RuoloArt. 3(14)

Gestore open source

Un gestore di software open source è qualsiasi persona giuridica che fornisce supporto sistematico allo sviluppo di un prodotto software libero e open source il cui utilizzo previsto ci si può ragionevolmente aspettare che sia commerciale.

Fatti chiave

Nuova categoria introdotta dal CRA per affrontare l'OSS senza penalizzare i singoli sviluppatori
Obblighi più leggeri rispetto ai produttori (nessuna marcatura CE, nessun DoC)
Deve stabilire una politica di cybersicurezza e cooperare con le autorità
Il criterio dell'attività commerciale determina se un progetto OSS rientra nel campo di applicazione
Lo status di gestore non si applica agli utenti downstream che impacchettano/distribuiscono il software

Scadenze principali

11 dicembre 2024 — Il CRA entra in vigore

Il regolamento è giuridicamente in vigore. I prodotti immessi sul mercato a partire da questa data devono essere conformi al CRA una volta raggiunte le date di applicazione.

11 settembre 2026 — Si applicano gli obblighi di segnalazione delle vulnerabilità

La segnalazione di vulnerabilità e incidenti all'ENISA ai sensi dell'art. 14 diventa obbligatoria. Questa è la prima scadenza definitiva. I produttori devono avere i propri processi di segnalazione operativi prima di questa data.

11 giugno 2027 — Notifica degli organismi di valutazione della conformità

Gli Stati membri devono notificare alla Commissione gli organismi di valutazione della conformità.

11 dicembre 2027 — Si applica il regolamento completo

Tutti i requisiti del CRA si applicano a tutti i prodotti nel suo ambito. Nessun nuovo prodotto non conforme può essere immesso sul mercato dell'UE.

Obblighi (5)

OBL-ART23-01Binding

Conservare registri di tracciabilità della catena di approvvigionamento e fornirli su richiesta

Tutti gli operatori economici devono essere in grado, su richiesta delle autorità di vigilanza del mercato, di identificare (a) qualsiasi operatore economico che abbia fornito loro un prodotto e (b) qualsiasi operatore economico al quale abbiano fornito un prodotto. I registri devono essere conservati per 10 anni a decorrere da ciascuna transazione.

Art. 23(1)Art. 23(2)

ManufacturerImporterDistributorOpen-source steward

OBL-ART24-01Binding

Istituire e documentare una politica di cybersicurezza per il software open-source

I gestori di software open-source devono predisporre e documentare una politica di cybersicurezza che promuova lo sviluppo di un prodotto sicuro e consenta una gestione efficace delle vulnerabilità nei componenti software open-source che supportano.

Art. 24(1)

Open-source steward

OBL-ART24-02Binding

Notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi

I gestori di software open-source devono notificare senza indebito ritardo al pertinente CSIRT (computer security incident response team) designato come coordinatore qualsiasi vulnerabilità attivamente sfruttata contenuta nei loro componenti software open-source, nonché qualsiasi incidente grave che interessa la sicurezza di tali componenti.

Art. 24(2)

Open-source steward

OBL-ART24-03Binding

Cooperare con le autorità di vigilanza del mercato

I gestori di software open-source devono cooperare con le autorità di vigilanza del mercato su richiesta e fornire tutte le informazioni necessarie per l'espletamento dei loro compiti normativi.

Art. 24(3)

Open-source steward

OBL-ART24-04Binding

Redigere la documentazione tecnica su richiesta

Su richiesta delle autorità di vigilanza del mercato, i gestori di software open-source devono redigere e mantenere aggiornata la documentazione tecnica per i componenti software open-source che amministrano, sufficiente a consentire la valutazione della conformità in materia di cybersicurezza.

Art. 24(4)

Open-source steward

Pronto ad approfondire?

Esplora la libreria completa degli obblighi, comprendi il tuo ruolo o visualizza il calendario.

Libreria degli obblighi Visualizza calendario