Da cybersecurity a cyber resilience: il concetto di difesa dai cyber attacchi si è evoluto notevolmente negli ultimi anni. Le ragioni sono essenzialmente tre, e tutte interconnesse tre loro.

In primo luogo, è cambiato l’impatto che le tecnologie digitali hanno sulla vita quotidiana, a prescindere dal ruolo che ognuno ricopre nelle attività lavorative.

Sull’onda di questa (rapidissima) trasformazione, continuano poi a crescere le iniziative criminali finalizzate all’esfiltrazione di informazioni strategiche e al rallentamento dell’operatività attraverso blocchi crittografici dei dataset. Eppure, c’è un altro problema, ancora più grave: per ottenere questi risultati le tecniche diventano sempre più raffinate, incentrandosi su quello che è – e che rimarrà – l’anello debole della catena, ovvero l’essere umano.

I due fattori combinati hanno causato a loro volta un aumento dell’estensione delle superfici potenzialmente attaccabili, svuotando di senso l’espressione “perimetro aziendale”. Ciò ha costretto non solo gli addetti ai lavori ma anche gli owner di processo a dover affrontare il tema della resilienza in senso lato mentre, a livello normativo, l’UE sta già iniziando a muoversi con l’European Cyber Resilience Act.

Il Regolamento UE 2024/2847, detto Cyber Resilience Act (CRA) mira a garantire “che i prodotti con componenti digitali, ad esempio i prodotti dell’internet delle cose, siano resi sicuri lungo l’intera catena di approvvigionamento e per tutto il ciclo di vita”.

Si tratta quindi di un regolamento relativo alla sicurezza informatica dei prodotti, non delle organizzazioni.

Cosa è il Cyber‑Resilience Act

Il Cyber Resilience Act (CRA) è un regolamento dell’Unione Europea che stabilisce requisiti di sicurezza informatica per i prodotti digitali, sia hardware che software, immessi nel mercato europeo. L’obiettivo è migliorare la sicurezza e la resilienza dei prodotti digitali, riducendo il rischio di vulnerabilità e attacchi informatici

Con il Cyber Resilience Act, l’UE si propone di anticipare, prevenire e mitigare efficacemente i rischi associati alla sempre più pervasiva presenza digitale nella vita dei cittadini europei.

Tempistiche di entrata in vigore

Il Cyber Resilience Act (CRA) è entrato in vigore il 10 dicembre 2024. Tuttavia, i suoi requisiti specifici diventeranno applicabili a partire da date successive, con un periodo di transizione di tre anni per le aziende per adeguarsi. Il regolamento stabilisce requisiti di sicurezza informatica per i prodotti con elementi digitali immessi sul mercato dell’UE.

Possiamo così riassumere i vari step:

• Marzo 2024: adozione del Parlamento Europeo
• Dicembre 2024: entra in Vigore il CRA
• Settembre 2026: segnalazione di carenze in materia di sicurezza
• 2027: Obbligo di applicazione

Ambito di applicazione

Il CRA si applica a tutti i prodotti digitali che hanno elementi digitali, ovvero hardware e software, che vengono fabbricati, importati o distribuiti nell’Unione Europea. Questo include una vasta gamma di prodotti, come:

• Laptop, smartphone, tablet e altri dispositivi mobili.
• Dispositivi IoT (Internet of Things) come sensori, termostati, ecc.
• Router, modem e altri dispositivi di rete.
• Software, applicazioni, firmware e videogiochi.
• Schede video, processori e altri componenti hardware.

Obblighi e compliance

Il regolamento prevede che i prodotti con elementi digitali devono essere messi sul mercato soltanto se:

• soddisfano i requisiti essenziali di cybersicurezza e, a condizione che siano correttamente installati, siano oggetto di un’adeguata manutenzione e siano utilizzati conformemente alla loro finalità prevista o in condizioni ragionevolmente prevedibili e, se applicabile, siano stati installati i necessari aggiornamenti di sicurezza, e
• i processi messi in atto dal fabbricante sono conformi ai requisiti di cybersicurezza.

Il Regolamento fa distinzione tra due tipologie di prodotti: “importanti” e “critici”.

I prodotti con elementi digitali “importanti” sono contenuti nell’allegato III del regolamento. Si tratta di prodotti di sicurezza informatica e prodotti i cui malfunzionamenti e compromissioni possono avere impatti significativi su altri sistemi informatici o sulle persone.

Quali sono i prodotti con elementi digitali “critici”:

I prodotti con elementi digitali “critici” sono contenuti nell’allegato IV del regolamento e devono ottenere un certificato europeo di cybersicurezza con livello di affidabilità almeno “sostanziale”.

l Regolamento stabilisce inoltre ruoli e responsabilità per i produttori, importatori, distributori ed altre entità coinvolte nella commercializzazione di prodotti digitali.

Di particolare importanza sono le indicazioni per i fabbricanti, i quali devono garantire che i prodotti rispettino i requisiti di sicurezza e fornire aggiornamenti di sicurezza per almeno 5 anni. Sono inoltre responsabili della gestione delle vulnerabilità e devono notificare rapidamente gli incidenti di sicurezza.

Gli importatori devono verificare che i prodotti siano conformi al regolamento prima di importarli nell’UE. Se riscontrano problemi, devono impedirne la distribuzione e informare le autorità.

Per quanto riguarda i distributori, questi ultimi devono garantire che i prodotti immessi sul mercato siano conformi e informare le autorità in caso di problemi di sicurezza.

Sono inoltre previsti obblighi specifici per i software open source, per i quali il regolamento introduce anche requisiti semplificati per le PMI.

Al fornitore competono:

• Identificazione dei rischi e classificazione di rischio: il fornitore deve identificare potenziali vulnerabilità e minacce che potrebbero compromettere la sicurezza del prodotto durante il suo ciclo di vita.
• Valutazione dei rischi: una volta identificate le minacce, il fornitore deve valutare la probabilità e l’impatto di tali minacce, determinando le aree di maggiore rischio.
• Mitigazione dei rischi: sulla base della valutazione dei rischi, il fornitore deve implementare misure di sicurezza adeguate a mitigare i rischi identificati. Questo include l’adozione di pratiche di security by design e through lifecycle.
• Documentazione: il fornitore deve mantenere una documentazione dettagliata della valutazione dei rischi e delle misure adottate per mitigare tali rischi. Questa documentazione deve essere disponibile per le autorità competenti.

All’importatore, invece:

• Verifica della conformità: l’importatore deve assicurarsi che i prodotti importati siano conformi ai requisiti di sicurezza stabiliti dal regolamento. Questo include la revisione della documentazione fornita dal fabbricante relativa alla valutazione dei rischi e alle misure di sicurezza adottate.
• Valutazione dei rischi residui: l’importatore deve valutare i rischi residui associati ai prodotti importati e, se necessario, adottare ulteriori misure per mitigare tali rischi.
• Monitoraggio continuo: l’importatore deve monitorare continuamente i prodotti importati per rilevare eventuali nuovi rischi o vulnerabilità e assicurarsi che vengano adottate misure correttive tempestive.

Ad altri soggetti, quali distributori e rivenditori:

• Conformità ai requisiti: i distributori e rivenditori devono assicurarsi che i prodotti che mettono a disposizione sul mercato siano conformi ai requisiti del regolamento. Questo include la verifica che i prodotti siano accompagnati dalla documentazione appropriata e che siano stati sottoposti a una valutazione del rischio.
• Segnalazione delle non-conformità: se i distributori o rivenditori individuano prodotti non conformi, devono segnalarlo immediatamente alle autorità competenti e adottare misure per rimuovere tali prodotti dal mercato.
• Supporto nella gestione delle vulnerabilità: i distributori e rivenditori devono collaborare con i fabbricanti e gli importatori nella gestione delle vulnerabilità e nella distribuzione degli aggiornamenti di sicurezza ai clienti.

Processi di audit e certificazione

Il processo di audit/valutazione della sicurezza informatica prevede una valutazione o un audit esterno effettuato da consulenti della sicurezza informatica, per valutare il livello di rischio informatico a cui è esposta l’organizzazione.

Gli assessment permettono di capire:

• Quali rischi legati alle informazioni esistono nella tua organizzazione e come stabilire le priorità di questi rischi
• Quanto siete allineati ai requisiti dell’autorità centrale nel tuo Paese (ad esempio, la Banca centrale, il Garante della protezione dei dati, ecc.) o di framework esterni (ad esempio, NIST Cybersecurity Framework).

Una volta completata la valutazione, forniamo un report tecnico in cui sono dettagliate le vulnerabilità o le lacune nella sicurezza della tua organizzazione. Esamineremo inoltre la strategia IT sulla sicurezza presente in azienda all’interno della valutazione dei rischi globale.

Questo report è offrire un percorso per migliorare ulteriormente la strategia di sicurezza informatica e di sicurezza IT, garantendo la conformità a lungo termine.

La valutazione del rischio e la compliance normativa fanno quindi parte di un processo continuo e collaborativo che coinvolge tutti i soggetti lungo la catena di distribuzione e che comporta una sostanziale anticipazione della soglia di responsabilizzazione. Essa, infatti, risponde all’esigenza di prevenire proattivamente i problemi di sicurezza, identificando e mitigando le vulnerabilità prima che possano essere sfruttate. Al tempo stesso garantisce che tutti i soggetti coinvolti rispettino i requisiti normativi, riducendo il rischio di sanzioni e migliorando la fiducia degli utenti, contribuendo a creare un ecosistema digitale più sicuro e resiliente.

Il processo di audit permette di individuare anche eventuali bug fixing presenti in software o applicazioni. Questi errori possono causare malfunzionamenti, comportamenti inattesi o crash del sistema. Il bug fixing è una parte fondamentale dello sviluppo software e manutenzione, ed è spesso parte di un processo più ampio chiamato debugging.

Gli aggiornamenti automatici di cybersecurity sono fondamentali per proteggere sistemi e dati da minacce informatiche. Questi aggiornamenti includono patch di sicurezza che risolvono vulnerabilità note, mantenendo il software e l’infrastruttura IT aggiornati e meno suscettibili ad attacchi. È consigliabile abilitare gli aggiornamenti automatici per garantire una protezione costante e ridurre il rischio di esposizione a minacce.

Contattaci per una consulenza personalizzata! I nostri tecnici saranno a tua disposizione per una attenta analisi aziendale!