Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Cyber Resilience Act: è iniziata l’era della Sicurezza del software

Sandro Sana : 9 Settembre 2024 16:19

Il Cyber Resilience Act (CRA) rappresenta un passo fondamentale nell’evoluzione della normativa europea sulla sicurezza informatica, nato dall’esigenza di garantire che i prodotti con elementi digitali, come software e hardware, siano progettati e sviluppati con elevati standard di sicurezza. Approvato dalla Commissione Europea ed entrato in vigore in Aprile 2024, il Cyber Resilience Act si propone di prevenire e mitigare i rischi legati agli attacchi informatici, proteggendo non solo le aziende, ma anche i consumatori finali.

Cos’è il Cyber Resilience Act?

Il Cyber Resilience Act è un regolamento che mira a rafforzare la sicurezza informatica nell’Unione Europea, imponendo requisiti chiari per i produttori di software e hardware digitali. L’obiettivo è creare un ecosistema digitale sicuro, in cui i prodotti siano progettati con la sicurezza come priorità fin dalle prime fasi di sviluppo. Il CRA impone alle aziende di considerare la sicurezza non solo al momento della produzione e vendita del prodotto, ma per tutto il suo ciclo di vita. Questo significa che i produttori sono obbligati a garantire aggiornamenti di sicurezza continui, oltre che a rispondere tempestivamente a eventuali vulnerabilità.

Tempistiche di Entrata in Vigore e Adeguamento

Il Cyber Resilience Act è entrato in vigore ufficialmente in aprile 2024. Le aziende avranno un periodo di transizione per conformarsi alle nuove normative, con la piena applicabilità del regolamento prevista entro il 2026. Alcuni obblighi specifici, come la gestione delle vulnerabilità e la segnalazione di incidenti informatici, diventeranno effettivi già nel corso del 2025​.

Requisiti Principali per le Aziende Produttrici di Software


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Le aziende produttrici di software devono adottare una serie di misure preventive e correttive per essere conformi al Cyber Resilience Act. Queste misure includono:

  1. Progettazione sicura e prevenzione delle vulnerabilità:
    • Le aziende devono garantire che i loro prodotti siano progettati e sviluppati con un approccio “sicurezza by design” e “sicurezza per default”, riducendo le superfici di attacco e minimizzando i rischi di vulnerabilità sfruttabili.
    • È obbligatorio adottare tecniche di mitigazione delle vulnerabilità e fornire aggiornamenti di sicurezza tempestivi ai prodotti
  2. Gestione delle vulnerabilità:
    • Le aziende devono creare un processo per l’identificazione, documentazione e risoluzione delle vulnerabilità. Devono inoltre mantenere un elenco completo dei componenti software utilizzati nei loro prodotti, inclusi quelli di terze parti, in un formato leggibile​.
    • Le aziende sono obbligate a implementare una politica di divulgazione coordinata delle vulnerabilità e a fornire un contatto per la segnalazione di falle di sicurezza da parte di utenti e terze parti.
  3. Aggiornamenti di sicurezza:
    • I produttori devono garantire che i prodotti ricevano aggiornamenti di sicurezza gratuiti e tempestivi per almeno cinque anni o per tutta la durata prevista di utilizzo del prodotto. Le patch devono essere fornite con la massima celerità una volta scoperte le vulnerabilità.
  4. Segnalazione degli incidenti:
    • Le aziende sono tenute a segnalare incidenti di sicurezza rilevanti o vulnerabilità sfruttate entro 24 ore alle autorità competenti e fornire un rapporto dettagliato entro 72 ore​.
  5. Conformità e marcatura CE:
    • Prima di immettere un prodotto sul mercato, le aziende devono completare una valutazione della conformità che certifichi il rispetto dei requisiti di sicurezza del Cyber Resilience Act. Una volta completata la valutazione, devono redigere una dichiarazione di conformità e applicare il marchio CE sul prodotto.

L’impatto sulle aziende produttrici di software

Per le aziende produttrici di software, l’introduzione del Cyber Resilience Act comporta l’adozione di un approccio di Security by Design. Ciò significa che la sicurezza informatica deve essere integrata sin dalle prime fasi del ciclo di vita del software, dalla progettazione allo sviluppo, fino alla distribuzione e al mantenimento. Uno degli obblighi più rilevanti è quello di condurre test continui sui prodotti, come SAST (Static Application Security Testing) e DAST (Dynamic Application Security Testing). I test SAST permettono di identificare vulnerabilità nel codice sorgente durante lo sviluppo, mentre i test DAST simulano attacchi durante l’esecuzione del software per rilevare debolezze che potrebbero essere sfruttate da attori malevoli.

Inoltre, il Cyber Resilience Act richiede che i produttori di software implementino processi per la gestione delle vulnerabilità, inclusa la redazione di un elenco dei componenti software utilizzati (Software Bill of Materials – SBOM), garantendo la trasparenza sulla sicurezza del prodotto. L’obbligo di mantenere aggiornamenti di sicurezza costanti per almeno cinque anni rappresenta un’altra sfida significativa per le aziende.

Obblighi di segnalazione e gestione delle vulnerabilità

Un aspetto cruciale della nuova normativa è la gestione delle vulnerabilità. Le aziende devono essere in grado di segnalare entro 24 ore eventuali incidenti o vulnerabilità sfruttate da attori malevoli. Le segnalazioni devono essere inviate all’ENISA (Agenzia dell’Unione Europea per la Sicurezza Informatica) e ai Computer Security Incident Response Teams (CSIRT) nazionali, e le aziende devono fornire aggiornamenti dettagliati entro 72 ore. Questo obbligo di trasparenza e reattività è centrale per prevenire danni su larga scala e mantenere la fiducia dei consumatori.

Sanzioni per il mancato adeguamento

Le aziende che non rispetteranno il Cyber Resilience Act saranno soggette a sanzioni molto severe. Le multe possono arrivare fino a 15 milioni di euro o il 2,5% del fatturato globale annuale, a seconda di quale cifra sia maggiore. Le violazioni meno gravi, come il mancato rispetto della documentazione tecnica o delle regole di conformità, possono comunque comportare sanzioni fino a 10 milioni di euro o il 2% del fatturato globale.

Oltre alle multe, le aziende rischiano il ritiro del marchio CE, essenziale per la vendita dei prodotti nell’Unione Europea. Senza il marchio CE, i prodotti digitali non potranno essere commercializzati sul mercato europeo, mettendo in seria difficoltà le aziende che non riescono a conformarsi​.

Opportunità e sfide

Sebbene il Cyber Resilience Act rappresenti una sfida significativa per le aziende, soprattutto in termini di adeguamento tecnologico e organizzativo, esso offre anche delle opportunità. Le aziende che adotteranno un approccio proattivo alla sicurezza informatica non solo eviteranno le sanzioni, ma potranno guadagnare la fiducia dei consumatori, aumentando la loro competitività. In un’epoca in cui le minacce informatiche sono in costante crescita, la conformità al Cyber Resilience Act può diventare un vantaggio competitivo per le aziende che sapranno sfruttare questa normativa a loro favore.

Conclusione

Il Cyber Resilience Act è destinato a trasformare il panorama della sicurezza informatica in Europa. Le aziende produttrici di software, e in particolare quelle che operano nel settore dell’automazione industriale, devono prepararsi ad affrontare sfide complesse ma necessarie per garantire la sicurezza dei loro prodotti. Con l’introduzione di nuove misure di sicurezza, obblighi di segnalazione e sanzioni per il mancato rispetto, il CRA diventa un regolamento imprescindibile per tutte le aziende che operano nel mercato europeo. Tuttavia, chi saprà adeguarsi potrà trarre beneficio da una maggiore fiducia dei consumatori e da nuove opportunità di crescita in un mercato sempre più digitalizzato e sicuro.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Mi Ami, Non mi Ami? A scusa, sei un Chatbot!

Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...

Sicurezza Reti Wi-Fi: La Sfida e le Soluzioni Adattive per l’Era Digitale

La Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...

Un milione di Lead Italiani del 2025 in vendita nelle underground. Per un Phishing senza domani!

Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...

Cyber War: la guerra invisibile nel cyberspazio che decide i conflitti del presente

Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006