impatti e obblighi per le aziende

Cos’è il Cyber Resilience Act e gli obiettivi

Il Cyber Resilience Act (CRA) è un nuovo framework legislativo che mira a tutelare i consumatori e le aziende che acquistano o utilizzano prodotti o software con una componente digitale. Entrato in vigore il 10 dicembre 2024, diventerà pienamente applicabile 36 mesi dopo, l’11 dicembre 2027.

La normativa impone requisiti di cybersecurity molto severi per i prodotti resi disponibili sul territorio dell’Unione Europea, richiedendo ai produttori, agli importatori e ai distributori di garantire una resilienza informatica completa per tutto il ciclo di vita del prodotto.

Si tratta di un passo avanti importante nella protezione dell’ecosistema digitale. Introducendo rigorose misure di cybersecurity, il CRA garantisce che i prodotti che entrano nel mercato dell’UE siano più sicuri e resilienti, riducendo di conseguenza le vulnerabilità e i rischi per le aziende e i loro clienti. Queste regole introducono nuove responsabilità e obblighi di diligenza nei confronti delle aziende europee (o che operano in Europa) che integrando elementi open source nei loro prodotti.

L’impatto del Cyber Resilience Act sulle aziende

Le aziende dovranno assicurarsi che i prodotti in questione distribuiti nei 27 stati dell’Unione soddisfino i requisiti imposti dal CRA e gli standard successivi. Essere certi di rispettare queste indicazioni richiede la definizione processi di approvvigionamento più rigorosi e la verifica di parametri di sicurezza per hardware, software e servizi cloud di supporto. Per le organizzazioni che fanno affidamento su tecnologie open source nei prodotti che vendono sul mercato europeo, il CRA comporta nuovi obblighi di verifica della sicurezza dei componenti, che spesso richiedono partnership strette con fornitori in grado di fornire un migliore supporto oltre a chiare garanzie di conformità.

Obblighi del CRA per le aziende

In particolare, il CRA imporrà alle aziende di comprendere come mantenere costantemente la sicurezza di tutta la tecnologia che vendono e distribuiscono, evidenziando l’importanza degli aggiornamenti software, soprattutto per i dispositivi “edge”, che faranno sempre più spesso uso di implementazioni automatizzate per soddisfare i nuovi requisiti.

Insieme alle tensioni geopolitiche, il CRA spingerà le aziende verso un maggiore utilizzo del cloud ibrido e un ritorno dei carichi di lavoro al data center a garanzia di livelli superiori di resilienza e controllo. Questo richiederà un approccio “automation-first” per gestire infrastrutture più efficienti e simili al cloud.

Red Hat ha ben chiaro questo cambiamento e si impegna con regolarità a sostenere l’open source come forza trainante per consentire un’innovazione resiliente. Il nostro ruolo non si limita alla conformità: si tratta anche di un impegno costante nel rapporto con i responsabili politici dell’UE e di una partecipazione attiva alle organizzazioni europee di standardizzazione per riflettere le best practice dell’open source, continuando a tutelare le comunità open source a monte dall’ambito di applicazione di questa legislazione.

Il supporto delle comunità open source

Oggi, l‘open source alimenta il 97% dell’infrastruttura IT, con molti progetti sviluppati da comunità distribuite e guidate da volontari. Si tratta di realtà che potrebbero non avere le risorse per soddisfare gli obblighi CRA applicabili o per mantenere i processi necessari a supportare la conformità a valle, portando alla frammentazione di queste comunità e persino all’abbandono di progetti open source vitali.

La collaborazione è fondamentale per rafforzare gli ecosistemi open source, prendendo parte alle comunità upstream, supportando i progetti che sviluppano strumenti e pratiche che affrontano i diversi elementi chiave indicati dal CRA e scegliendo il software sviluppato per le esigenze delle aziende e costruito su basi open source sicure e conformi.

Piattaforme robuste e conformi al CRA con l’open source

Idealmente, le organizzazioni devono poter contare su piattaforme robuste e conformi al CRA senza sacrificare la flessibilità o l’innovazione e, in un panorama normativo sempre più incentrato sulla cybersecurity, Red Hat è un esempio di come, mettendo in contatto l’ecosistema open source e la sicurezza enterprise, le aziende possono primeggiare in un mondo in cui la resilienza informatica non è più una semplice opzione, ma è un elemento imprescindibile. Le aziende devono far evolvere la loro infrastruttura adottando un’automazione che elimini i silos realizzati con strumenti diversi per passare a un approccio unificato, che sfrutti gli investimenti esistenti ma risponda rapidamente agli eventi end-to-end e possa essere scalato. Una strategia a livello di intera organizzazione consente di condividere best practice e apprendimenti, nonché diffondere linee guida e schemi standard, evitando duplicazioni.

L’automazione zero-day, la pianificazione verso il cloud ibrido, l’automazione guidata dagli eventi, l’intelligenza artificiale a supporto dell’automazione industriale e una maggiore attenzione alla governance saranno cruciali per bilanciare costi, sicurezza e sostenibilità, consentendo alle aziende di innovare più velocemente e di rispondere efficacemente alle nuove normative. In questo contesto, la possibilità di definire la distribuzione dell’infrastruttura e di riconfermarne costantemente l’utilizzo, con l’opzione di prevenire un consumo eccessivo o di ridurlo in base a criteri incorporati nei progetti, offrirà un vantaggio significativo rispetto a coloro che gestiscono manualmente questo aspetto.