Cyber Resilience Act

Con il Cyber Resilience Act (CRA), l’UE regola la sicurezza informatica dei prodotti che hanno una connessione diretta o indiretta a una rete o un dispositivo abilitato alla rete.
Un prodotto con elementi digitali deve soddisfare i requisiti del CRA dallo sviluppo allo smaltimento. Il rilascio del marchio CE è in futuro subordinato al soddisfacimento dei requisiti della CRA.
L’UE ha fissato un calendario rigoroso per l’introduzione e l’attuazione di tali norme:
– A partire da settembre 2026 vi è l’obbligo di segnalare vulnerabilità e incidenti di sicurezza
– A partire da dicembre 2027 tutti i requisiti del CRA devono essere attuati e soddisfatti
Il mancato rispetto delle norme della CRA è passibile di pesanti ammende.
Per le microimprese, le piccole e medie imprese, nonché per le start-up è previsto l’invio di una lettera. Articolo 33 Misure di formazione e accompagnamento – https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informations-Information-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html.
I fabbricanti e i distributori devono classificare i prodotti interessati e rilasciare una dichiarazione di conformità. Questo certificato può essere emesso direttamente o da un organismo incaricato. “Organismo incaricato” è ogni consulente esperto in grado di effettuare una valutazione dei rischi (per esempio organizzazioni di controllo come TÜV ecc.).
Ai fini della classificazione, della verifica e della certificazione di conformità, i prodotti devono essere classificati in una delle classi di rischio elencate nell’allegato III del CRA con indicazione dei rispettivi prodotti:
– Prodotti con elementi digitali
– Prodotti importanti di classe I
– Prodotti importanti classe II
– Prodotti critici

https://cyber-resilience-act.de/anhaenge/anhang-iii/

Nell’ambito della valutazione dei rischi, i produttori devono riconoscere e risolvere gli eventuali rischi di sicurezza informatica già durante lo sviluppo del prodotto. Secondo il principio “secure by design”, i prodotti connessi devono essere sviluppati tenendo conto dei requisiti di sicurezza informatica.

I dati memorizzati o trasmessi con il prodotto devono essere crittografati e il meno possibile vulnerabili. Le impostazioni predefinite dei prodotti in rete devono contribuire ad aumentarne la sicurezza. Questo requisito può essere soddisfatto, ad esempio, con password standard forti obbligatorie o installando automaticamente aggiornamenti di sicurezza (gratuiti per l’utente). Già durante lo sviluppo dei prodotti i punti deboli devono essere affrontati obbligatoriamente. Gli strumenti per la creazione di Software Bill of Materials (SBOM) devono pertanto essere integrati. Una SBOM include in dettaglio tutte le librerie e altri componenti software implementati nel prodotto. La CRA è tenuta a redigere una SBOM, che deve essere conservata dal rispettivo produttore.

Per agire correttamente, le aziende interessate dovrebbero chiarire il prima possibile chi è responsabile della sicurezza informatica all’interno dell’azienda. Perché il processo che la CRA prescrive vincola risorse umane e finanziarie.

In una cerchia di collaboratori possibilmente interdisciplinare, dallo sviluppo del prodotto alla distribuzione, il portafoglio di prodotti dovrebbe essere esaminato per individuare punti comuni e possibili rischi e vulnerabilità. Ciò offre anche l’opportunità di riconoscere i possibili rischi multipli e di eliminarli in modo efficiente.

Rientra pertanto nell’obbligo di diligenza dell’impresa controllare continuamente tutti i processi in un’azienda per rilevare possibili rischi, pericoli e punti deboli. Ciò deve essere documentato in modo esaustivo.

In caso di individuazione di un punto debole, l’azione immediata è obbligatoria.

Se una vulnerabilità è stata sfruttata attraverso un accesso non autorizzato, tale vulnerabilità deve essere segnalata entro 24 ore alle autorità competenti al fine di limitare il danno subito. I clienti devono essere immediatamente informati e devono disporre di strumenti per colmare la vulnerabilità.