IT

INT/999

Normativa sulla ciberresilienza

PARERE

Sezione Mercato unico, produzione e consumo

Proposta di regolamento del Parlamento europeo e del Consiglio
sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e
che modifica il regolamento (UE) 2019/1020

[COM(2022) 454 final – 2022/0272 (COD)]

E-mail di contatto

int@eesc.europa.eu

Amministratore

Marco MANFRONI

Data del documento

15/11/2022

Relatore: Maurizio MENSI

Correlatore: Marinel Dănuț MURESAN

Consultazione

Parlamento europeo, DD/MM/YYYY

Consiglio, 20/10/2022

Base giuridica

Articolo 114 del Trattato sul funzionamento dell'Unione europea

Sezione competente

Mercato unico, produzione e consumo

Adozione in sezione

10/11/2022

Esito della votazione
(favorevoli/contrari/astenuti)

35/0/0

Adozione in sessione plenaria

DD/MM/YYYY

Sessione plenaria n.

Esito della votazione
(favorevoli/contrari/astenuti)

…/…/…



1.Conclusioni e raccomandazioni

1.1Il CESE accoglie con favore la proposta della Commissione di una normativa sulla ciberresilienza (Cyber Resilience Act - CRA) volta a stabilire più elevati standard di cibersicurezza, tali da creare un sistema affidabile per gli operatori economici e garantire ai cittadini dell'UE un utilizzo sicuro dei prodotti sul mercato. Si tratta infatti di un'iniziativa che fa parte della strategia europea sui dati, che rafforza la sicurezza dei dati, compresi quelli personali, ed i diritti fondamentali, requisiti essenziali per la nostra società digitale.

1.2Il CESE ritiene essenziale rafforzare la risposta collettiva contro gli attacchi informatici e consolidare il processo di armonizzazione in tema di cibersicurezza a livello nazionale in termini di norme e strumenti operativi, per evitare che approcci nazionali differenziati possano creare incertezze e ostacoli giuridici.

1.3Il CESE accoglie con favore l'iniziativa della Commissione, che non solo potrà contribuire a ridurre i rilevanti costi causati alle imprese dagli attacchi informatici, ma consentirà ai cittadini/consumatori di beneficiare di una migliore protezione dei loro diritti fondamentali quali la privacy. In particolare, la Commissione mostra di tener conto delle specifiche esigenze delle PMI in occasione delle prestazioni rese dalle autorità certificatrici; tuttavia il CESE segnala l'opportunità di chiarire i criteri applicativi.

1.4Il CESE ritiene importante sottolineare che, se da un lato è apprezzabile che il CRA riguardi praticamente tutti i prodotti digitali, dall'altro potrebbero porsi problemi di concreta applicazione del medesimo, data la notevole e complessa attività di verifica e controllo che lo stesso comporta. Di qui la necessità di rafforzare gli strumenti di monitoraggio e verifica.

1.5Il CESE rileva la necessità di chiarire con precisione l'ambito di applicazione materiale del CRA, con particolare riferimento ai prodotti con elementi digitali e al software.

1.6Il CESE rileva che i produttori avranno l'obbligo di segnalare, da un lato, le vulnerabilità dei prodotti e, dall'altro, gli eventuali incidenti di sicurezza, informando l'Agenzia dell'Unione europea per la cibersicurezza (ENISA). In tal senso risulta importante che quest'ultima sia dotata delle necessarie risorse per svolgere con puntualità ed efficacia i rilevanti e delicati compiti che le saranno affidati.

1.7Il CESE suggerisce alla Commissione, al fine di evitare ogni incertezza interpretativa, di elaborare apposite linee guida così da orientare produttori e consumatori sulle regole e le procedure in concreto applicabili, poiché risulta che svariati prodotti rientranti nel raggio d'azione della proposta sono altresì sottoposti ad altre previsioni normative in materia di cibersicurezza.

1.8Il CESE rileva che non risulta del tutto chiaro il rapporto fra autorità certificatrici ai sensi del CRA ed altri organi abilitati a certificare la cibersicurezza ai sensi di altre previsioni normative. Lo stesso problema di coordinamento operativo rischia di porsi anche fra le autorità di sorveglianza previste dalla proposta in esame e quelle già attive ai sensi di altre normative applicabili ai medesimi prodotti.

1.9Il CESE rileva che la proposta prevede una notevole mole di attività e responsabilità a carico delle autorità certificatrici, la cui concreta operatività deve essere garantita. Ciò anche al fine di evitare che il CRA si traduca in un aumento di oneri burocratici, così da penalizzare i produttori che dovranno sottostare a una serie di ulteriori obblighi certificativi per potere continuare ad operare nel mercato.

2.Analisi della proposta

2.1Con la proposta del CRA la Commissione intende razionalizzare e ridefinire in modo organico e orizzontale l'attuale normativa in materia di cibersicurezza provvedendo nel contempo ad un suo aggiornamento alla luce delle sopraggiunte innovazioni tecnologiche.

2.2Il CRA persegue essenzialmente quattro obiettivi: garantire che i produttori migliorino la sicurezza dei prodotti che hanno elementi digitali nella fase di progettazione e sviluppo e durante il loro intero ciclo di vita; garantire un quadro coerente di norme in tema di cibersicurezza, facilitando la conformità ad opera di produttori di hardware e software; migliorare la trasparenza delle caratteristiche di sicurezza dei prodotti con elementi digitali; consentire alle aziende e ai consumatori di utilizzare in modo sicuro tali prodotti. In sostanza, la proposta introduce un marchio CE in tema di cibersicurezza imponendo che tale marchio debba essere apposto su tutti i prodotti disciplinati dal CRA.

2.3Si tratta di un intervento orizzontale, con cui la Commissione intende disciplinare in modo organico l'intera materia, dato che riguarda praticamente tutti i prodotti che hanno componenti digitali. Ne sono esclusi solo quelli di natura medica e relativi all'aviazione civile, i veicoli, e quelli militari. La proposta non riguarda inoltre i servizi tipo SaaS (cloud), salvo che gli stessi servano per l'elaborazione di prodotti con elementi digitali.

2.4La definizione di "prodotti con elementi digitali" è molto ampia e comprende qualsiasi prodotto software o hardware, nonché software o hardware non incorporati nel prodotto ma che sono immessi sul mercato separatamente.

2.5La normativa introduce requisiti obbligatori di cibersicurezza per i prodotti che hanno componenti digitali lungo tutto il loro ciclo di vita, ma non sostituisce quelle già vigenti. Anzi, i prodotti che sono già stati certificati come conformi a norme UE preesistenti si considereranno "validi" anche ai sensi del nuovo regolamento.

2.6Il principio generale di base è che in Europa siano commercializzati solo prodotti "sicuri", i cui produttori si comportino in modo che questi prodotti restino tali per tutto il loro ciclo di vita.

2.7Un prodotto è considerato "sicuro" qualora sia progettato e realizzato in modo da disporre di un livello di sicurezza appropriato ai ciberrischi che il suo uso comporta, non ha vulnerabilità note al momento in cui viene venduto, ha una configurazione sicura di default, è protetto da connessioni illecite, tutela i dati che raccoglie e la raccolta dei dati è limitata solamente a quelli che servono al suo funzionamento.

2.8Un produttore è considerato idoneo a commercializzare i propri prodotti qualora renda conoscibile l'elenco dei vari componenti software dei suoi prodotti, rilascia rapidamente rimedi gratuiti in caso di nuove vulnerabilità, rende pubbliche e illustra in dettaglio le vulnerabilità che rileva e risolve, verifica regolarmente la "solidità" dei prodotti che commercializza. Queste e le altre attività imposte dal CRA devono essere svolte per tutta la vita di un prodotto, o almeno per cinque anni dalla sua immissione sul mercato. Il produttore è tenuto a provvedere all'eliminazione di vulnerabilità attraverso periodici aggiornamenti software.

2.9Secondo un principio generale applicato in vari settori, gli obblighi sono anche a carico di importatori e distributori.

2.10Il CRA prevede una macro-categoria di prodotti e software cosiddetti "normali" per i quali ci si può affidare ad una auto-valutazione del produttore, come già accade per altri tipi di certificazione da marchio CE. Secondo la Commissione, il 90 % dei prodotti sul mercato rientra in questa categoria.

2.11I prodotti in questione possono essere immessi sul mercato a seguito di un'auto-valutazione della loro cibersicurezza da parte del produttore che presenta un'idonea documentazione stabilita dalle linee guida della normativa. Lo stesso produttore è tenuto a ripetere la valutazione se il prodotto viene modificato.

2.12Il restante 10 % dei prodotti è suddiviso in altre due categorie (la classe I, meno pericolosi, e la classe II, più pericolosi), la cui immissione sul mercato richiede una maggiore attenzione. Si tratta dei cosiddetti "prodotti critici con elementi digitali", il cui difetto può condurre ad altre pericolose e più estese violazioni della sicurezza.

2.13Per i prodotti di queste due classi le autocertificazioni di base sono ammissibili solo se il produttore dimostra di avere seguito specifici standard di mercato e specifiche di sicurezza o certificazioni di cibersicurezza già previste dall'UE. In caso contrario può ottenere la certificazione del prodotto da parte di un ente di certificazione accreditato la cui attestazione è obbligatoria per i prodotti di classe II.

2.14Il sistema di classificazione dei prodotti in categorie di rischio è contenuto anche nella proposta di regolamento sull'IA (intelligenza artificiale). Per evitare dubbi circa le disposizioni applicabili, il CRA prende in considerazione i prodotti con elementi digitali che sono contemporaneamente classificati come "sistemi di IA ad alto rischio" ai sensi della proposta sull'IA. Tali prodotti dovranno generalmente rispettare la procedura di valutazione della conformità stabilita dal regolamento sull'IA, fatta eccezione per i "prodotti digitali critici", per i quali si applicheranno le norme di valutazione della conformità del CRA in aggiunta ai "requisiti essenziali del CRA".

2.15Onde garantire il rispetto del CRA, è prevista una attività di vigilanza che ogni Stato membro dovrà affidare a una autorità nazionale. In linea con la normativa relativa alla sicurezza di altri prodotti, se un'autorità nazionale rileva che vengono meno le caratteristiche di cibersicurezza di un prodotto, la sua commercializzazione può essere sospesa nello Stato in questione. L'ENISA ha competenza per valutare in dettaglio un prodotto segnalato e le sue valutazioni, in caso di rilevata insicurezza di un prodotto, possono condurre alla sospensione della commercializzazione dello stesso nell'UE.

2.16L'apparato sanzionatorio del CRA è garantito da una serie di sanzioni – rapportate alla gravità della violazione – che, in caso di violazione dei requisiti essenziali di cibersicurezza dei prodotti, possono raggiungere 15 milioni di euro o il 2,5 % del fatturato dell'anno fiscale precedente.

3.Osservazioni

3.1Il CESE accoglie con favore l'iniziativa della Commissione volta ad inserire un tassello chiave nell'ambito del più ampio mosaico normativo in tema di cibersicurezza, in coordinamento ed a complemento della direttiva NIS e in aggiunta al regolamento sulla cibersicurezza. Standard elevati di cibersicurezza hanno infatti un ruolo fondamentale nella creazione di un solido sistema di cibersicurezza dell'UE per tutti gli operatori economici, utile a garantire ai cittadini dell'UE un utilizzo sicuro di tutti i prodotti sul mercato e a rafforzare la loro fiducia nel mondo digitale.

3.2Il regolamento affronta quindi due questioni: il basso livello di sicurezza informatica di molti dei prodotti e, soprattutto, il fatto che molti produttori non forniscono aggiornamenti per risolvere le vulnerabilità. Mentre i fabbricanti di prodotti con elementi digitali a volte subiscono danni alla reputazione quando i loro prodotti mancano di sicurezza, il costo delle vulnerabilità è prevalentemente a carico degli utenti professionali e dei consumatori. Questo limita gli incentivi dei produttori a investire nella progettazione e nello sviluppo di prodotti sicuri e a fornire aggiornamenti di sicurezza. A ciò si aggiunga che le imprese e i consumatori spesso non dispongono di informazioni sufficienti e accurate quando si tratta di scegliere prodotti sicuri e spesso non sanno come assicurarsi che i prodotti che acquistano siano configurati in modo sicuro. Le nuove norme trattano questi due aspetti affrontando la questione degli aggiornamenti e della fornitura di informazioni aggiornate ai clienti. Il CESE ritiene che, in tal senso, ove correttamente applicato, il regolamento proposto possa diventare parametro di riferimento e modello a livello internazionale in materia di cibersicurezza.

3.3Il CESE accoglie con favore la proposta volta ad introdurre requisiti di sicurezza informatica per i prodotti con elementi digitali. Sarà tuttavia importante evitare sovrapposizioni con altre previsioni normative vigenti sul punto, quali la nuova direttiva NIS 2 ed il regolamento sull'IA.

3.4Il CESE ritiene importante sottolineare che, se da un lato è apprezzabile che il CRA riguardi praticamente tutti i prodotti digitali, dall'altro potrebbero porsi problemi di concreta applicazione del medesimo data la notevole attività di verifica e controllo che lo stesso comporta.

3.5L'ambito di applicazione materiale del CRA è ampio e copre tutti i prodotti con elementi digitali. Secondo la definizione proposta, sono coperti tutti i prodotti software e hardware e le relative operazioni di elaborazione dati. Il CESE suggerisce alla Commissione di chiarire se tutto il software rientri nell'ambito di applicazione della proposta di regolamento.

3.6I produttori avranno l'obbligo di segnalare, da un lato, le vulnerabilità attivamente sfruttate e, dall'altro, gli incidenti di sicurezza. Saranno tenuti a informare l'ENISA di qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto e (separatamente) di qualsiasi incidente che abbia un impatto sulla sicurezza del prodotto, in ogni caso entro 24 ore da quando ne sono venuti a conoscenza. Al riguardo, il CESE rileva la necessità che l'ENISA sia dotata di risorse adeguate, dal punto di vista numerico e della preparazione professionale, per essere in grado di svolgere con efficacia i rilevanti e delicati compiti che le saranno affidati ai sensi del regolamento.

3.7Il fatto che una serie di prodotti che rientrano nel campo di applicazione della proposta siano altresì sottoposti ad altre previsioni normative in materia di cibersicurezza potrebbe comportare incertezza circa la normativa applicabile. Sebbene il CRA preveda di essere coerente con l'attuale quadro normativo dell'UE relativo ai prodotti e con altre proposte attualmente in itinere nel contesto della Strategia digitale dell'UE, norme come quelle previste per i prodotti di intelligenza artificiale ad alto rischio, per esempio, si incrociano con quelle previste dal regolamento sul trattamento dei dati personali. Al riguardo il CESE suggerisce alla Commissione di elaborare apposite linee guida così da orientare produttori e consumatori sulla sua corretta applicazione.

3.8Il CESE rileva che non pare del tutto chiaro il rapporto fra le autorità certificatrici ai sensi del CRA ed eventuali altri organi abilitati a certificare la cibersicurezza ai sensi di altre regolamentazioni parimenti applicabili.

3.9Notevole carico di attività e responsabilità incombe poi sulle medesime autorità certificatrici, la cui concreta operatività deve essere verificata e garantita, onde evitare che il CRA si traduca in un aumento degli oneri burocratici già previsti a carico dei produttori per operare sul mercato.

3.10Il CRA prevede che le autorità certificatrici tengano conto delle specifiche esigenze delle PMI in occasione delle prestazioni rese dalle autorità certificatrici; tuttavia il CESE segnala l'opportunità di chiarire i criteri applicativi.

3.11Un problema di coordinamento rischia inoltre di porsi fra le autorità di sorveglianza previste dal regolamento in esame e quelle già attive ai sensi di altra regolamentazione applicabile ai medesimi prodotti. Il CESE suggerisce pertanto alla Commissione di invitare gli Stati membri a vigilare e, se del caso, intervenire per ovviare a tale eventualità.

Bruxelles, 10 novembre 2022

Alain COHEUR

Presidente della sezione Mercato unico, produzione e consumo

_____________