Oltre la compliance: il CRA introduce un nuovo paradigma per la progettazione, la sicurezza e la manutenzione dei prodotti connessi lungo tutto il ciclo di vita.
Soluzioni a cura di ART Safety, Compliance & Security per garantire una corretta interpretazione della norma, tra innovazione, sicurezza e conformità
Introduzione
La cybersecurity è passata dall’essere un mero requisito tecnico a un pilastro strutturale e legale per i prodotti digitali. Il Cyber Resilience Act (CRA), Regolamento (UE) 2024/2847 del 23 Ottobre 2024, impone che qualsiasi prodotto connesso (hardware e software) rispetti requisiti minimi di sicurezza lungo tutto il suo ciclo di vita.
Per i produttori di dispositivi embedded, IoT e sistemi industriali, questa non è una semplice pratica di compliance, ma una rivoluzione dei processi di progettazione e manutenzione.
La timeline del CRA: scadenze e tempistiche
Il testo del CRA è stato approvato in via definitiva dal Parlamento Europeo e dal consiglio dell’unione europea. Essendo un regolamento, entra in vigore direttamente in tutti gli Stati membri senza necessità di leggi di recepimento nazionali.
Il percorso di applicazione è graduale per consentire alle aziende di adeguare le proprie filiere:
| Fase | Tempistica | Cosa Cambia in Pratica |
| Pubblicazione CRA | 23 Ottobre 2024 | Il regolamento è stato ufficialmente pubblicato nella gazzetta ufficiale dell’unione europea (GUUE) |
| Entrata in Vigore | 10 Dicembre 2024 | Il regolamento diventa ufficialmente parte del quadro normativo europeo. Inizia il countdown per le aziende. |
| Fase 1: Obblighi di Notifica | 11 Settembre 2026 | Diventa obbligatorio segnalare tempestivamente all’agenzia dell’unione europea per la cybersecurity (ENISA) e alle autorità nazionali qualsiasi vulnerabilità sfruttata attivamente o incidente di sicurezza significativo. |
| Fase 2: Applicazione Piena | 11 Dicembre 2027 | Piena conformità. Tutti i prodotti immessi sul mercato UE devono recare la marcatura CE, rispettare i requisiti di Security by Design ed essere accompagnati dalla SBOM. I prodotti non conformi non possono più essere commercializzati. |
Attenzione al Time-to-Market:, i prodotti in fase di progettazione oggi dovranno essere conformi al CRA al momento della loro commercializzazione a partire dal 11 Dicembre 2027
Fase 1 – Obblighi di notifica
CRA introduce tempistiche molto aggressive sulla segnalazione delle vulnerabilità sfruttata attivamente o incidente di sicurezza significativo.
- entro 24 ore: invio di un early warning dopo la presa di conoscenza della vulnerabilità/incidente
- entro 72 ore: notifica dettagliata completa
- entro 14 giorni: report finale
La segnalazione avverrà tramite la CRA Single Reporting Platform (SRP) gestita dall’ Agenzia dell’Unione Europea per la Cybersecurity (ENISA).
Fase 2 – Applicazione piena
I cambiamenti radicali per il mondo embedded
1. Dalla Funzionalità alla “Security by Design”
Non è più possibile “mettere in sicurezza” un dispositivo a fine sviluppo. Concetti prima considerati opzionali diventano obbligatori fin dalla prima riga di codice:
- Secure Boot e hardware a bordo sicuro (gestione delle chiavi crittografiche).
- Meccanismi di aggiornamento software sicuro (Es. OTA) con sistemi anti-rollback che non permettano l’installazione di versioni SW con vulnerabilità .
- Disattivazione di default di tutte le interfacce e porte non necessarie (riduzione della superficie di attacco).
2. Gestione della Longevità
Molti dispositivi industriali rimangono sul campo per più di un decennio. Il CRA stabilisce che il produttore deve definire il ciclo vita del prodotto e garantirne la sicurezza per tale periodo.
Questo richiede:
- La creazione di un PSIRT (Product Security Incident Response Team) aziendale.
- Il monitoraggio continuo delle nuove vulnerabilità scoperte sui dispositivi già installati.
- Il rilascio periodico di patch di sicurezza.
3. Tracciabilità della Supply Chain: L’obbligo della SBOM
I moderni firmware embedded sono un mosaico di codice proprietario, librerie di terze parti e componenti Open Source (es. FreeRTOS, stack TCP/IP, librerie crittografiche).
- Il CRA introduce l’obbligo della SBOM (Software Bill of Materials), un inventario formale e strutturato di tutti i componenti software utilizzati.
- Se viene scoperta una vulnerabilità in una libreria Open Source comune, il produttore deve sapere in tempo reale quali dei suoi dispositivi la utilizzano e come mitigarla.
Il CRA esclude esplicitamente il settore Automotive, Medico, Avionico Civile ed equipaggiamento Marittimo. In quanto regolati da da normative verticali specifiche e stringenti (come i regolamenti UNECE R155, R156 e lo standard ISO/SAE 21434 per automotive).
Tuttavia, l’impatto indiretto è enorme: i fornitori di semiconduttori, chip ed RTOS (Sistemi Operativi Real-Time) che vendono sia al mondo industriale/IoT sia a quello automotive dovranno elevare i loro standard qualitativi globali per rispondere al CRA. Di conseguenza, le catene di fornitura diventeranno intrinsecamente più sicure per tutti.
Conclusione: una sfida organizzativa
Il Cyber Resilience Act non è una sfida puramente tecnica: è una trasformazione dei processi aziendali. Richiede che i team di Ricerca e Sviluppo (R&D), i reparti Qualità, i Legal e il Product Management lavorino in sinergia.
Le aziende che avviano oggi i Gap Assessment (analisi delle lacune rispetto ai requisiti CRA) e integrano la SBOM nei loro processi di sviluppo trasformeranno questo obbligo di legge in un netto vantaggio competitivo in termini di affidabilità e fiducia sul mercato.
ART Spa ha partecipato alla terza edizione della CYBSEC EXPO e al convegno dedicato alla protezione informatica delle reti industriali.
