Il 10 dicembre 2024 è ufficialmente entrato in vigore il Cyber Resilience Act, una legge che impone ai produttori di dispositivi con elementi digitali specifici obblighi per garantire la loro sicurezza. Tra le prescrizioni principali, vi è l’obbligo di segnalare le vulnerabilità al CSIRT (Computer Security Incident Response Team) e all’ENISA (European Union Agency for Cybersecurity) entro tempistiche ben definite.
Applicazione effettiva dal 2027
Proposto dalla Commissione Europea il 15 settembre 2022, il Cyber Resilience Act è stato approvato dal Parlamento Europeo il 13 marzo 2024 e dal Consiglio dell’UE il 10 ottobre 2024. Pubblicato sulla Gazzetta Ufficiale il 20 novembre 2024, è entrato in vigore il 10 dicembre 2024 e sarà applicato dal 11 dicembre 2027.
Ambiti di applicazione
La legge si rivolge a un’ampia gamma di dispositivi connessi a Internet e software, tra cui:
- Router e modem;
- Prodotti per la smart home, come elettrodomestici, serrature, videocamere di sicurezza e baby monitor;
- Smartwatch, smart toys e altri dispositivi indossabili;
- Software come sistemi operativi, firewall, VPN, browser, antivirus e password manager.
Requisiti obbligatori
I produttori devono garantire la sicurezza durante l’intero ciclo di vita del prodotto: progettazione, sviluppo, produzione, commercializzazione e manutenzione. I prodotti potranno essere immessi sul mercato solo se conformi ai requisiti minimi di sicurezza, certificati dalla marcatura CE.
Obblighi principali per i produttori
- Aggiornamenti automatici: deve essere fornita una modalità che consenta il rilascio delle patch di sicurezza per almeno cinque anni.
- Segnalazione delle vulnerabilità: le vulnerabilità attivamente sfruttate devono essere comunicate al CSIRT e all’ENISA entro 24 ore dalla scoperta, con ulteriori dettagli forniti entro 72 ore. È obbligatorio utilizzare una piattaforma unica per la segnalazione.
Sanzioni per mancata conformità
Il mancato rispetto dei requisiti minimi di sicurezza e degli obblighi di segnalazione può comportare sanzioni fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuale.
Il Cyber Resilience Act rappresenta un passo fondamentale verso una maggiore sicurezza digitale in Europa, fissando standard rigorosi per proteggere utenti e infrastrutture da minacce informatiche in costante evoluzione.
