La rapida evoluzione delle tecnologie e delle applicazioni informatiche a cui abbiamo assistito negli ultimi anni, è stata possibile anche grazie ad un fisiologico deficit normativo, connesso all’impossibilità di legiferare su ciò che ancora non esiste.
Diventa così necessario colmare questa lacuna, soprattutto per quanto riguarda la sicurezza dei prodotti commercializzati e la tutela delle aziende e dei consumatori che utilizzano tali prodotti.
Cos’è Il Cyber Resilience Act
Per questo motivo, nel 2024, il Parlamento Europeo ha approvato il testo del Cyber Resilience Act (CRA), che impone requisiti minimi di sicurezza informatica per tutti i prodotti digitali immessi nel mercato UE.
In particolare viene posto l’obbligo ai produttori e ai rivenditori di garantire la sicurezza dei prodotti tecnologici per tutto il loro ciclo di vita, disposizione che si applica a tutti i prodotti hardware e software con componenti connessi, direttamente o indirettamente, ad una rete o ad altri dispositivi.
L’ambito di applicazione sembrerebbe quindi ampissimo, dato che quasi tutti i prodotti tecnologici che utilizziamo quotidianamente sono connessi, per questo il Cyber Resilience Act identifica alcune specifiche tipologie di prodotto: Prodotti con elementi digitali (Art.6), Prodotti con elementi digitali importanti (Art. 7) e Prodotti con elementi digitali critici (Art. 8).
Classificazione dei prodotti
Nella prima categoria ricadono la maggior parte dei prodotti hardware e software. Per questi l’Art 13 del Cyber Resilience Act obbliga i fabbricanti ad una autovalutazione dei rischi e della conformità, alla redazione sistematica della documentazione necessaria per informare correttamente su vulnerabilità, aggiornamenti, integrazioni e assistenza.
La seconda categoria comprende tutti i prodotti elencati nell’Allegato III, ovvero tutti i prodotti che svolgono funzioni rilevanti per la sicurezza. Questi prodotti devono essere sottoposti ad un Esame UE, in cui un organismo notificato indipendente effettua la valutazione tecnica della conformità.
Per quanto riguarda i prodotti critici, il percorso di certificazione è ancora più rigoroso e richiede prove formali di sicurezza e verifiche periodiche e strutturate.
Perché è importante
L’obiettivo dichiarato del Cyber Resilience Act è quello di salvaguardare i consumatori e le aziende nel momento in cui acquistano prodotti digitali. A tutt’oggi, infatti, la sicurezza del prodotto è qualcosa che ogni utilizzatore percepisce in maniera diversa. Con l’introduzione di una certificazione obbligatoria, sarà più semplice per gli utenti e per le aziende, capire quali sono i fornitori che realmente hanno un’offerta di prodotto sicura, sulla base delle stringenti normative Europee.
In buona sostanza, si tratta dell’estensione dell’applicazione del marchio CE: alle norme standard di sicurezza, che restano attive anche sui prodotti coinvolti nel Cyber Resilience Act, si aggiunge il controllo sulla sicurezza cibernetica.
Ormai ovunque, non solo sul mercato europeo, la sicurezza stia diventando un criterio di scelta fondamentale per proteggere i dati, ma soprattutto le persone, le organizzazioni ed i contesti sociali in cui operano.
Maggiori informazioni sul Cyber Resilience Act sono disponibili a questi link
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
https://www.cyberresilienceact.eu/
Il testo del regolamento in Italiano è reperibile qui
https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=OJ:L_202402847