Cyber Resilience Act: approvazione definitiva
Topic
Approfondimenti
Trending
tutti

Cyber Resilience Act: approvazione definitiva

Il Consiglio UE ha approvato in via definitiva il Cyber Resilience Act che stabilisce requisiti minimi di sicurezza per tutti i dispositivi connessi.
Cyber Resilience Act: approvazione definitiva
Business Sicurezza
Il Consiglio UE ha approvato in via definitiva il Cyber Resilience Act che stabilisce requisiti minimi di sicurezza per tutti i dispositivi connessi.
Copilot Designer

Il Consiglio dell’Unione europea ha approvato in via definitiva il Cyber Resilience Act, ovvero il regolamento che stabilisce una serie di requisiti per la sicurezza dei dispositivi connessi ad Internet. Le nuove norme erano state proposte dalla Commissione europea il 15 settembre 2022 e approvate dal Parlamento europeo il 13 marzo 2024.

Applicazione non prima del 2027

Il Cyber Resilience Act ai applicherà a tutti i prodotti connessi direttamente o indirettamente ad un altro dispositivo o ad una rete. In pratica ai cosiddetti dispositivi IoT (internet of Things), inclusi frigoriferi, televisori e giocattoli. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cybersicurezza, come i dispositivi medici, i prodotti aeronautici e le automobili.

I prodotti devono essere sicuri prima dell’immissione sul mercato e per l’intero ciclo di vita (progettazione, sviluppo, produzione e messa a disposizione). La marcatura CE, già utilizzata per indicare la conformità ai requisiti in materia di sicurezza, salute e protezione dell’ambiente, indicherà anche la conformità dei prodotti al nuovo regolamento.

Uno dei obblighi è quello che prevede la funzionalità di installazione automatica degli aggiornamenti di sicurezza (rilasciati per almeno cinque anni). Molte critiche erano state sollevate invece sull’obbligo di segnalare le vulnerabilità attivamente sfruttate (exploit) entro 24 ore dalla scoperta da parte del produttore.

Questa parte è stata cambiata nel testo definitivo. Nell’art. 14 del regolamento (PDF) è ora scritto che entro 24 ore deve essere inviata solo una notifica di pre-allarme (tramite una piattaforma di segnalazione) a CSIRT (Computer Security Incident Response Team) e ENISA (European Union Agency for Cybersecurity). Le informazioni generali sulla vulnerabilità devono essere fornite entro 72 ore.

Il regolamento verrà pubblicato sulla Gazzetta ufficiale dell’Unione europea nelle prossime settimane. Entrerà in vigore 20 giorni dopo la pubblicazione e si applicherà a partire dai 36 mesi successivi, quindi non prima del 2027.

Fonte: Consiglio dell'Unione europea

Pubblicato il 11 ott 2024

Link copiato negli appunti

Ti potrebbe interessare

Supplemento carta di credito: sanzione a Blupark

Supplemento carta di credito: sanzione a Blupark
Norton 360 Deluxe in offerta: antivirus completo al 68% di sconto

Norton 360 Deluxe in offerta: antivirus completo al 68% di sconto
DSA: Temu deve fornire informazioni sui prodotti illegali

DSA: Temu deve fornire informazioni sui prodotti illegali
Antivirus Android: le migliori app 2024 (gratis e a pagamento)

Antivirus Android: le migliori app 2024 (gratis e a pagamento)
Supplemento carta di credito: sanzione a Blupark

Supplemento carta di credito: sanzione a Blupark
Norton 360 Deluxe in offerta: antivirus completo al 68% di sconto

Norton 360 Deluxe in offerta: antivirus completo al 68% di sconto
DSA: Temu deve fornire informazioni sui prodotti illegali

DSA: Temu deve fornire informazioni sui prodotti illegali
Antivirus Android: le migliori app 2024 (gratis e a pagamento)

Antivirus Android: le migliori app 2024 (gratis e a pagamento)
Luca Colantuoni
Pubblicato il
11 ott 2024
Link copiato negli appunti