Notice

  • Direttiva EU e-Privacy

    Questo portale utilizza i cookie per offrirti le migliori risorse tecnologiche disponibili. Continuando a visitarci senza modificare le tue impostazioni accetti implicitamente di ricevere tutti i cookies. Diversamente, puoi modificare le tue preferenze agendo direttamente sulle impostazioni del software di navigazione impiegato.

    Documentazione Direttiva e-Privacy

PostHeaderIcon Understanding the EU Cyber Resilience Act (CRA) and its Impact on Amateur Radio

E’ in distribuzione in questi giorni da parte della IARU-R1 un utile documento afferente al settore legale e di interesse generale, chiaramente con riferimento primario al nostro mondo radioamatoriale: cliccare qui per scaricare l'originale in PDF

Si tratta di un documento guida intitolato “The European Union Cyber Resilience Act (Regulation EU 2024/2847)” ed è emesso dal Comitato IARU-R1 Political Relations, guidato da Nestor Jacovides 5B4AHZ.

Il documento è riportato integralmente qui di seguito nell’originale in lingua inglese. 

Cosa è

Si tratta di un documento guida con il quale si danno commenti all’impatto in ambito radioamatoriale della Direttiva Europea 2024/2847, nota come Cyber Resilience Act (CRA) è stata votata nel marzo 2024 dal Parlamento Europeo, ed adottato dal Consiglio Eu in ottobre 2024 e avrà un periodo di transizione di tre anni una volta promulgato ufficialmente sulla Gazzetta Ufficiale dell'UE.

Questa Direttiva stabilisce requisiti di sicurezza obbligatori per tutto il ciclo di vita dei prodotti hardware e software (PDE- Products with Digital Elements), per rendere più sicuri i dispositivi connessi in distribuzione all’interno della EU. Una volta entrato in vigore, gli sviluppatori, i fabbricanti, gli importatori e i distributori di prodotti hardware e software nel mercato dell'UE avranno 36 mesi di tempo per adeguarsi e conformarsi ai suoi requisiti, pena pesanti sanzioni pecuniarie.

Il documento della IARU, come chiaramente individuato nella sua introduzione, non vuole ovviamente costituire e sostituire pareri ed indicazioni legali, cui si rimanda ovviamente ad Enti e Professionisti del settore, ma ha lo scopo di dare una prima sommaria descrizione dell’argomento al mondo radioamatoriale e solo per scopo informativo ed educativo.

Classificazione dei prodotti.


La CRA non si applica innanzitutto a prodotti dove esistono regolamentazioni ad hoc (difesa, automotive, medicale, sicurezza elettronica come obbiettivo di prodotto, per esempio smart cards).

Gli altri prodotti sono distinti in tre categorie:

- Prodotti Essenziali: Circa il 90% dei prodotti digitali, praticamente tutti i prodotti di elettronica di consumo.

- Prodotti “importanti”:

  • Classe I: Include gestione dell’identità, browser, gestori di password, software anti-malware, VPN e sistemi di gestione delle reti.
  • Classe II: Include sistemi supervisori, firewall, sistemi di allarme/rilevamento/prevenzione delle intrusioni ed hardware di base (microprocessori) resistenti alle manomissioni.

- Prodotti Critici: prodotti la cui violazione in termini di sicurezza compromette in modo irreparabile il sistema di cui fanno parte (p.e. box di sicurezza per storage elettronico di dati, smartcards, etc..)

Applicabilità ai prodotti radioamatoriali.

Essenzialmente, la CRA non si applica a progetti e prodotti non commerciali.

Questo è il punto chiave che permette di definire come non soggetta alla CRA tutta la gamma di prodotti e servizi dedicata al mondo radioamatoriale creata e distribuita da radioamatori in ambito non-profit, in ossequio all’ham spirit.

Il documento IARU identifica quindi come generalmente esclusi dalla applicabilità prodotti caratterizzati da:

  • Attività di contribuzione volontaria, come generare source code per Software gratuito ad accesso aperto (FOSS: Free and Open Source Software)
  • Progetti di Hobbystica: costruire apparati o sistemi riutilizzando pezzi di progetti già FOSS, o creandone di nuovi, e condividerli con altri radioamatori od altre persone interessate sempre a livello non-profit.
  • Progetti Non-Monetizzati: progetti FOSS dove sia anche presente un modesto ricavo monetario finalizzato al solo recupero dei costi di sviluppo sostenuti, ma comunque senza scopo di lucro
  • Puro Hosting: semplice hosting di progetti FOSS, anche a livello complesso, ma senza scopo lucrativo

Il documento riepiloga quindi quali sono gli indicatori di massima che possono invece indicare una attività commerciale:

  • Vendere il prodotto a fronte di un corrispettivo monetario
  • Richiedere il pagamento per il supporto tecnico al prodotto
  • Avere l’intenzione del lucro, poco o tanto che sia in termini assoluti
  • Utilizzare larghe donazioni, come tipicamente da campagne di Crowdfunding che vanno oltre il semplice coprire i costi vivi di sviluppo del prodotto

Tutti coloro che cadono nella casistica della attività commerciale sono quindi soggetti agli adempimenti della CRA, che il documento riassume per semplicità con:

  • Due Diligence tecnica: il produttore/sviluppatore deve seguire metodiche di progetto che utilizzano componenti FOSS che garantiscano la non compromissione della sicurezza del prodotto
  • Rapporto delle vulnerabilità: se usando un componente FOSS si viene a conoscenza di una sua vulnerabilità di sicurezza, il produttore deve informare la persona od Ente che gestisce e rilascia il componente FOSS, correggere la vulnerabilità nel suo prodotto finale, e condividere, se del caso, la correzione della vulnerabilità con il gestore del componente FOSS
  • Gestione pubblica del supporto tecnico di un componente FOSS che viene utilizzato da sistemi commerciali, con indicazione della strategia di sicurezza applicata dal proprietario/gestore del componente FOSS: team di supporto interno dedicato, emissione di bollettini, distribuzione di patch.

Il documento IARU propone poi una utile tabella orientativa che riassume, sempre a titolo informativo, le principali possibili casistiche che possono capitare; questa tabella viene qui riportata in Italiano.

La tua attività

Status CRA

Azioni ed obbligazioni

Hobbista/Contributore individuale

ESCLUSO.

(Non commerciale)

Nessuna.

Libero sviluppo e condivisione

Gruppo Non-Profit che accetta donazioni a copertura dei costi

ESCLUSO.

(Non commerciale)

Nessuna. Verificare che le donazioni non eccedano i costi. Avere un intento non-profit.

Entità FOSS che procura support o diretto e finalizzato

INCLUSO

(Promotore di Software Open Source)

Impegno minimale.

Documentare ed implementare una policy di cybersecurity per indirizzare uno sviluppo del prodotto finalizzato alla sicurezza.

Sviluppatore che vende Radio Software o Kit a scopo di lucro.

INCLUSO (Costruttore commerciale)

Coinvolgimento totale.

Eseguire valutazione dei rischi, disporre un periodo di supporto e gestire attivamente le patch del prodotto e la risoluzione dei bug.

Azienda commerciale che integra componenti FOSS nei suoi prodotti

INCLUSO (Costruttore commerciale)

Coinvolgimento totale.

Eseguire la due diligence sul componente FOSS. In caso di bug gestire il problema col fornitore del componente e condividere la soluzione.

Appare chiaro che i destinatari di questo documento sono in particolare i radioamatori o gruppi organizzati di radioamatori (o che ne comprendono) che sono vicini/prossimi ad ambienti di sviluppo di prodotto avanzati, diciamo semi-professionisti, dotati magari di una brillante idea e di un prodotto che possono avere effettivamente successo ed ampia diffusione radioamatoriale.

Per questi va valutata con attenzione la opportunità di rimanere in ambito strettamente ham, ed i rischi connessi, se il prodotto o servizio può portare, anche in momenti successivi, ad uno scenario commerciale.

Le sanzioni economiche per le infrazioni, riportate a conclusione del documento IARU, sono notevoli.

Il testo originale e completo della CRA, in lingua italiana, può essere recuperato da: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R2847

Saverio Amore, IK2RLS
ARI IARU Liason

 

 DISCLAIMER

ARI. IT è il sito di tutti i soci ARI ma è il caso di ricordare che le opinioni espresse dai collaboratori di questo sito, incluse le inserzioni pubblicitarie, non si identificano necessariamente con il punto di vista di ARI e del suo CDN e per questo motivo la responsabiltà, la correttezza, e la veridicità di quanto scritto, sono da attribuirsi interamente agli autori dei singoli articoli

ARI - Associazione Radioamatori Italiani - Via Scarlatti, 30 - 20124 Milano - C.F. 03034860159 - Privacy policy

Copyright © ARI 2010 - 2026
All Rights Reserved.

Template created for ARI