Il Consiglio e il Parlamento europeo in data 30 novembre hanno trovato un accordo sui requisiti di sicurezza per i prodotti digitali, il Cyber Resilience Act (CRA). Si tratta di un accordo provvisorio sulla proposta di legge in materia di cybersicurezza. Le prossime settimane vedranno il proseguimento dei lavori di natura “tecnica” del testo che – per quanto in nostro possesso – è ormai quasi del tutto stabile dal punto di vista dei contenuti e dei vincoli che verranno imposti ai fabbricanti.
Il CRA riporta specifici obblighi di segnalazione delle vulnerabilità e degli incidenti (“near miss”) dovuti a “corruzioni di natura digitale” eventualmente rilevate, anche (e soprattutto) per le macchine e i prodotti con elementi digitali e connessi: pertanto il costruttore dovrà essere in grado di tener traccia di eventuali tentativi di manomissione con specifici log di sistema, da rendere disponibili anche alle Autorità, se del caso. A tal proposito gli enti nazionali competenti, nominati per la sorveglianza di mercato, saranno i destinatari iniziali di tali segnalazioni: in Italia c’è ancora indeterminatezza sugli quali enti designare e verrà in ogni caso rafforzato il ruolo dell'Agenzia europea per la sicurezza informatica (ENISA).
I fabbricanti di dispositivi connessi, ben presto, non potranno più presentare sul mercato prodotti laddove siano a conoscenza di vulnerabilità significative che possono essere potenzialmente violate; la chiave di lettura sarà pertanto un adeguato Risk Assessment sui prodotti immessi sul mercato. Laddove i rischi non potranno essere eliminati, ai fabbricanti verrà richiesto di attivarsi per fornire adeguata formazione specifica, oltre che adeguare l'intera manualistica fornita.
Oltre ai Regolamenti di prossima adozione di interesse "esclusivo" per il fabbricante, sussistono anche altri riferimenti legislativi quali l’articolo 2087 del Codice Civile, il Dlgs 25/2007 e il DLgs 81/2008 che, pur essendo focalizzati sul "datore di lavoro", necessitano di opportuna "valutazione di impatto" che spetta al fornitore/fabbricante dei prodotti, attore, questo, le cui informazioni fornite saranno pertanto fondamentali per la formulazione di un adeguato Documento di Valutazione dei Rischi aziendale del cliente finale. Tutti i potenziali "punti di vulnerabilità" dovranno essere attenzionati, individuati ed opportunamente "gestiti" durante un periodo predeterminato di supporto al cliente (con aggiornamenti software / hardware / di sistema / di formazione del personale ecc.).
Il CRA si affianca al nuovo Regolamento (UE) 2023/1230 ‘Macchine’ che, come noto, riporta altrettanti nuovi vincoli di natura "cyber" e specifici requisiti da rispettare (ad esempio il Requisito 1.1.9 “Protection against Corruption”), oltre alla marcatura CE del software, considerato ora come componente di sicurezza, a maggior ragione se parliamo di sistemi ad alto rischio (come i sistemi AGV) dotati di algoritmi di autoapprendimento o i cosiddetti "algoritmi suggeritori" (per citare semplicemente qualche esempio), ecc.
La natura degli atti è oggetto di ampia interpretabilità e nonostante gli sforzi di advocacy di questi anni, i testi definitivi "sconteranno" ampi margini discrezionali in sede di applicazione: questo potrà essere un vantaggio ma anche un serio svantaggio in caso di contenziosi (civili o penali che siano, a carico dei vari soggetti chiamati in causa). Pertanto il risk assessment, a cui fanno riferimento tutti i nuovi Regolamenti, costituirà la "pietra angolare" e la conditio sine qua non per una solida difesa dell'operato tecnico-documentale in ciascuna azienda e per ciascun prodotto immesso sul mercato. I nuovi Regolamenti digitali (soprattutto quello relativo all’intelligenza artificiale) sono infatti di natura tendenzialmente "antropocentrica" e tutti i sistemi integrati dovranno dimostrare e garantire adeguata "affidabilità" (non solo "semplicemente" meccanica) nel tempo (o comunque nell'arco del dichiarato life cycle del prodotto).
A cura di Federico Lucarelli