La Commissione europea ha accolto con favore l’accordo politico raggiunto il 30 novembre tra il Parlamento europeo e il Consiglio europeo sul Cyber Resilience Act (CRA), proposto dalla Commissione nel settembre 2022. Prima legislazione di questo tipo al mondo, il Cyber Resilience Act punta a migliorare il livello di sicurezza informatica dei prodotti digitali a vantaggio dei consumatori e delle imprese in tutta l’UE, in quanto introduce requisiti obbligatori di sicurezza informatica proporzionati per tutti gli hardware e i software, dai baby monitor, agli smartwatch e ai videogiochi fino ai firewall e ai router.

Con questo nuovo regolamento, tutti i prodotti immessi sul mercato dell’UE dovranno quindi essere sicuri dal punto di vista informatico. Si tratta di un passo fondamentale nella lotta contro la crescente minaccia dei criminali informatici e di altri soggetti malintenzionati.

Una volta che il Cyber Resilience Act sarà in vigore, i produttori di hardware e software dovranno implementare misure di cybersicurezza lungo l’intero ciclo di vita del prodotto, dalla progettazione e lo sviluppo fino all’immissione sul mercato. I prodotti software e hardware recheranno il marchio CE per indicare che sono conformi ai requisiti del regolamento e potranno quindi essere venduti nell’UE.

La legge introdurrà anche l’obbligo legale per i produttori di fornire ai consumatori aggiornamenti di sicurezza tempestivi per diversi anni dopo l’acquisto. Questo periodo deve riflettere il tempo di utilizzo dei prodotti. Grazie a queste misure, la nuova legge consentirà agli utenti di fare scelte più informate e sicure, poiché i produttori dovranno diventare più trasparenti e responsabili sulla sicurezza dei loro prodotti.

Cyber Resilience Act

L’accordo raggiunto è ora soggetto all’approvazione formale del Parlamento europeo e del Consiglio. Una volta adottato, il Cyber Resilience Act entrerà in vigore il 20° giorno successivo alla sua pubblicazione sulla Gazzetta Ufficiale. Dopo l’entrata in vigore, i produttori, gli importatori e i distributori di prodotti hardware e software avranno 36 mesi di tempo per adeguarsi ai nuovi requisiti, ad eccezione di un periodo di grazia più limitato di 21 mesi in relazione all’obbligo di segnalazione di incidenti e vulnerabilità da parte dei produttori.

Il Cyber Resilience Act non ha però incontrato il favore di tutti. Come abbiamo riportato alcune settimane fa, l’applicazione di questi standard di sicurezza potrebbe danneggiare le comunità e il software open source (OSS) non commerciali. L’applicazione del CRA alle comunità OSS potrebbe infatti mettere a rischio tali comunità, costituite principalmente da volontari, in quanto potrebbero essere considerate legalmente responsabili per eventuali incidenti di sicurezza legati al loro codice. Questo problema è amplificato dal fatto che queste comunità spesso non dispongono delle risorse finanziarie necessarie per adeguarsi ai rigorosi standard di sicurezza previsti dal CRA.

cra 2

La principale preoccupazione emersa, come spiega Alois Reitbauer, Chief Technology Strategist di Dynatrace, riguarda il trattamento del software open source all’interno del CRA, poiché gran parte della catena di fornitura del software è basata proprio su OSS. Attualmente, il CRA richiede alle comunità OSS di rispettare gli stessi standard di sicurezza delle aziende commerciali, il che potrebbe mettere a rischio la loro sopravvivenza.

La soluzione proposta da Reitbauer è che il CRA dovrebbe spostare la responsabilità della sicurezza sulle entità commerciali che utilizzano il codice OSS nei propri prodotti e servizi. Queste organizzazioni dovrebbero essere tenute a garantire la sicurezza dei componenti OSS utilizzati, soprattutto attraverso tre capacità chiave: analisi delle vulnerabilità, rafforzamento delle applicazioni e automazione della sicurezza.

“Se questi standard venissero inclusi nel CRA, l’atto potrebbe in definitiva diventare un vantaggio significativo per lo sviluppo dell’Open Source. Anziché scoraggiare la partecipazione all’OSS, l’applicazione del CRA all’uso responsabile dell’OSS potrebbe spingere le organizzazioni a investire nella mappatura, nel riconoscimento e nella protezione dei componenti OSS che utilizzano nei loro prodotti”, ha dichiarato Reitbauer nel suo intervento a inizio ottobre.