Il Consiglio dell’Unione europea ha approvato in via definitiva il Cyber Resilience Act, ovvero il regolamento che stabilisce una serie di requisiti per la sicurezza dei dispositivi connessi ad Internet. Le nuove norme erano state proposte dalla Commissione europea il 15 settembre 2022 e approvate dal Parlamento europeo il 13 marzo 2024.
Applicazione non prima del 2027
Il Cyber Resilience Act ai applicherà a tutti i prodotti connessi direttamente o indirettamente ad un altro dispositivo o ad una rete. In pratica ai cosiddetti dispositivi IoT (internet of Things), inclusi frigoriferi, televisori e giocattoli. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cybersicurezza, come i dispositivi medici, i prodotti aeronautici e le automobili.
I prodotti devono essere sicuri prima dell’immissione sul mercato e per l’intero ciclo di vita (progettazione, sviluppo, produzione e messa a disposizione). La marcatura CE, già utilizzata per indicare la conformità ai requisiti in materia di sicurezza, salute e protezione dell’ambiente, indicherà anche la conformità dei prodotti al nuovo regolamento.
Uno dei obblighi è quello che prevede la funzionalità di installazione automatica degli aggiornamenti di sicurezza (rilasciati per almeno cinque anni). Molte critiche erano state sollevate invece sull’obbligo di segnalare le vulnerabilità attivamente sfruttate (exploit) entro 24 ore dalla scoperta da parte del produttore.
Questa parte è stata cambiata nel testo definitivo. Nell’art. 14 del regolamento (PDF) è ora scritto che entro 24 ore deve essere inviata solo una notifica di pre-allarme (tramite una piattaforma di segnalazione) a CSIRT (Computer Security Incident Response Team) e ENISA (European Union Agency for Cybersecurity). Le informazioni generali sulla vulnerabilità devono essere fornite entro 72 ore.
Il regolamento verrà pubblicato sulla Gazzetta ufficiale dell’Unione europea nelle prossime settimane. Entrerà in vigore 20 giorni dopo la pubblicazione e si applicherà a partire dai 36 mesi successivi, quindi non prima del 2027.
Fonte: Luca Colantuoni per Punto-informatico.it