L’UE si appresta ad approvare una versione raffinata del Cyber Resilience Act, che introduce nuove normative sulla cybersecurity per i dispositivi connessi. La legge impone ai produttori di segnalare qualsiasi incidente di cybersecurity o vulnerabilità sfruttata all’autorità competente. La responsabilità per questo compito è stata trasferita da ENISA, l’agenzia per la cybersecurity dell’UE, alle squadre nazionali di risposta agli incidenti di sicurezza informatica (CSIRTs). La legge introduce anche il concetto di ‘prodotti altamente critici’, per i quali la Commissione Europea potrebbe imporre schemi di certificazione di cybersecurity dell’UE. Tuttavia, l’ultima versione della legge rimuove qualsiasi riferimento esplicito a questi prodotti.
Ai produttori è anche richiesto di indicare la durata prevista del prodotto durante la quale gli utenti possono aspettarsi aggiornamenti di sicurezza. La legge stabilisce inoltre che la responsabilità di conformarsi alla legge sulla cybersecurity passa all’operatore economico che modifica sostanzialmente un dispositivo connesso. Tuttavia, questa responsabilità è esentata per le patch di sicurezza che non modificano lo scopo previsto di un prodotto. La legge esclude anche i componenti dei dispositivi connessi prodotti esclusivamente come pezzi di ricambio per sostituire componenti identici dal suo campo di applicazione.
L’applicazione della legge sarà guidata dalle autorità di sorveglianza del mercato dell’UE, che emetteranno documenti di orientamento per semplificare l’applicazione della normativa a livello nazionale. Si prevede che la legge sarà adottata dal Comitato dei Rappresentanti Permanenti del Consiglio dell’UE, con negoziati tra i co-legislatori dell’UE previsti per iniziare a settembre.
Source: EURACTIV
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.