skip to Main Content

Ecco cosa prevede il Cyber Resilience Act dell’Ue e perché trema il software libero

Il Cyber Resilience Act è la proposta legislativa Ue volta a introdurre requisiti di sicurezza per una gamma di prodotti digitali venduti in Europa che ha gettato nel panico gli sviluppatori open source.

 

Nuovi obblighi di sicurezza informatica per i dispositivi interconnessi venduti in Europa.

Il 30 novembre Parlamento e il Consiglio dell’Ue hanno raggiunto un accordo sul Cyber Resilience Act (CRA), avviando il tanto atteso regolamento sulla sicurezza verso l’approvazione e l’adozione definitiva, insieme a nuove regole che esentano il software open source.

Proposta dalla Commissione europea nel settembre 2022, il Cra impone requisiti obbligatori di sicurezza informatica per tutti i prodotti hardware e software, dai baby monitor ai router, come affermato dalla Commissione europea. Il Cyber Resilience Act si applicherà a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o a una rete (Internet of things). Stabilisce i requisiti di sicurezza informatica per la progettazione, lo sviluppo, la produzione e la vendita di prodotti hardware e software.

“Il Cyber Resilience Act è il tentativo dell’Europa di impedire ai dispositivi digitali insicuri, che stanno prendendo sempre più controllo nelle case e nei luoghi di lavoro, di scatenare minacce informatiche. Si tratta di una pietra angolare di una strategia più ampia dell’Ue per rispondere alla miriade di minacce che si trovano ad affrontare i governi, l’industria e i cittadini europei, spesso provenienti da criminali informatici e gruppi di hacker sostenuti dallo stato provenienti da Russia, Cina e altre potenze straniere” osserva Politico.

Una volta in vigore, cosa che avverrà 20 giorni dopo la sua adozione da parte del Parlamento e del Consiglio, Cra richiederà ai produttori di hardware e software di raggiungere alcuni obiettivi.

Tutti i dettagli.

COSA PREVEDE IL CYBER RESILIENCE ACT UE

In base al Cyber Resilience Act, i prodotti recanti la marcatura CE dovranno soddisfare un livello minimo di controlli di sicurezza informatica, tra cui la disponibilità degli aggiornamenti di sicurezza, il controllo della sicurezza informatica delle catene di approvvigionamento e una migliore condivisione delle vulnerabilità con le autorità di sicurezza informatica.

I produttori dovranno valutare i rischi legati alla sicurezza informatica dei loro prodotti, fornire dichiarazioni di conformità e adottare le misure appropriate per risolvere i problemi durante la vita prevista del prodotto o per un periodo di almeno cinque anni.

La legge si concentra sui dispositivi connessi in una vasta gamma di settori, comprese aree “critiche” come la finanza, l’aerospaziale, i trasporti, l’energia e altri, segnala Politico.

LA COMUNICAZIONE DELLE VULNERABILITÀ

Secondo le regole, le aziende dovranno segnalare alle autorità i problemi riscontrati nei loro sistemi software e hardware entro 24 ore e fornire report più approfonditi entro 72 ore, per accelerare la condivisione di avvisi su rischi e attacchi. Le vulnerabilità segnalate saranno condivise sia con le autorità nazionali che con l’Agenzia per la sicurezza informatica dell’Unione Europea (Enisa).

“È la prima volta che tale obbligo viene imposto da una legge trasversale e indipendente dal settore” sottolinea infosecurity-magazine.

LE TEMPISTICHE DEL CYBER RESILIENCE ACT UE

Produttori, importatori e distributori avranno 36 mesi per adottare i requisiti. Il testo dovrà essere formalmente approvato dalla plenaria del Parlamento europeo e dai governi nazionali presso il Consiglio dell’Ue. L’industria e i governi avranno tre anni per adattarsi ai nuovi requisiti, il che significa che entreranno effettivamente in vigore solo all’inizio del 2027, precisa Politico.

RISCHIO SANZIONI

Se gli importatori o i distributori non rispettano le disposizioni del Cra, incorreranno in sanzioni fino a 15 milioni di euro o al 2,5% del fatturato annuo mondiale totale.

LE RICADUTE ECONOMICHE

La Commissione europea ha affermato che le norme sulla sicurezza informatica potrebbero far risparmiare alle aziende fino a 290 miliardi di euro all’anno a fronte di costi di conformità di circa 29 miliardi di euro. Completerà la legislazione esistente, in particolare il quadro NIS2, adottato nel 2022, ha aggiunto l’esecutivo di Bruxelles.

I TIMORI

Ma il Cyber Resilience Act ha sollevato preoccupazioni sul potenziale effetto che potrebbe avere sul software open source, spesso gestito da poche persone nonostante l’importanza che può avere per prodotti più grandi. I manutentori dell’open source potrebbero avere difficoltà a rispettare scadenze brevi per patch, documentazione e divulgazione, rileva The Register.

Tuttavia, secondo la testata l’ultima versione del Cra sembra rispondere a queste preoccupazioni. “Per non ostacolare l’innovazione o la ricerca, il software libero e open source sviluppato o fornito al di fuori del corso di un’attività commerciale non dovrebbe essere disciplinato dal presente regolamento”, si legge nella versione proposta della legislazione.

“Abbiamo garantito il sostegno alle micro e piccole imprese e un migliore coinvolgimento delle parti interessate, e abbiamo affrontato le preoccupazioni della comunità open source”, ha spiegato l’eurodeputato Nicola Danti riguardo all’accordo Cra.

LE CONSEGUENZE

Infine, secondo Politico il Cyber Resilience Act potrebbe portare a misure più mirate che limitano l’uso di prodotti fabbricati in Cina e in altri paesi e sistemi giuridici diffidenti da parte dei paesi membri europei.

Back To Top