AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Cyber Resilience Act: aggiornamenti in cantiere

Innovazioni nel panorama della sicurezza IT: Il CRA e i suoi impatti sul mercato dei dispositivi digitali

Il Cyber Resilience Act dell'UE introduce nuove regole per la sicurezza dei prodotti digitali, distinguendo prodotti importanti e critici e stabilendo processi di conformità specifici per ciascuna categoria.

This pill is also available in English language

Recienti sviluppi segnalano novità per il Cyber Resilience Act (CRA), il regolamento dell'UE in materia di sicurezza cibernetica, focalizzato sui prodotti digitali interconnessi. L'obiettivo é quello di minimizzare le vulnerabilità attraverso una sicurezza incorporata sin dalla progettazione e sostenere una responsabilità prolungata dei produttori sul ciclo di vita dei prodotti. Un core di requisiti adeguatamente aggiornati guarda all'integrità dei dispositivi hardware e software prima della loro immissione nel mercato, accrescendo contestualmente la trasparenza per consumatori ed imprese.

Classificazione rinnovata e processi di conformità

Una delle modifiche chiave è la rielaborazione della classificazione dei prodotti, che ora si articola in "prodotti importanti", suddivisi in Classe I e II, e "prodotti critici". A seconda della categoria di appartenenza, varia il percorso di conformità normativa. Il processo di conformità si declina in 4 moduli distinti, da A a H, ognuno adatto a differenti contesti e livelli di criticità. Le aziende si adegueranno alla normativa attraverso procedure specifiche, a seconda della classificazione del prodotto.

I dispositivi coinvolti e esenzioni previste

Il regolamento riguarda diversi ambiti, con un focus su dispositivi come browser, IAM systems e password managers per la Classe I, e tecnologie quali hypervisors e IDS/IPS per la Classe II. Tuttavia, alcuni ambiti restano esclusi, quali il software open source non commerciale, servizi cloud coperti dalla direttiva NIS e dispositivi in aree regolate da normative specifiche, come quella per l'aviazione civile o l'automotive. Questo previene sovrapposizioni tra varie legislazioni.

Peculiarità dell'open source e prossimi passi

L'iter legislativo si è soffermato significativamente sulla regolamentazione dell'open source nel contesto commerciale. I protagonisti della distribuzione di software open source, definiti "steward", avranno un regime regolatorio proporzionato. Si enfatizza la necessità di un rigoroso risk assessment e di una gestione attenta delle vulnerabilità, con particolare attenzione alle microimprese e start-up. Restano aperte questioni sul reporting di incidenti e certificazioni europee, che verranno trattate in successive linee guida. Gli stakeholder saranno tenuti a conformarsi entro tre anni dall'approvazione del regolamento, con tempi più stretti per la segnalazione di vulnerabilità critiche.

Follow us on Twitter for more pills like this

02/16/2024 01:30

Editorial AI

Complementary pills

La Commissione UE lancia incentivi per la cybersecuritySviluppo della cybersecurity: dal potenziamento con AI alla crittografia post-quantistica, gli incentivi dell'UE

Unione Europea lancia bando da 71 milioni di euro per la sicurezza informaticaNuove opportunità per il rafforzamento delle capacità operative e tecniche: invito alla presentazione di proposte entro settembre 2023 nel quadro del Programma di lavoro digitale Europeo 2023-2024

Minacce cyber in aumento nel 2022: cosa aspettarsi nel 2023Dal rafforzamento normativo alle certificazioni, ecco le sfide e le misure preventive per proteggere enti pubblici, imprese e cittadini dai crescenti attacchi cibernetici

Last pills

Career opportunities in Italian intelligence: entering the heart of securityFind out how to join the intelligence forces and contribute to national security

Hacker attack impacts Microsoft and US federal agenciesNational security implications and strategic responses to credential theft

Implications and repercussions of the serious cyberattack on the Lazio NHSConsequences and punitive measures after the ransomware attack that brought the regional healthcare system to its knees

Telecommunications security: flaw exposes conversations and 2FA to the risk of interceptionRisk of privacy violation through call diversion: measures and industry responses