Cyber Resilience Act - CRA, sicurezza digitale

Cyber Resilience Act: Un Nuovo Strumento per la Sicurezza Digitale nell’UE

A cura di:Efrem Zugnaz Ore

Cos’è il Cyber Resilience Act (EU CRA)? E perché me ne dovrei occupare? Il Cyber Resilience Act, presentato dalla Commissione Europea nel settembre 2022, ma esecutivo dal 10 Dicembre 2024 è un regolamento che intende stabilire norme comuni per la sicurezza dei prodotti e dei servizi connessi alle tecnologie informatiche. Sembra tutto corretto, ma sarà facile da Implementiare? Il dibattito iniziato deve continuare perché riguarda tutti.

“Easy to Learn, Hard to Master”: il Cyber Resilience Act (EU CRA), una sfida difficile per i produttori.

Nel contesto dell’era digitale in cui viviamo, la sicurezza informatica è diventata una priorità fondamentale per la protezione delle infrastrutture critiche, dei dati sensibili e della privacy dei cittadini. Con l’aumento delle minacce cibernetiche, che spaziano dagli attacchi ransomware agli exploit software, l’Unione Europea ha compreso la necessità di introdurre misure normative più robuste per garantire una difesa più solida contro queste sfide. È in questo scenario che si inserisce il Cyber Resilience Act (EU CRA), un’iniziativa legislativa che mira a rafforzare la resilienza delle infrastrutture digitali europee e a tutelare meglio i consumatori e le aziende.

Cos’è il Cyber Resilience Act (EU CRA)?

Il Cyber Resilience Act, presentato dalla Commissione Europea nel settembre 2022 ed in vigore dal 2024, è un regolamento che intende stabilire norme comuni per la sicurezza dei prodotti e dei servizi connessi alle tecnologie informatiche. L’obiettivo principale del CRA è quello di migliorare la sicurezza e la protezione delle infrastrutture digitali europee, riducendo la superficie di attacco attraverso il rafforzamento dei requisiti di sicurezza per i dispositivi e i software venduti nell’UE. In altre parole, il regolamento vuole garantire che i prodotti digitali immessi sul mercato europeo siano progettati, sviluppati e gestiti con una resilienza intrinseca contro le minacce cibernetiche.

Gli Obiettivi del Cyber Resilience Act

Il CRA ha diversi obiettivi chiave che mirano a creare un ecosistema digitale più sicuro e resistente alle minacce cibernetiche:

  1. Migliorare la sicurezza dei prodotti connessi: L’atto stabilisce che tutti i prodotti e servizi connessi (dai dispositivi IoT alle applicazioni software) siano progettati con la sicurezza integrata fin dall’inizio, non come un’idea aggiunta successivamente. Questo approccio, noto come “security by design”, implica che la sicurezza sia parte integrante del ciclo di vita del prodotto.
  2. Ridurre i rischi derivanti dalle vulnerabilità: Il CRA mira a limitare l’introduzione di vulnerabilità nel software e nei dispositivi, obbligando i produttori a fornire aggiornamenti di sicurezza tempestivi e regolari. I produttori saranno inoltre tenuti a reagire rapidamente alle vulnerabilità critiche.
  3. Responsabilità e trasparenza: Il regolamento stabilisce obblighi di trasparenza riguardo le politiche di gestione della sicurezza da parte delle aziende, inclusa la segnalazione delle vulnerabilità. I produttori saranno obbligati a informare le autorità competenti in caso di violazioni della sicurezza.
  4. Migliorare la protezione dei consumatori e delle PMI: Con l’aumento delle minacce cibernetiche, le piccole e medie imprese (PMI) e i consumatori sono spesso i più vulnerabili. Il CRA mira a garantire che anche questi attori, che potrebbero non avere le risorse per difendersi adeguatamente, possano beneficiare di dispositivi e software più sicuri.
  5. Promuovere la cooperazione tra Stati membri: Il CRA cerca di creare un quadro normativo armonizzato in tutta l’UE, affinché i prodotti digitali rispettino standard di sicurezza simili in tutti gli Stati membri. Questo non solo riduce il rischio di frammentazione delle leggi, ma facilita anche l’adozione di pratiche di sicurezza comuni.

Cyber Resilience Act: obiettivi

Serviva una nuova normativa?

Il nuovo Regolamento che ricordo essere diventato attivo ed esecutivo dal 10 dicembre 2024, seppur completamente in esercizio dal 2027, avrà degli effetti a partire da 18 mesi dall’entrata in vigore.

Il Regolamento si affianca alle seguenti normative:

  • Direttiva (UE) 2022/2555: La direttiva NIS2 (Network and Information Systems Directive 2) stabilisce nuove misure di sicurezza informatica per rafforzare la resilienza delle infrastrutture critiche nell’Unione Europea, imponendo obblighi più severi per le imprese e le amministrazioni pubbliche al fine di prevenire e rispondere efficacemente a minacce cibernetiche in continuo aumento.
  • Legge 105/2019: Conosciuta anche come “Legge sul Perimetro di sicurezza nazionale cibernetica”, stabilisce le misure per la protezione delle infrastrutture digitali critiche in Italia, imponendo obblighi di sicurezza informatica per le aziende che operano in settori strategici, al fine di prevenire e mitigare i rischi derivanti da attacchi cibernetici a livello nazionale.
  • Legge 90/2024: introduce disposizioni per il rafforzamento della sicurezza cibernetica in Italia, integrando e aggiornando il quadro normativo per proteggere le infrastrutture critiche e i sistemi informativi da minacce digitali sempre più complesse e pervasive.
  • Legge 138/2024: riguarda l’adeguamento delle normative italiane in materia di sicurezza cibernetica, con particolare attenzione alla protezione delle infrastrutture critiche e al rafforzamento delle misure di prevenzione e risposta agli attacchi informatici a livello nazionale.

Cyber Resilience Act: NIS, Supply chain e CRAAi lettori meno attenti potrebbe apparire che il Regolamento vada in sovrapposizione con le leggi già vigenti sul settore. Tuttavia, si affianca ed integra le leggi ed i regolamenti estendendo i concetti legati alla CYBER SECURITY ai PRODUTTORI e coinvolgendo gli utenti finali, in buna sostanza i consumatori.

Cyber Resilience Act: operation technology OT

Le Implicazioni per i Produttori e i Consumatori

Il Cyber Resilience Act avrà un impatto significativo sia sui produttori di dispositivi e software, sia sugli utenti finali.

Impatti sui Produttori

I produttori di dispositivi e applicazioni digitali dovranno rispettare requisiti rigorosi per la sicurezza dei loro prodotti. Ciò includerà:

  • Sicurezza per tutto il ciclo di vita: I produttori dovranno garantire che i loro dispositivi o software siano sicuri sin dal momento della progettazione e che possano essere aggiornati e mantenuti sicuri durante l’intero ciclo di vita del prodotto.
  • Gestione delle vulnerabilità: Le aziende dovranno sviluppare meccanismi di gestione per individuare, correggere e informare tempestivamente riguardo le vulnerabilità. La segnalazione delle vulnerabilità alle autorità competenti diventerà una necessità legale.
  • Obbligo di aggiornamenti di sicurezza: I produttori saranno obbligati a fornire aggiornamenti di sicurezza tempestivi per affrontare le minacce emergenti e garantire la protezione contro nuovi exploit.
  • Requisiti di documentazione: Sarà richiesto un livello maggiore di documentazione riguardo i test di sicurezza effettuati sui prodotti, nonché informazioni su come vengono gestite le vulnerabilità.

Impatti sui Consumatori

I consumatori trarranno vantaggio dalla maggiore sicurezza dei prodotti acquistati. Grazie al CRA, i dispositivi IoT e i software saranno progettati per essere più sicuri e facili da aggiornare, riducendo i rischi derivanti da vulnerabilità note. Inoltre, i consumatori saranno più informati riguardo la sicurezza dei prodotti, poiché le etichette di conformità alla sicurezza diventeranno un requisito obbligatorio per determinati prodotti.

Le piccole e medie imprese, che spesso non dispongono delle risorse per difendersi da attacchi cibernetici sofisticati, beneficeranno delle misure di protezione imposte dal regolamento. In tal modo, si ridurranno le disuguaglianze in termini di sicurezza digitale tra grandi imprese e PMI.

Le Sfide del Cyber Resilience Act

Nonostante i benefici, il Cyber Resilience Act presenta alcune sfide pratiche per l’attuazione. Una delle principali difficoltà risiede nel garantire che tutti i prodotti venduti nell’UE siano conformi agli standard di sicurezza. Ciò implica una stretta sorveglianza e una cooperazione efficace tra le autorità competenti di tutti gli Stati membri.

Inoltre, alcune piccole imprese potrebbero trovare difficoltoso adattarsi ai nuovi requisiti normativi, poiché potrebbero non avere le risorse necessarie per implementare pratiche di sicurezza avanzate o per aggiornare continuamente i loro prodotti.

Un problema enorme di cui non si parla è quello legato ai prodotti IT/OT/IOT/SOFTWARE basati sull’OPEN SOURCE.

Da un anno dopo molto clamore non se ne parla più, ma l’attenzione sarà massima sul settore, specialmente perché nei prodotti industriali, sono moltissimi gli oggetti IT/OT basati su software open source.

Il Cyber Resilience Act avrà un impatto significativo anche sui produttori di SOFTWARE open source, poiché introduce requisiti di sicurezza più stringenti per i prodotti software immessi sul mercato dell’Unione Europea, inclusi quelli open source. Sebbene il EU-CRA sia principalmente orientato verso i produttori di software commerciali, alcuni dei suoi obblighi, come quelli riguardanti la gestione dei rischi, l’implementazione di aggiornamenti di sicurezza e la segnalazione delle vulnerabilità, si applicano anche a chi sviluppa software open source.

Gli sviluppatori di software open source gestiscono la sicurezza, il patching e la trasparenza del prodotto rispetto ad alcuni prodotti commerciali, gli impatti sulla comunità potrebbero essere devastanti. Sebbene il CRA non imponga gli stessi obblighi per ogni tipo di software open source (in particolare per quelli non destinati a usi professionali o aziendali), il suo impatto si sentirà più forte nelle comunità che sviluppano software utilizzato in contesti critici o commerciali. I produttori di software open source dovranno pertanto adattarsi a queste nuove normative, in particolare se il loro software è integrato in soluzioni aziendali o infrastrutture sensibili.

Conclusione

Il Cyber Resilience Act rappresenta un passo fondamentale nella costruzione di un’Unione Europea più sicura e resiliente agli attacchi informatici. Se da un lato impone nuove responsabilità e obblighi ai produttori, dall’altro offre agli utenti finali maggiore protezione contro le minacce cibernetiche. La sua adozione potrebbe segnare un cambiamento significativo nella gestione della sicurezza digitale, influenzando positivamente l’intero ecosistema tecnologico europeo.

Il regolamento, una volta implementato, potrebbe diventare un modello a livello globale, ispirando altre giurisdizioni a rafforzare le proprie normative sulla sicurezza informatica. Se applicato correttamente, il CRA non solo migliorerà la sicurezza dei dispositivi digitali, ma contribuirà anche a costruire una cultura della cybersicurezza più forte e diffusa.

Il panorama per i produttori sarà facile da capire ma difficile da padroneggiare, come citavano i primi videogiochi…Cyber Resilience Act: Sicurezza Digitale

 

 

 

 

 

 

Profilo Autore
Efrem Zugnaz

Efrem Zugnaz, opera nel settore IT da più di venticinque anni. Attualmente si occupa di PRIVACY e diritti digitali, in ambito Autostradale ed in gruppi Privacy Europei. Fondatore del progetto WEBPREPPING che da dieci anni promuove il survivalismo digitale per la società civile, la scuola e le istituzioni. Ricercatore e sviluppatore di software, esperto di tecnologie Centralizzate, Tecnologo e divulgatore di Internet dagli albori avendo passato molte fasi storico-tecnologiche ora si occupa di portare in maniera gratuita a quanti possibile buone prassi ed informazioni per i cittadini digitali, con lo scopo di alimentare una infosfera etica e corretta, ma soprattutto psicologicamente ecologica. Appassionato di privacy e crittografia in Rete, collabora a progetti di software libero. Fellow del Centro Studi Hermes Trasparenza e Diritti Umani Digitali è anche membro di associazioni di Sicurezza e Tecnologie Cloud. Collabora con diverse scuole ed università e ha partecipato come relatore a numerosi congressi nazionali e internazionali, affianca alla professione l'attività di formazione rivolta a professionisti, pubbliche amministrazioni, istituzioni, società sportive nel campo dell'informatica giuridica e in particolare diritto ai diritti digitali.

Altri Articoli
Condividi sui Social Network:

Ultimi Articoli

Living-off-the-Land Binaries (LOLBins) negli attacchi fileless:

Living-off-the-Land Binaries (LOLBins) negli attacchi fileless: Analisi Tecnica e Implicazioni per la Sicurezza

A cura di:Redazione Ore Pubblicato il

L’utilizzo dei Living-off-the-Land Binaries (LOLBins) emerge come una metodologia particolarmente insidiosa, che sfrutta binari legittimi del sistema operativo per condurre attività malevole eludendo i tradizionali sistemi di rilevamento. Il panorama delle minacce informatiche sta evolvendo rapidamente verso tecniche sempre più sofisticate di evasione e persistenza, con gli attacchi fileless che rappresentano una delle sfide più…

La Remediation nella Sicurezza Informatica: sfide e prospettive

La Remediation nella Sicurezza Informatica: sfide e prospettive

A cura di:Veronica Leonardi Ore Pubblicato il

Veronica Leonardi (Chief Marketing Officer e Investor Relator di Cyberoo) ha preso parte al 22° Forum ICT Security con l’intervento “Oggi tutti parlano di identificazione delle minacce, ma della remediation chi se ne occupa?”, affrontando un aspetto spesso trascurato nel panorama della sicurezza informatica: la “remediation”. Mentre l’attenzione generale tende a focalizzarsi sulla rilevazione delle…

Gestione di Identità e Accessi nel Cloud - Carla Roncato, WatchGuard Technologies

Come Implementare una Efficiente Gestione di Identità e Accessi nel Cloud

A cura di:Carla Roncato Ore Pubblicato il

L’adozione di una moderna gestione di identità e accessi (IAM) nel Cloud è un elemento centrale in ogni roadmap di sicurezza e strategia di protezione delle informazioni basata sull’approccio zero trust. Vi sono numerose ragioni convincenti per cui le organizzazioni dovrebbero migrare verso sistemi di identità basati sul Cloud: questi sistemi offrono funzionalità come gestione…

Quantum Technologies, lorenzo pupillo al forum ict security

Quantum Technologies – La Seconda Rivoluzione Quantistica tra opportunità e sfide

A cura di:Lorenzo Pupillo Ore Pubblicato il

Durante il Forum ICT Security 2024, Lorenzo Pupillo – Senior Associate Research Fellow e Head of the Cybersecurity presso il Center for European Policy Studies (CEPS) – ha esaminato la trasformazione in atto nell’intervento “La governance delle quantum technologies: sfide etiche e di policy” descrivendo come il panorama tecnologico contemporaneo sia caratterizzato da una trasformazione…

Malware, come crearli e come difendersi con il modello Zero Trust di threatlocker

Come creare un Malware di successo e come difendersi con il modello Zero Trust

A cura di:Cristiano Guerrieri Ore Pubblicato il

Durante il Forum ICT Security 2024, Cristiano Guerrieri – Solution’s Engineer di Threatlocker – nel suo intervento “Come creare un Malware di successo e come difendersi con il modello Zero Trust” ha descritto come gli attacchi ransomware siano diventati progressivamente più sofisticati e strutturati, evidenziando l’importanza di comprendere le tecniche degli attaccanti per poter sviluppare…

Trasferimento di Dati Personali Soggetto a Garanzie Adeguate nel GDPR

Trasferimento di Dati Personali Soggetto a Garanzie Adeguate nel GDPR

A cura di:Massimo Ippoliti Ore Pubblicato il

Questo articolo fa parte di una serie dedicata al Registro dei Trattamenti nel contesto del GDPR. In questa sezione, affronteremo l’argomento del Trasferimento di Dati Personali Soggetto a Garanzie Adeguate nel GDPR, esplorando le alternative disponibili quando non è presente una decisione di adeguatezza e le misure necessarie per garantire la protezione dei dati personali…