Cyber Resilience Act: tra novità e nuovi requisiti di sicurezza

Ott 14, 2022

Un’importante novità in tema di cybersecurity sta catturando l’attenzione del settore ICT: il Cyber Resilience Act. Questa proposta di legge europea garantirà maggiore sicurezza a tutti i dispositivi in grado di connettersi alla rete – pc, smartphone ma anche software e dispositivi smarthome – e un’ulteriore protezione ai dati sensibili degli utenti.

Cos’è il Cyber Resilience Act e perché ne abbiamo bisogno?

Si tratta di una proposta di legge europea pubblicata dalla Commissione UE che garantirà sia una maggiore protezione dei consumatori che un upgrade alla sicurezza informatica di tutti gli Stati Membri.

I primi beneficiari saranno infatti i consumatori che – come vedremo – avranno tra le mani prodotti molti più sicuri.

L’obiettivo primario, tuttavia, è anche quello di potenziare la sicurezza informatica dell’intera UE. La cybersecurity è infatti sotto la lente di ingrandimento delle istituzioni, a causa del (noto) continuo aumento delle tipologie di attacchi informatici e della loro frequenza.  

Questi obiettivi verranno raggiunti prevedendo dei requisiti di sicurezza che tutti i dispositivi in grado di connettersi alla rete dovranno rispettare per essere messi in commercio. Gli stessi, inoltre, dovranno ricevere aggiornamenti di sicurezza costanti e gratuiti.

I responsabili principali saranno quindi i produttori, i quali rischieranno sanzioni fino al 2,5% del fatturato se non rispetteranno gli obblighi normativi.

Come cambierà la sicurezza dei dispositivi con il Cyber Resilience Act?

Gli aspetti che verranno impattati dalla normativa saranno molti, introduciamo qui i quattro punti principali:

  1. Requisiti di sicurezza minimi: il produttore dovrà garantire che tutti i dispositivi in grado di connettersi alla rete che metterà in commercio soddisfino i requisiti di sicurezza stabiliti dall’UE. Ciò riguarda il prodotto a 360°, dalla progettazione allo sviluppo, fino all’aggiornamento;
  2. Aggiornamenti costanti: il produttore non potrà limitarsi a mettere in commercio un dispositivo a norma, dovrà anche rilasciare aggiornamenti di sicurezza per contrastare nuove vulnerabilità che lo stesso potrebbe aver manifestato. Questo varrà per i cinque anni successivi alla messa in commercio del prodotto.
  3. Cifratura dei dati personali: i dati personali dell’utente memorizzati nel dispositivo dovranno essere obbligatoriamente conservati in forma cifrata. Questa misura è particolarmente importante se si considera che le vendite illegali di dati personali rubati è in crescita.
  4. Obbligo di segnalazione: se venisse scoperta una vulnerabilità del prodotto, il produttore sarà obbligato a segnalarla all’Agenzia ENISA (Agenzia Europea per la Cybersicurezza).

Questi sono i punti principali che verranno introdotti con il Cyber Resilience Act.

Come accennato in precedenza, le maggiori responsabilità saranno in capo ai produttori, i quali avranno l’obbligo di mettere a disposizione dei consumatori dei dispositivi che rispettino specifici requisiti di sicurezza.

Si tratta dunque di una nuova sfida per gli operatori del settore, che dovranno iniziare a pensare in misura sempre maggiore all’adeguamento dei propri prodotti agli elevati standard della cybersecurity.

Vorresti approfondire l’argomento e avere altre informazioni riguardo alle best practices in tema Cybersecurity?

Visita il nostro sito oppure contattaci: i nostri esperti potranno rispondere alle tue domande e trovare la soluzione più adatta alle tue esigenze.

Notizie In primo piano

Sophos MDR: L’outsourcing per vincere ogni battaglia

Sophos MDR: L’outsourcing per vincere ogni battaglia

L’impatto della sicurezza digitale Negli ultimi anni si è assistito ad una repentina ascesa ...
CyberSecurity
Microsoft Ignite: grandi novità per le aziende

Microsoft Ignite: grandi novità per le aziende

Durante la conferenza dedicata al mondo delle imprese, Ignite 2022, Microsoft ha tradotto il ...
CyberSecurity
Cos’è il Modello Zero-Trust e perché sceglierlo

Cos’è il Modello Zero-Trust e perché sceglierlo

Le reti aziendali non sono sempre sicure. Non siamo noi ad affermarlo, ma è certezza diffusa
CyberSecurity