**”Cyber Resilience Act: Nuove Frontiere per la Sicurezza dei Prodotti Digitali nell’Era dell’IoT”**

Dicembre 19, 2024 Certinews Magazine, E-Magazine, News
**"Cyber Resilience Act: Nuove Frontiere per la Sicurezza dei Prodotti Digitali nell'Era dell'IoT"**

**Impatto del Cyber Resilience Act: Sicurezza dei Prodotti con Componenti Digitali**

Il recente Regolamento UE 2024/2847, noto come Cyber Resilience Act (CRA), rappresenta un passo fondamentale verso la protezione della sicurezza informatica in Europa. La normativa si propone di rinforzare la sicurezza dei prodotti dotati di componenti digitali, in particolare quelli connessi nell’ecosistema dell’IoT (Internet delle Cose). L’obiettivo è garantire che tali prodotti, lungo l’intera catena di approvvigionamento e per l’intero ciclo di vita, siano al riparo da vulnerabilità e attacchi.

### Cosa Prevede il Regolamento

Il CRA entrerà in vigore dall’11 dicembre 2027, ma gli obblighi di segnalazione per incidenti che sfruttano le vulnerabilità scattano già dall’11 giugno 2026. Questo approccio prevede una distinzione fra vari tipi di prodotti con elementi digitali, categorizzandoli in “normali”, “importanti” e “critici”.

#### Prodotti Normali
Definiti nell’articolo 6, i prodotti “normali” devono seguire delle misure minime di sicurezza delineate nell’allegato 1. Un aspetto rilevante è l’obbligo di gestire le vulnerabilità attraverso un processo specificato nel medesimo allegato.

#### Prodotti Importanti
Questi prodotti, descritti all’articolo 7, includono sistemi di sicurezza informatica e prodotti la cui compromissione può avere impatti significativi su altri sistemi informatici o su persone. A partire dall’11 dicembre 2025, la Commissione europea fornirà indicazioni tecniche più dettagliate per la classificazione di tali prodotti. La verifica della loro sicurezza dovrà avvenire attraverso organismi di certificazione (notificati) se non viene seguita la norma armonizzata pertinente. Le verifiche possono includere verifiche di tipo e di produzione a seconda delle scelte del fabbricante.

#### Prodotti Critici
Descritti all’articolo 8, questi prodotti sono soggetti a requisiti di sicurezza più rigorosi. Devono essere certificati con un livello di affidabilità “sostanziale” in conformità al Cybersecurity Act, e nel caso non vi siano schemi di certificazione disponibili, è necessario coinvolgere un organismo di certificazione per la verifica della conformità.

### Obiettivi e Requisiti Generali

Il Regolamento stabilisce che i fabbricanti devono condurre valutazioni di rischio legate alla cybersecurity per i loro prodotti. Ciò comprende l’identificazione e l’applicazione di controlli di sicurezza tecnici e procedurali. Una novità significativa è l’obbligo di fornire assistenza per almeno cinque anni, garantendo così un supporto continuativo in caso di vulnerabilità.

Oltre a questo, il CRA delinea requisiti per la documentazione tecnica, per il tracciamento dei prodotti, per le istruzioni per gli utenti e la marcatura CE. È prevista anche l’istituzione di un’autorità di notifica che approverà gli organismi di certificazione, con il chiaro intento di monitorare e garantire la conformità alla normativa.

### Segnalazione delle Vulnerabilità

Un elemento cruciale del regolamento è rappresentato dagli articoli che trattano la necessità di notificare gli incidenti di sicurezza. I fabbricanti hanno l’obbligo di comunicare al Computer Security Incident Response Team (CSIRT) gli incidenti che si verificano a causa di vulnerabilità nei loro prodotti. Inoltre, c’è spazio per la segnalazione di vulnerabilità da parte di soggetti esterni, elevando così la trasparenza e la reattività del mercato.

### Implicazioni per il Software Libero e Open Source

Il CRA non trascura i software liberi e open source, evidenziando l’importanza della certificazione anche in questo ambito. Questo indica un riconoscimento crescente del ruolo fondamentale che il software open source riveste nel panorama della sicurezza informatica.

### Conclusioni e Invito all’Azione

Il Cyber Resilience Act rappresenta un cambiamento significativo nella regolamentazione della sicurezza informatica dei prodotti dotati di componenti digitali, imponendo obblighi di sicurezza robusti e requisiti di segnalazione. Con l’approccio multi-livello del CRA, si prevede una maggiore protezione per gli utenti finali e una maggiore responsabilità per i produttori.

È importante tenersi aggiornati sulle future evoluzioni di questo regolamento e sulle norme tecniche che saranno emesse in seguito. Pertanto, vi invitiamo a seguire i nostri profili social

Share Button