L’UE Promuove la Cybersecurity Open Source

Posted on October 30, 2023
I responsabili delle politiche dell’Unione Europea (UE) stanno avanzando nel loro approccio al software open source e al suo periodo di supporto nell’imminente Legge sulla Resilienza Cibernetica. Questa legge introduce requisiti di sicurezza per i dispositivi connessi ed è prossima alle fasi finali del processo legislativo. Le discussioni chiave riguardano la regolamentazione del software open source, che è fondamentale per l’innovazione digitale. L’UE sta considerando un approccio stratificato con obblighi variabili in base a come il software viene sviluppato e commercializzato.

Per le entità commerciali che sviluppano e controllano esclusivamente software open source integrato nei loro prodotti, devono aderire a tutti gli obblighi della Legge sulla Resilienza Cibernetica. Questo include requisiti essenziali, documentazione tecnica, marcatura di conformità e sorveglianza del mercato. Al contrario, il software sviluppato in collaborazione sotto organizzazioni come le fondazioni di software open source avrà un insieme di obblighi più leggero. Queste entità saranno responsabili della gestione delle vulnerabilità, del pronto rilascio di patch di sicurezza e della segnalazione di vulnerabilità attivamente sfruttate. Tuttavia, non dovranno affrontare multe e non dovranno mostrare la marcatura CE per la conformità alle norme dell’UE.

Il software sviluppato in collaborazione senza un’entità di controllo unica e reso disponibile al di fuori delle attività commerciali sarà escluso dall’ambito della regolamentazione. La legge chiarisce anche che i contributi individuali ai progetti open source non sono considerati come “attività di produzione”. La Commissione Europea è autorizzata a introdurre una legislazione secondaria per programmi di attestazione di sicurezza, assistendo gli sviluppatori e gli utenti di software open source nella valutazione della conformità alle leggi dell’UE.

Riguardo al periodo di supporto, i produttori sono obbligati a gestire le vulnerabilità, in particolare rilasciando prontamente patch di sicurezza. Inizialmente, il periodo di supporto era fissato alla durata prevista del prodotto o a cinque anni, a seconda di quale fosse più breve. Tuttavia, recenti compromessi suggeriscono un periodo di supporto minimo di cinque anni a meno che l’uso previsto del prodotto non sia più breve. Questo periodo è determinato da vari fattori, tra cui le aspettative degli utenti e i confronti di mercato. Gli aggiornamenti di sicurezza dovrebbero essere disponibili per un minimo di dieci anni, e la documentazione tecnica dovrebbe essere accessibile per dieci anni o il periodo di supporto del prodotto, a seconda di quale sia più lungo.

Source: EURACTIV

Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.

Leave a Reply

Your email address will not be published. Required fields are marked *