Cyber Resilience Act: requisiti fondamentali e prodotti coinvolti
Lo scopo finale del Cyber Resilience Act è garantire che i prodotti con elementi digitali immessi sul mercato dell’UE presentino meno vulnerabilità e i produttori siano responsabili della sicurezza informatica per tutto il ciclo di vita di un prodotto. Ecco che c’è da sapere
Cyber Security Specialist CISSP, CEH, CCSK, CompTIA
È stata di recente pubblicata la proposta di legge UE riguardante la cyber security dei prodotti connessi che si chiama Cyber Resilience Act (ovvero CRA).
È un passo fondamentale per aumentare la consapevolezza dell’importanza della cyber security in tutti gli aspetti del ciclo di vita di un prodotto: dalla fase di Concept, alla fase di Design, poi di Implementazione, infine di Testing. A seguire saranno anche interessate le fasi di Post-sviluppo e Produzione.
I macro obiettivi di questa direttiva sono quattro e sono elencati qui di seguito:
Per i requisiti specifici di cyber security, la direttiva stabilisce l’importanza di alcune attività come segue:
Tutta la filiera (Supply Chain) di produzione di un prodotto digitale (software, hardware, connettività ecc.) diventa quindi soggetta ad attività e controlli di cyber security.
Saranno tre le categorie di prodotti coinvolti dal Cyber Resilience Act:
La distinzione dalla prima classe a quelle successive si basa sui seguenti aspetti:
Per determinare il livello appropriato di rischio dei prodotti critici sarà necessario valutare i seguenti punti:
Per la prima classe, non ci sono particolari criteri da applicare e i prodotti coinvolti sono principalmente appartenenti alle seguenti tipologie:
Per la seconda categoria sarà necessario un Assessment (eventualmente condotto da una terza parte) e riguarderà i seguenti prodotti (come da elenco presente nel Annex III):
Per la terza categoria, infine, sarà obbligatorio un Assessment di terze parti e riguarderà i seguenti prodotti: (come da elenco presente nel Annex III):
Sono invece esclusi (Out-of-scope) le seguenti altre tipologie:
Lo scopo finale del Cyber Resilience Act è garantire che i prodotti con elementi digitali immessi sul mercato dell’UE presentino meno vulnerabilità e i produttori siano responsabili della sicurezza informatica per tutto il ciclo di vita di un prodotto.
È importante anche sottolineare l’interscambio tra questa direttiva ed altre normative europee: NIS2 (in Draft), GDPR (privacy), RED (per dispositive Radio), AI Act (Intelligenza artificiale), direttive Macchina e Safety. Questo per assolvere la strategia digitale europea che vuole quattro pilastri:
Una volta che il Cyber Resilience Act verrà approvato e adottato dai paesi UE, operatori economici e Stati membri avranno due anni per adeguarsi alle nuove esigenze.
L’obbligo di segnalare le vulnerabilità sfruttate attivamente e gli incidenti si applicheranno dopo un anno.
di Alessandro Amoroso, Pietro Boccaccini, Federica Caretta
I tuoi contenuti, la tua privacy!
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio. Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
COOKIE DI PROFILAZIONE E SOCIAL PLUGIN
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.
ICT&Strategy S.r.l. – Gruppo DIGITAL360 - Codice fiscale 05710080960 - P.IVA 05710080960 - © 2022 ICT&Strategy. ALL RIGHTS RESERVED
Clicca sul pulsante per copiare il link RSS negli appunti.
Clicca sul pulsante per copiare il link RSS negli appunti.