Ora anche il Cyber Resilience Act a tutela del mercato unico digitale europeo: il punto della situazione in materia di cybersicurezza

È del 15 settembre la notizia dell'adozione, da parte della Commissione europea, della proposta di Regolamento europeo "on horizontal cybersecurity requirements for products with digital elements", già ridenominata Cyber Resilience Act.

La proposta si inserisce nell'ambito della strategia comune in materia di cybersicurezza, che il legislatore europeo cura fin dal 2013, all'epoca della comunicazione congiunta della Commissione europea e dell'Alto Rappresentante dell'Unione per gli affari esteri e la politica di sicurezza su "un ciberspazio aperto e sicuro".

Con questo nuovo tassello normativo il legislatore persegue, ancora una volta, il duplice obiettivo di agevolare l'uniformazione del diritto tra gli Stati membri e di accrescere la fiducia di cittadini e operatori nei servizi digitali, oggi giorno sempre più esposti al rischio cibernetico.

Gli obiettivi della proposta

La cybersicurezza è definita come "l'insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche" (così il Regolamento UE 2019/881).

Si tratta, dunque, di una materia molto ampia, che può abbracciare diversi ambiti e settori.

Nel tempo si è infatti trattato di cybersecurity per disciplinare la sicurezza delle reti e dei sistemi informativi con la ormai nota "Direttiva NIS" (oggi sottoposta a revisione con la proposta di Direttiva "NIS2"); la lotta contro la criminalità informatica e le frodi; la protezione dei minori on line; la sicurezza delle reti 5G; la resilienza dei soggetti critici; i sistemi di certificazione della cybersicurezza.

La proposta qui in commento ha invece ad oggetto i prodotti "con elementi digitali", intesi come prodotti o componenti software e hardware, e nasce dall'esigenza di far fronte al basso livello di sicurezza di questi prodotti e all'insufficiente consapevolezza e accesso alle informazioni relative alle proprietà di sicurezza da parte degli utenti.

L'obiettivo della proposta è dunque quello, da un lato, di garantire l'immissione nel mercato di prodotti con elementi digitali sicuri, curando tra l'altro la trasparenza delle proprietà di sicurezza, e, dall'altro lato, di sensibilizzare gli utenti nella scelta e nell'utilizzo di hardware e software sicuri.

Per farlo, il legislatore europeo propone di fissare condizioni e requisiti per lo sviluppo di prodotti sicuri, assicurando che questi siano immessi sul mercato con meno vulnerabilità e che i produttori tengano conto della sicurezza durante tutto il ciclo di vita del prodotto.L'ambito di applicazione e i contenuti della proposta

Come si legge fin dal titolo, la proposta contiene requisiti "orizzontali" per tutti i prodotti digitali, vale a dire regole generali e non specifiche per singoli settori o prodotti, pur lasciando aperta la possibilità che specifici domini e ambiti siano regolamentati a livello unionale.

La proposta si applica infatti a qualsiasi prodotto software o hardware e alle relative soluzioni di elaborazione dati a distanza, purché queste ultime siano essenziali all'operatività del prodotto. Per questo motivo, nei considerando della proposta, sono citati anche gli ormai noti portafogli digitali europei (European Digital Identity Wallet) e i sistemi di intelligenza artificiale ad alto rischio, disciplinati rispettivamente dal Regolamento e-IDAS e dalla proposta di Regolamento sull'Artificial Intelligence. Esulano invece dal campo di applicazione i servizi come i Software-as-a-Service; i prodotti sviluppati per finalità militari o di sicurezza nazionale; i dispositivi medici; i prodotti rilasciati temporaneamente solo per finalità di test (si pensi alle versioni beta dei software); i prodotti relativi all'attività di omologazione dei veicoli.

Quanto ai contenuti, come accennato, la proposta illustra una serie di obblighi, aventi natura tecnica e organizzativa, in capo principalmente a manufacturers, importers e distributors, i quali sono tenuti a garantire lo sviluppo by design e la circolazione di prodotti sicuri.

Tra le principali disposizioni giova menzionare, in particolare, il cybersecurity risk assessment, che il produttore deve condurre prima dell'immissione del prodotto sul mercato e del cui esito deve tenere conto durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto. Invero, per tutto il ciclo di vita del prodotto e per almeno cinque anni dopo l'immissione sul mercato, il produttore è tenuto a garantire la sicurezza del prodotto e l'efficace gestione delle eventuali vulnerabilità.

Il produttore ha inoltre l'obbligo di assolvere nei confronti degli utenti obblighi minimi di natura informativa, in cui rientra la fornitura di una esaustiva documentazione tecnica relativa al prodotto, comprensiva della dichiarazione europea di conformità del prodotto.

Proprio a sottolineare il perdurante obbligo del produttore a garantire la conformità e la sicurezza del per tutto il lifetime del prodotto, la proposta prevede altresì obblighi di notificazione e di reportistica di informazioni concernenti incidenti e vulnerabilità del prodotto. In questo modo, da un lato, si tenta di contrastare la prassi di celare gli incidenti e gli attacchi informatici subìti e di negoziare con i threat actors, piuttosto che rischiare un danno reputazionale o richieste di risarcimento; dall'altro lato, di ampliare il patrimonio informativo circa le cause e le modalità degli incidenti in modo da rinforzare la risposta e la strategia difensiva.

La proposta si completa con alcuni allegati che specificano e rinforzano le disposizioni contenute nel testo normativo, prevedendo nel dettaglio contenuti e requisiti minimi. Invero, gli allegati I e II alla proposta enucleano quali requisiti i manufacturers sono tenuti ad osservare per garantire le proprietà di sicurezza dei prodotti e per gestire correttamente le eventuali vulnerabilità rilevate, nonché quali elementi informativi minimi sono tenuti a fornire agli utenti. Analogamente, l'allegato III individua quali prodotti con elementi digitali sono classificati come "critici" in relazione all'impatto che potrebbero avere, ove sfruttate, le potenziali vulnerabilità della sicurezza, mentre l'allegato V elenca i contenuti minimi della documentazione tecnica da allegare al prodotto.

La strategia europea in materia di cybersecurity

La proposta qui commentata si inserisce, come anticipato, nell'ambito della strategia europea in materia di cybersecurity.

Già nella comunicazione "in materia di cibersicurezza per il decennio digitale" del 2020, il legislatore europeo auspicava l'adozione di "soluzioni trasparenti in materia di sicurezza e la certificazione (…) per incentivare prodotti e servizi sicuri senza scendere a compromessi sulle prestazioni" e sollecitava la produzione di "nuove norme orizzontali volte a migliorare la cibersicurezza di tutti i prodotti connessi e servizi associati presenti nel mercato interno", consapevole del fatto che "con la diffusione dell'Internet delle cose, è necessario rafforzare le norme applicabili, sia per garantire la resilienza complessiva che per aumentare la cibersicurezza".

Questa nuova proposta risulta, dunque, complementare rispetto al Regolamento (UE) 2019/881 "relativo all'ENISA (l'Agenzia dell'Unione europea per la cibersicurezza) e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione". Attraverso questo Regolamento il legislatore europeo ha infatti introdotto un meccanismo – volontario – di certificazione volto a favorire la creazione del mercato unico digitale per i prodotti, i servizi e i processi relativi alle tecnologie dell'informazione e della comunicazione ("TIC").

La certificazione mira ad attestare la conformità di prodotti, servizi e processi TIC a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati, secondo il livello di affidabilità riconosciuto che può essere di base, sostanziale o elevato in commisurazione al grado di rischio associato all'uso di quel prodotto, servizio o processo.

In questo ambito, giova menzionare il meccanismo di autovalutazione di conformità che, alla stregua dell'ormai noto principio di accountability nel contesto data protection, consente ai fornitori di prodotti, servizi o processi TIC di rilasciare una autodichiarazione di conformità dei requisiti, a condizione che si tratti di prodotti che presentano un rischio basso e richiedono pertanto un livello di affidabilità di base.

La sicurezza informatica in Italia

Anche il legislatore nazionale, di riflesso a quello europeo, sembra essersi attivato nel settore, tanto da annoverare la sicurezza cibernetica tra gli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) trasmesso dal Governo alla Commissione europea il 30 aprile 2021.

Inoltre, con il recente d.l. 21 marzo 2022, n. 21, l'Italia, spinta dagli avvenimenti in Ucraina, ha adottato disposizioni d'urgenza in materia di diversificazione delle dotazioni informatiche delle pubbliche amministrazioni e di riorganizzazione complessiva dei poteri speciali in materia di comunicazione elettronica a banda larga basati sulla tecnologia 5G.

Sul punto, si rinvia al contributo per il Sole 24 Ore dei Proff. Avv. Giusella Finocchiaro e Oreste Pollicino, del Prof. Michele Colajanni e dell'Avv. Stefano Mele. [ Sicurezza, settori strategici e banda larga: come cambia la protezione dei dati]

Da ultimo, proprio il 4 settembre 2022 è entrato in vigore il d.l. 3 agosto 2022, n. 123 volto ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza, introdotto dal citato Regolamento (UE) 2019/881.

*a cura dell' Avv. Laura Greco, DigitalMediaLaws

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più