**”Navigare le Nuove Normative: Guida Essenziale per i Fabbricanti sulla Sicurezza Informatica nell’Era Digitale”**

Dicembre 30, 2024 Certinews Magazine, E-Magazine, News
**"Navigare le Nuove Normative: Guida Essenziale per i Fabbricanti sulla Sicurezza Informatica nell'Era Digitale"**

# L’importanza di Regolamenti sulla Sicurezza Informatica: Guida Pratica per i Fabbricanti

L’era digitale in cui viviamo porta con sé non solo opportunità straordinarie, ma anche sfide significative. Negli ultimi anni, i livelli di sicurezza richiesti dai prodotti software e hardware sono aumentati drasticamente. A fronte di questa necessità, è stato introdotto un nuovo regolamento che stabilisce precise scadenze e requisiti tecnici che i fabbricanti devono rispettare per garantire la sicurezza dei loro prodotti. Questo articolo offre una panoramica delle disposizioni principali, i requisiti per i vari livelli di prodotto e le indicazioni specifiche per i fabbricanti.

## Scadenze e Obblighi di Segnalazione

Una delle prima osservazioni è sulla tempistica del regolamento. Questo entrerà in vigore a partire dall’11 dicembre 2027, mentre l’obbligo di segnalare incidenti causati dallo sfruttamento di vulnerabilità specifiche sarà attivo dall’11 giugno 2026. Ciò significa che i fabbricanti devono iniziare a prepararsi per questi cambiamenti immediatamente, in modo da rispettare le scadenze indicate.

## Classificazione dei Prodotti: Normali, Importanti e Critici

Il regolamento in esame classifica i prodotti in tre categorie: normali, importanti e critici. Ogni categoria presenta requisiti tecnici e procedure di verifica distinti.

### Prodotti Normali

I prodotti normali includono qualunque software o hardware, così come le soluzioni di elaborazione dati da remoto. I fabbricanti di questi prodotti devono seguire le misure minime descritte nell’Allegato 1 e implementare un processo di gestione delle vulnerabilità. Questo rappresenta un primo passo fondamentale nella protezione e nel mantenimento della sicurezza dei prodotti.

### Prodotti Importanti

I prodotti importanti ricomprendono sistemi di sicurezza informatica e qualsiasi altro prodotto il cui funzionamento possa avere impatti significativi su altri sistemi o sulla sicurezza delle persone. Entro l’11 dicembre 2025, la Commissione europea fornirà direttive tecniche più dettagliate su queste categorie. I produttori dovranno seguire le procedure di verifica indicate nell’articolo 32, che possono includere l’intervento di un organismo di certificazione per attestare la conformità ai requisiti.

### Prodotti Critici

La categoria dei prodotti critici si riferisce a quelli già certificati secondo i Common Criteria. Questi prodotti devono ottenere una certificazione di livello di affidabilità almeno “sostanziale” per essere considerati compliant. Se uno schema di certificazione non è disponibile, il fabbricante è obbligato a collaborare con un organismo di certificazione per valutare e verificare il prodotto. La necessità di una certificazione rigorosa per i prodotti critici è fondamentale per la sicurezza nazionale e dei sistemi informatici.

## Indirizzi per i Fabbricanti

### Valutazione del Rischio

Un elemento cruciale per i fabbricanti consiste nella conduzione di valutazioni dei rischi legati alla sicurezza informatica dei propri prodotti. È fondamentale identificare e implementare controlli di sicurezza sia tecnici che di processo. Queste misure dovrebbero coprire attività di manutenzione, assistenza e gestione delle vulnerabilità, e l’affidabilità dei prodotti deve essere garantita per almeno cinque anni.

### Documentazione Tecnica e Tracciamento

Il regolamento richiede una documentazione tecnica dettagliata, che include, tra le altre cose, il tracciamento dei prodotti e la redazione della dichiarazione di conformità. È essenziale che i fabbricanti forniscano adeguate informazioni e istruzioni agli utilizzatori, accompagnate da punti di contatto efficaci per la gestione dei reclami e dei ritiri dei prodotti. Questi requisiti consentono di mantenere una comunicazione chiara e utile tra produttori e utenti.

### Notifica di Incidenti e Vulnerabilità

In caso di incidenti, è previsto che i fabbricanti notifichino al CSIRT (Computer Security Incident Response Team) qualsiasi exploit di vulnerabilità. Anche la segnalazione di vulnerabilità da parte degli utenti o di terzi è incoraggiata, creando così un ciclo di feedback utile per migliorare continuamente la sicurezza dei prodotti.

## Software Libero e Open Source

Il regolamento affronta anche i temi legati ai software liberi e open source, evidenziando l’importanza di applicare le stesse misure di sicurezza previste per i prodotti commerciali. Questi software devono risultare conformi alle normative di sicurezza generale e alle specifiche dei sistemi di intelligenza

Share Button