Legge sulla resilienza informatica prima dell’approvazione

6. Marzo 2024
| Non ci sono commenti
Legge sulla resilienza informatica prima dell’approvazione

Condividi post

Presto entrerà in vigore il Cyber ​​Resilience Act della Commissione Europea, la legge più completa che regolamenta la sicurezza informatica dei prodotti in Europa. Recentemente sono state apportate alcune modifiche che specificano la portata della legge. L'adozione formale è considerata sicura negli ambienti degli esperti.

“Dal nostro punto di vista dell’analisi della sicurezza, la specificazione del Cyber ​​​​Resilience Act è molto gradita, in particolare il livello di sicurezza ancora più esteso per gli utenti finali. Le classi dei dispositivi sono state ridefinite: l’articolo 6 ha introdotto due ulteriori classi di rischio per la cibersicurezza per i prodotti hardware e software critici, le cui funzioni principali sono elencate nell’allegato III del regolamento. Una classe di dispositivi comprende sistemi e dispositivi particolarmente critici. Tutti i dispositivi domestici intelligenti e i giocattoli interattivi sono ora esplicitamente inclusi.

Analisi automatica

Nei nostri test abbiamo riscontrato che tali dispositivi presentano spesso significative lacune di sicurezza che potrebbero essere facilmente identificate attraverso un'analisi automatica delle parti essenziali e quindi risolte più rapidamente. Potrebbe essere necessario affinare il settore dei prodotti industriali e dei router, che nella bozza precedente non era incluso nella versione attuale", afferma Jan Wendenburg, CEO di Onekey. L'azienda con sede a Düsseldorf gestisce una piattaforma di analisi Product Cybersecurity & Compliance che analizza il software contenuto in tutti i dispositivi con accesso alla rete e, oltre a un elenco esatto come elenco delle parti del software (SBOM), consente anche un'analisi dettagliata della sicurezza con valutazione del rischio delle possibili vulnerabilità. Onekey controlla e identifica automaticamente le vulnerabilità critiche della sicurezza e le violazioni della conformità nel software incorporato, in particolare nei dispositivi Internet of Things, e le monitora e gestisce durante l'intero ciclo di vita del prodotto. I produttori ora possono creare più facilmente l'autodichiarazione di conformità che sarà richiesta in futuro utilizzando il nuovo Onekey Compliance Wizard, ovvero un assistente virtuale, e, se necessario, consegnarla a certificatori esterni tramite esportazione.

Scadenze nel Cyber ​​Resilience Act

Per molti produttori, il periodo di transizione di 36 mesi concesso dall’UE è già stretto – lo sviluppo di nuovi prodotti e software richiede solitamente anni – quindi tutti i produttori devono iniziare immediatamente l’implementazione. La piattaforma di analisi automatizzata di ONEKEY rileva le vulnerabilità e le violazioni della conformità in pochi minuti, risparmiando tempi e costi di sviluppo significativi per i produttori di dispositivi connessi. I termini per segnalare le vulnerabilità di sicurezza scoperte sono abbreviati nell’ultima bozza del Cyber ​​Resilience Act: “Le nuove vulnerabilità di sicurezza devono essere segnalate entro 24 ore alle autorità nazionali di vigilanza e all’Autorità europea per la sicurezza delle reti e dell’informazione ENISA. Per le aziende che producono o commercializzano dispositivi con accesso a Internet o alla rete, una tempestiva gestione dei rischi e un’analisi approfondita dei propri prodotti diventano ancora più importanti al fine di eliminare possibili gravi lacune zero-day molto prima che il Cyber ​​​​Resilience Act entri finalmente in vigore “ identificare e chiudere", continua Jan Wendenburg di ONEKEY. Una componente essenziale è la distinta base del software - la SBOM (Software Bill of Materials) - che, secondo l'UE e autorità come l'Ufficio federale tedesco per la sicurezza informatica (BSI), svolgerà un ruolo centrale nella futura architettura di sicurezza .

SBOM con un clic del mouse

Anche la questione della responsabilità per i software open source è stata nuovamente disciplinata: nelle precedenti bozze del Cyber ​​Resilience Act l’obbligo di conformarsi veniva imposto ai creatori del software. Tuttavia, la versione attuale esenta esplicitamente dalla responsabilità le organizzazioni open source e le persone fisiche che contribuiscono a progetti open source. “Ciò significa che la responsabilità del rispetto delle normative UE spetta esclusivamente alle aziende che utilizzano il codice open source a fini commerciali o lo commercializzano come parte dei loro prodotti.

A questo scopo la BSI ha formulato le proprie linee guida SBOM. Onekey è già in grado di soddisfare i requisiti di analisi e rappresentazione trasparenti dei componenti utilizzati nell'intera catena di fornitura del software. Per fare ciò, la piattaforma Onekey Product Cybersecurity & Compliance analizza completamente il software e il firmware contenuti nei dispositivi e, oltre ad elencare tutti i componenti inclusi, effettua anche un'analisi dei rischi per le vulnerabilità. "La nostra tecnologia consente un'analisi approfondita del software dei dispositivi di tutte le classi di dispositivi definite dall'UE", spiega il CEO Wendenburg. Con il controllo di conformità integrato, i requisiti di conformità tecnico-legale attuali e futuri come IEC 62443-4-2, ETSI 303 645 o il Cyber ​​​​Resilience Act dell'UE e molti altri possono essere controllati automaticamente. In futuro, l'autodichiarazione di conformità obbligatoria verrà creata in modo molto più rapido e semplice utilizzando la nuova procedura guidata di conformità in attesa di brevetto utilizzando un assistente virtuale - e per le certificazioni esterne, tutti i dati potranno essere esportati al certificatore con un solo clic.

Maggiori informazioni su OneKey.com

 

A proposito di ONEKEY

ONEKEY (precedentemente IoT Inspector) è la principale piattaforma europea per le analisi automatiche di sicurezza e conformità per i dispositivi nell'industria (IIoT), nella produzione (OT) e nell'Internet of Things (IoT). Utilizzando "Digital Twins" e "Software Bill of Materials (SBOM)" creati automaticamente dei dispositivi, ONEKEY analizza in modo indipendente il firmware alla ricerca di lacune di sicurezza critiche e violazioni della conformità, senza alcun codice sorgente, dispositivo o accesso alla rete.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

 

Messaggi PR
, , , ,