in precedenza, il Regolamento richiede agli operatori una serie di accortezze così sintetizzate:
- prendere in considerazione gli aspetti correlati alla sicurezza informatica in ottica by design e by default (nelle fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione dei prodotti);
- documentare tutti i rischi emergenti in tema di cybersecurity;
- segnalare le vulnerabilità che dovessero emergere – se del caso anche attraverso una tempestiva notifica all’ENISA - dando atto delle azioni poste in essere per porvi rimedio;
- una volta venduti i prodotti, garantire che le vulnerabilità siano gestite in modo efficace per l’intera durata di vita del prodotto o, in ogni caso, per un periodo di almeno cinque anni;
- fornire agli utenti istruzioni chiare e comprensibili per l’utilizzo di tali prodotti, aggiornando periodicamente le informazioni in materia di sicurezza.
Il Regolamento rimette, quindi, ad una serie di allegati le indicazioni di dettaglio circa i requisiti minimi di sicurezza e di gestione delle vulnerabilità che dovranno caratterizzare i prodotti in commento (cfr. Annex I); le informazioni e le istruzioni da fornire agli utenti (cfr. Annex II); la documentazione tecnica da allegare al prodotto (cfr. Annex V).
Prossimi step e conclusioni
Il Regolamento, attualmente recante lo status di “proposta”, ha davanti a sé un percorso ancora lungo prima di diventare definitivo ed esplicare la propria validità nei confini dell’UE.
Nei prossimi step il Parlamento e il Consiglio Europeo esamineranno, discuteranno e proporranno eventuali emendamenti al testo prodotto dalla Commissione; una volta adottato, il Regolamento sarà attuato in due fasi. Entro i primi 12 mesi, i produttori e gli sviluppatori dei dispositivi IoT saranno tenuti a segnalare le vulnerabilità e le violazioni della sicurezza informatica rilevate. Entro 24 mesi, gli Stati membri e le imprese interessate potranno adattarsi ai nuovi requisiti.
In definitiva, quale che sia il tenore del testo definitivo, ciò che certamente rileva è la consapevolezza sempre più marcata dell’UE dell’immenso patrimonio digitale che rappresentano i dati, non soltanto come asset economico del mercato digitale, ma anche, e soprattutto, come strategia politico-economica attraverso la quale ricoprire un ruolo da protagonista negli equilibri geopolitici, mettendo al centro dell’azione esecutiva europea la sicurezza cibernetica.
Avv. Pietro Maria Mascolo e Dott. Pasquale Sammario
