Cyber Resilience Act

Con il Cyber Resilience Act (CRA), l’UE regola la sicurezza informatica dei prodotti che hanno una connessione diretta o indiretta a una rete o a un dispositivo abilitato alla rete.

Un prodotto con elementi digitali deve soddisfare i requisiti del CRA dallo sviluppo allo smaltimento. In futuro, l’assegnazione del marchio CE sarà legata al soddisfacimento dei requisiti del CRA.
L’UE ha stabilito un calendario serrato per l’introduzione e l’attuazione di queste normative:
– Da settembre 2026 sarà obbligatorio segnalare vulnerabilità e incidenti di sicurezza
– Da dicembre 2027 tutti i requisiti del CRA dovranno essere implementati e soddisfatti
Il mancato rispetto delle norme del CRA comporta sanzioni pecuniarie significative.
Per le microimprese, le piccole e medie imprese e le start-up, secondo l’articolo 33, sono previste misure di formazione e accompagnamento – https://cyber-resilience-act.de/cra/kapitel-3/artikel-33-2/. Anche diverse aziende, la Camera di Commercio e Industria o il BSI offrono supporto nell’implementazione del CRA – https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html.
Produttori e rivenditori devono classificare i prodotti interessati e rilasciare una dichiarazione di conformità. Questo certificato può essere emesso autonomamente o da un “organismo designato”. Per “organismo designato” si intende qualsiasi consulente esperto in grado di effettuare una valutazione del rischio (ad esempio, organizzazioni di controllo come TÜV, ecc.).
Decisivo per la classificazione, il controllo e la certificazione della conformità è la categorizzazione dei prodotti in una delle classi di rischio elencate nell’Allegato III del CRA con la menzione dei rispettivi prodotti:
– Prodotti con elementi digitali
– Prodotti importanti Classe I
– Prodotti importanti Classe II
– Prodotti critici

https://cyber-resilience-act.de/anhaenge/anhang-iii/

Già durante lo sviluppo del prodotto, i produttori devono identificare e risolvere eventuali rischi di sicurezza informatica nell’ambito della valutazione del rischio. Secondo il principio “secure by design”, i prodotti connessi devono essere sviluppati tenendo conto dei requisiti di sicurezza informatica.
I dati memorizzati o trasmessi con il prodotto devono essere crittografati e il meno vulnerabili possibile. Le impostazioni predefinite dei prodotti connessi devono contribuire ad aumentarne la sicurezza. Questo requisito può essere soddisfatto, ad esempio, mediante password predefinite obbligatoriamente robuste o mediante l’installazione automatica di aggiornamenti di sicurezza (gratuiti per l’utente). Le vulnerabilità devono essere obbligatoriamente trattate già durante lo sviluppo dei prodotti. Devono quindi essere integrati strumenti per la creazione di Software Bill of Materials (SBOM). Un SBOM comprende in dettaglio tutte le librerie e gli altri componenti software implementati nel prodotto. Il CRA obbliga alla creazione di un SBOM. Deve essere conservato dal rispettivo produttore.
Per poter agire correttamente, le aziende interessate dovrebbero chiarire il prima possibile chi è responsabile della sicurezza informatica all’interno dell’azienda. Infatti, il processo prescritto dal CRA impegna risorse umane e finanziarie.
In un gruppo di dipendenti possibilmente interdisciplinare, dallo sviluppo del prodotto alla vendita, il portafoglio di prodotti dovrebbe essere esaminato per identificare somiglianze e possibili rischi e vulnerabilità. Questo offre anche l’opportunità di riconoscere ed eliminare efficacemente eventuali rischi multipli.
Fa quindi parte dei doveri di diligenza aziendali verificare continuamente tutti i processi in un’azienda per identificare possibili rischi, pericoli e vulnerabilità. Questo deve essere anche ampiamente documentato in ogni caso.
Quando si riconosce una vulnerabilità, è obbligatorio agire immediatamente.
Se una vulnerabilità è stata sfruttata da un accesso non autorizzato, questa vulnerabilità deve essere segnalata alle autorità competenti entro 24 ore per limitare il danno causato. I clienti devono essere informati immediatamente e devono essere sviluppati e forniti senza indugio strumenti per chiudere la falla di sicurezza.