Quanto più si avvicina l’entrata in vigore del Cyber Resilience Act (CRA-E), tanto più si pongono domande ai produttori e ai distributori di dispositivi intelligenti.
In futuro, le aziende saranno responsabili della gestione dei rischi per la sicurezza: la legislazione europea prevede multe drastiche, che possono essere dovute anche se non vengono rispettate le scadenze. La conferenza CYBICS si svolgerà per l'ottava volta il 28 novembre 2023 - per la seconda volta quest'anno sarà dedicata esclusivamente al tema della cyber resilienza e CRA-E. All'insegna del motto "Compliance, sicurezza e migliori pratiche: il Cyber Resilience Act", la conferenza sarà guidata dalla isits AG International School of IT Security insieme a partner come l'esperto di sicurezza informatica IoT/OT Onekey, rappresentanti dell'Unione europea Commissione, esperti dell'organismo di certificazione Bureau Veritas e CERT@VDE organizzati a Francoforte sul Meno.
Requisiti elevati, implementazione rapida
Per la prima volta, il Cyber Resilience Act trasferisce la responsabilità per il funzionamento sicuro dei dispositivi con elementi digitali - dagli articoli prodotti in serie come gli smartwatch ai router, dai sistemi di controllo degli accessi alle stampanti e ai sistemi di controllo industriale - dagli utenti ai produttori. «Anche in futuro gli operatori di rete saranno responsabili della loro sicurezza. Tuttavia, in futuro i produttori e i distributori di dispositivi dovranno soddisfare requisiti notevolmente più elevati durante lo sviluppo e la commercializzazione. Ciò non influisce solo sulla sicurezza IT stessa, ma anche sui processi e sugli obblighi di reporting. Attualmente c’è molta incertezza tra le aziende perché, oltre alla legislazione europea, manca ancora il coordinamento con le autorità locali. Ma ciò non deve in nessun caso portare a ritardi, perché il CRA-E entrerà in vigore immediatamente in tutti i paesi dell’UE dopo la sua adozione definitiva”, afferma Jan Wendenburg, CEO di Onekey, co-organizzatore di CYBICS. L'azienda è il fornitore leader in Europa di prodotti automatizzati per la sicurezza informatica e la conformità e gestisce una piattaforma di analisi e gestione (PCCP) altamente automatizzata, che fornisce ai produttori di dispositivi e sistemi intelligenti il supporto essenziale per soddisfare i prossimi requisiti della legge sulla resilienza informatica della Commissione europea. ed è già in grado di analizzare in dettaglio i singoli componenti software di un dispositivo e di valutarne i rischi.
Discussioni tra i produttori
Questo enorme cambiamento di paradigma nei requisiti legali è accompagnato da una crescente incertezza. Il CRA-E offre potenziale di conflitto in molti settori, soprattutto quando si tratta di software open source, che viene utilizzato anche nei dispositivi e nel loro firmware. “Negli ultimi dieci anni quasi nessun altro argomento ha generato tanta risonanza e discussione tra i produttori quanto la nuova legislazione UE relativa al Cyber Resilience Act. In qualità di organizzatori, stiamo rispondendo a questa esigenza con una seconda conferenza CYBICS entro la fine dell'anno, per poter offrire ai produttori linee guida concrete e un aiuto già orientato all'uso pratico nelle aziende", afferma Birgitte Baardseth dell'isits AG International School of Sicurezza informatica.
Altro su Onekey.com
A proposito di ONEKEY ONEKEY (precedentemente IoT Inspector) è la principale piattaforma europea per le analisi automatiche di sicurezza e conformità per i dispositivi nell'industria (IIoT), nella produzione (OT) e nell'Internet of Things (IoT). Utilizzando "Digital Twins" e "Software Bill of Materials (SBOM)" creati automaticamente dei dispositivi, ONEKEY analizza in modo indipendente il firmware alla ricerca di lacune di sicurezza critiche e violazioni della conformità, senza alcun codice sorgente, dispositivo o accesso alla rete.
Articoli relativi all'argomento