The Eclipse Foundation, una delle maggiori fondazioni di software open-source a livello mondiale, ha annunciato il lancio del progetto OCCTET, un’iniziativa finanziata dalla Commissione Europea per aiutare le piccole e medie imprese (PMI) e gli sviluppatori open-source a raggiungere la conformità con il Cyber Resilience Act (CRA).
Il progetto OCCTET (Open Source Compliance: Comprehensive Techniques and Essential Tools) – spiega The Eclipse Foundation – raccoglie attorno a sé un consorzio di leader di settore, esperti di sicurezza cibernetica e promotori dell’open-source per costruire strumenti open-source gratuiti che rendano la conformità normativa più accessibile, trasparente ed economica.
“La conformità con il CRA è un percorso pluriennale che le organizzazioni devono mettere subito in cima alle loro priorità,” ha dichiarato Mike Milinkovich, Executive Director di Eclipse Foundation. “Anche le aziende che capiscono l’urgenza spesso non hanno al loro interno le competenze necessarie per affrontare il processo. OCCTET è pensato per rendere il percorso verso la conformità il più semplice possibile e va ad aggiungersi ai nostri sforzi più ampi per garantire che la comunità open-source abbia le risorse di cui ha bisogno per prosperare nel nuovo contesto normativo.”
Il Cyber Resilience Act introduce requisiti di cyber-sicurezza obbligatori per tutti i prodotti digitali, incluso il software, venduti nell’UE. La legge riguarda produttori, fornitori di software e manutentori, ai quali viene richiesto di adottare pratiche di sviluppo sicure e gestire le vulnerabilità in modo trasparente lungo tutte le supply chain del software. Il CRA è entrato in vigore nel dicembre 2024 e le organizzazioni devono ora rispettare tempistiche strette per adeguarsi ai nuovi requisiti.
Per molte PMI, il problema maggiore è capire da dove cominciare, sottolinea The Eclipse Foundation. Avendo risorse limitate e poche competenze interne in materia di conformità, spesso si sentono sopraffatte. Il software open-source, che secondo le stime è attualmente utilizzato ben nel 96% di tutti i software commerciali (Harvard Business School, marzo 2025), complica ulteriormente le attività di conformità, poiché tipicamente viene sviluppato e mantenuto da comunità distribuite invece che essere controllato da un unico fornitore.
OCCTET risponde a queste problematiche fornendo soluzioni aperte e collaborative che riducono la complessità e il costo della conformità CRA, consentendo alle PMI di concentrarsi sull’innovazione senza sacrificare la sicurezza.
Il toolkit di OCCTET fornirà una suite completa di risorse specificamente pensate per le esigenze delle PMI, fra cui:
- Checklist per la conformità CRA
- Specifiche di valutazione della conformità
- Metodi e strumenti per una valutazione automatizzata
- Una piattaforma database federata per la pubblicazione di valutazioni su componenti OSS, aperta ai contributi di molteplici soggetti
- Inventari di strumenti per l’analisi automatica delle dipendenze
- Uno strumento di reportistica per generare documentazione e prove
Per tutti i dettagli sul toolkit e sulle organizzazioni coinvolte e per sapere come partecipare al progetto, è possibile visitare il sito di OCCTET. Per notizie e aggiornamenti sul progetto, è anche possibile iscriversi alla mailing list di OCCTET.
The Eclipse Foundation sta portando avanti altre attività relative al CRA, fra cui Open Regulatory Compliance (ORC) Working Group, un gruppo di lavoro attivo nello sviluppo di risorse e specifiche sostenute dalla community per supportare l’implementazione del CRA negli ecosistemi open-source.
