Cyber Resilience Act: aggiornamenti in cantiere
Innovazioni nel panorama della sicurezza IT: Il CRA e i suoi impatti sul mercato dei dispositivi digitali
Il Cyber Resilience Act dell'UE introduce nuove regole per la sicurezza dei prodotti digitali, distinguendo prodotti importanti e critici e stabilendo processi di conformità specifici per ciascuna categoria.
Recienti sviluppi segnalano novità per il Cyber Resilience Act (CRA), il regolamento dell'UE in materia di sicurezza cibernetica, focalizzato sui prodotti digitali interconnessi. L'obiettivo é quello di minimizzare le vulnerabilità attraverso una sicurezza incorporata sin dalla progettazione e sostenere una responsabilità prolungata dei produttori sul ciclo di vita dei prodotti. Un core di requisiti adeguatamente aggiornati guarda all'integrità dei dispositivi hardware e software prima della loro immissione nel mercato, accrescendo contestualmente la trasparenza per consumatori ed imprese.
Classificazione rinnovata e processi di conformità
Una delle modifiche chiave è la rielaborazione della classificazione dei prodotti, che ora si articola in "prodotti importanti", suddivisi in Classe I e II, e "prodotti critici". A seconda della categoria di appartenenza, varia il percorso di conformità normativa. Il processo di conformità si declina in 4 moduli distinti, da A a H, ognuno adatto a differenti contesti e livelli di criticità. Le aziende si adegueranno alla normativa attraverso procedure specifiche, a seconda della classificazione del prodotto.
I dispositivi coinvolti e esenzioni previste
Il regolamento riguarda diversi ambiti, con un focus su dispositivi come browser, IAM systems e password managers per la Classe I, e tecnologie quali hypervisors e IDS/IPS per la Classe II. Tuttavia, alcuni ambiti restano esclusi, quali il software open source non commerciale, servizi cloud coperti dalla direttiva NIS e dispositivi in aree regolate da normative specifiche, come quella per l'aviazione civile o l'automotive. Questo previene sovrapposizioni tra varie legislazioni.
Peculiarità dell'open source e prossimi passi
L'iter legislativo si è soffermato significativamente sulla regolamentazione dell'open source nel contesto commerciale. I protagonisti della distribuzione di software open source, definiti "steward", avranno un regime regolatorio proporzionato. Si enfatizza la necessità di un rigoroso risk assessment e di una gestione attenta delle vulnerabilità, con particolare attenzione alle microimprese e start-up. Restano aperte questioni sul reporting di incidenti e certificazioni europee, che verranno trattate in successive linee guida. Gli stakeholder saranno tenuti a conformarsi entro tre anni dall'approvazione del regolamento, con tempi più stretti per la segnalazione di vulnerabilità critiche.
Seguici su Twitter per altre pillole come questa16/02/2024 01:30
Editorial AI