AssociatiIl 15 settembre 2022, la Commissione europea ha pubblicato la proposta per l'Atto sulla resilienza cibernetica (CRA), una regolamentazione nell'ambito del quadro normativo europeo sulla sicurezza informatica. Lo scopo del CRA è stabilire i requisiti per la messa in commercio dei prodotti con elementi digitali sul Mercato unico europeo. Inoltre, il regolamento rende i produttori responsabili della sicurezza informatica dei loro prodotti e mira a aumentare la consapevolezza delle problematiche di sicurezza informatica e delle migliori pratiche per gli utenti finali.
La regolamentazione adotta un approccio di sicurezza integrata nel design, in cui i produttori sono obbligati a garantire la sicurezza dei loro prodotti durante l'intero ciclo di vita (dalla pianificazione alla manutenzione), mettendo a disposizione aggiornamenti per almeno cinque anni e segnalando le vulnerabilità sfruttate all'Agenzia dell'Unione europea per la cibersicurezza (ENISA).
La proposta del CRA, insieme ad altre importanti normative europee sulla sicurezza informatica (come la Direttiva NIS2[1], l'Atto sulla sicurezza informatica[2] e l'Atto sulla resilienza operativa digitale[3]), va nella direzione di creare una sfera digitale più sicura per tutti i prodotti e i servizi nel Mercato unico europeo.
Il regolamento offre una distinzione tra diversi tipi di prodotti, in base al loro profilo di rischio: secondo la Commissione europea, il 90% dei prodotti richiederà una valutazione da parte del produttore stesso. I prodotti critici (come software di gestione delle password, firewall, ecc.) saranno definiti Classe I e richiederanno l'applicazione di una norma armonizzata o una valutazione da parte di un terzo. I prodotti altamente critici (come sistemi operativi e firewall industriali) saranno considerati Classe II e dovranno necessariamente passare attraverso una valutazione da parte di un terzo.
DIGITAL SME, di cui Assintel è partner, accoglie con favore la proposta di legge di Cyber Resilience Act (CRA) da parte della Commissione Europea, poiché rappresenta un passo necessario per rafforzare la sicurezza dei dispositivi e dei servizi connessi nel Mercato Unico Europeo e ha raccolto le proprie osservazioni nel Position Paper | Cyber Resilience Act.