Il 10 dicembre è entrato ufficialmente in vigore il Cyber Resiliene Act. Si tratta delle legge che impone ai produttori specifici obblighi per garantire la sicurezza dei dispositivi con elementi digitali. Uno di essi riguarda la segnalazione delle vulnerabilità al CSIRT (Computer Security Incident Response Team) e all’ENISA (European Union Agency for Cybersecurity) entro precise scadenze.
Applicazione dall’11 dicembre 2027
Il Cyber Resilence Act era stato proposto dalla Commissione europea il 15 settembre 2022. La legge è stata approvate dal Parlamento europeo il 13 marzo 2024 e dal Consiglio il 10 ottobre 2024. È stata pubblicata sulla Gazzetta Ufficiale il 20 novembre 2024, quindi è entrata in vigore il 10 dicembre 2024 (20 giorni dopo).
Si applica a numerosi dispositivi connessi ad Internet e ai software, tra cui router, modem, prodotti per smart home (elettrodomestici, serrature, videocamere di sicurezza, baby monitor e altri), smart toys, smartwatch e altri indossabili, sistemi operativi, firewall, VPN, browser, antivirus e password manager.
Gli obblighi dovranno essere rispettati durante l’intero ciclo di vita (progettazione, sviluppo, produzione, commercializzazione e manutenzione). La vendita dei prodotti è possibile solo se rispettano requisiti minimi di sicurezza. In tal caso verrà applicato la marcatura CE.
Il produttore deve offrire una modalità automatica di aggiornamento. Le patch di sicurezza devono essere distribuite per almeno cinque anni. Una notifica di pre-allarme per vulnerabilità attivamente sfruttate deve essere inviata a CSIRT ed ENISA entro 24 ore dalla scoperta, mentre le informazioni più dettagliate entro 72 ore. Dovrà essere utilizzata una piattaforma unica di segnalazione.
La legge verrà applicata a partire dall’11 dicembre 2027. Le sanzioni per il mancato rispetto dei requisiti minimi di sicurezza e gli obblighi di segnalazione possono arrivare a 15 milioni di euro o al 2,5% del fatturato mondiale annuale.
Ti potrebbe interessare
12 dic 2024