Il Cyber Resilience Act rappresenta uno sviluppo pionieristico nel settore della Cyber Security. Stabilisce obblighi chiari per i produttori di prodotti digitali, in particolare per quanto riguarda l'implementazione della strategia Security by Design. Per ricevere l'ambito marchio CE, i prodotti futuri devono soddisfare requisiti minimi di sicurezza. Il CRA affronta aspetti essenziali come la protezione degli accessi, la riservatezza, l'integrità e la disponibilità durante l'intero processo di sviluppo. Questo articolo analizza le sfide e le opportunità che il CRA comporta per i produttori e considera il ruolo potenziale dello standard internazionale IEC 62443 come attore chiave in questo contesto.
Scopri il futuro della Cyber Security per i prodotti digitali nel Cyber Resilience Act (CRA) - direttive chiare, standard più elevati e una strategia all'avanguardia per un'era digitale più sicura.
Il Cyber Resilience Act (CRA) stabilisce direttive chiave per i produttori di prodotti digitali, che sono ora obbligati a perseguire una strategia di Security by Design. Per ricevere l'ambito marchio CE, i prodotti soggetti al CRA devono soddisfare in futuro requisiti minimi di sicurezza. Il testo normativo pone grande enfasi su aspetti quali la protezione degli accessi, la riservatezza, l'integrità e la disponibilità, che devono essere integrati nell'intero processo di sviluppo. Inoltre, il CRA regolamenta la gestione delle vulnerabilità e il periodo di tempo in cui i produttori sono obbligati a fornire aggiornamenti di sicurezza.
L'obiettivo del CRA è rafforzare la fiducia nell'infrastruttura digitale dell'Unione Europea e aumentare la competitività delle aziende europee a livello globale. In quanto atto dell'UE, non richiede un'attuazione nazionale ed è entrato in vigore in tutta l'UE il 10 dicembre 2024.
La norma IEC 62443, come standard internazionale, svolge un ruolo fondamentale in quanto copre sia il processo di sviluppo sicuro richiesto che i requisiti tecnici per prodotti e sistemi. Grazie a questa congruenza, la norma IEC 62443 potrebbe costituire una base promettente per uno standard CRA armonizzato. Per soddisfare i requisiti di gestione delle vulnerabilità è necessaria una distinta base del software (Software Bill of Material, SBOM) standardizzata per tutti i prodotti. Questa panoramica completa di tutti i componenti del software è essenziale. Inoltre, le vulnerabilità note devono essere registrate in formato digitale, ad esempio tramite il Common Vulnerability Scoring System (CVSS).
Il Cyber Resilience Act (CRA) è una legge dell'UE che riguarda tutti i prodotti con elementi digitali dotati di capacità di comunicazione. Il CRA copre sia l'hardware che il software e si basa sul New Legislative Framework. La legge stabilisce requisiti vincolanti che devono essere rispettati quando si immettono prodotti sul mercato. I prodotti conformi a queste regole recano il marchio CE.
Viceversa, ciò significa che i prodotti non conformi non possono più essere immessi sul mercato. Tuttavia, il fornitore deve anche interrompere la vendita dei prodotti esistenti se i requisiti di Cyber Security non sono soddisfatti.
Il CRA stabilisce chiari requisiti di sicurezza per i prodotti, tra cui la protezione dell'accesso, la protezione della riservatezza, l'integrità, la disponibilità e uno stato sicuro alla consegna. Per garantire un processo di sviluppo sicuro, occorre tenerne conto soprattutto in fase di progettazione, sviluppo e produzione.
Come parte del processo di sviluppo sicuro, i produttori devono controllare attivamente i loro prodotti per individuare eventuali vulnerabilità e correggerle immediatamente. Questo aggiornamento di sicurezza sarà fornito gratuitamente e avrà una durata di cinque anni. Il CRA introduce inoltre ulteriori obblighi di segnalazione: i produttori devono notificare immediatamente all'Agenzia europea per la Cyber Security (ENISA) se vengono a conoscenza di vulnerabilità sfruttate attivamente o di attacchi ai loro prodotti che potrebbero compromettere la sicurezza, ad esempio manipolando le aree di download.
Prima di entrare nel mercato, il produttore deve assicurarsi che il suo prodotto sia conforme agli standard prescritti. La valutazione si basa sulla classificazione del prodotto in base alla sua criticità. Ciò richiede la conformità agli standard europei o l'esecuzione di test da parte di un istituto autorizzato. Particolare attenzione è rivolta alle infrastrutture critiche dell'industria. In questo contesto, è prevedibile l'applicazione di norme armonizzate e/o la collaborazione con un istituto autorizzato.
Il CRA consente agli utenti di beneficiare di prodotti che soddisfano standard di sicurezza informatica più elevati e presentano minori rischi di attacchi hacker, vulnerabilità di sicurezza o altri pericoli. Tali prodotti devono essere dotati di una marcatura CE per dimostrare la loro conformità ai nuovi requisiti.
I produttori sono inoltre obbligati ad aggiornare i prodotti per tutto il loro ciclo di vita e a offrire aggiornamenti automatici di sicurezza. Gli utenti possono quindi contare sulle garanzie di sicurezza informatica dei prodotti con marchio CE.
I produttori devono affrontare la sfida di garantire un processo di sviluppo sicuro e di implementare misure di sicurezza complete prima del lancio sul mercato. Ciò si accompagna a costi aggiuntivi che possono incidere sulle risorse e sui tempi di produzione. La nuova legislazione promette notevoli vantaggi per gli utenti finali, in quanto innalza il livello di sicurezza e riduce significativamente i rischi nell'area della Cyber Security. Tuttavia, i produttori devono affrontare una serie di sfide che comportano costi aggiuntivi. Ma vale la pena affrontare queste sfide, poiché le violazioni possono portare le autorità a richiedere miglioramenti o richiami dei prodotti e imporre multe fino a 15 milioni di euro o al 2,5% del fatturato globale annuo.
Tuttavia c'è speranza, infatti i requisiti di base definiti dal CRA sono coperti dal processo di sviluppo sicuro in conformità alla norma IEC 62443-4-1 e dalle specifiche funzionali in conformità alla norma IEC 62443-4-2. È pertanto raccomandata l'implementazione della norma IEC 62443.
Il segnale di partenza è scattato. È il momento di mettere in atto delle misure e prepararsi insieme. Il Cyber Resilience Act (CRA) è stato pubblicato ufficialmente il 10 dicembre 2024. Tutti i prodotti devono avere un sistema di gestione delle vulnerabilità conforme entro l'11 settembre 2026. A partire dall'11 dicembre 2027, è richiesta la piena attuazione del CRA e tutti i prodotti interessati devono soddisfare i requisiti per ottenere il marchio CE.
È il momento di agire per soddisfare i nuovi standard di sicurezza e garantire la competitività.
Il nostro piano di sicurezza completo a 360°
Phoenix Contact si affida a un approccio completo alla sicurezza a 360°, che integra prodotti sicuri come elemento centrale. I prodotti sicuri sono sviluppati in conformità agli standard della norma IEC 62443-4-1, mentre i requisiti per le funzioni di sicurezza sono soddisfatti in conformità alla norma IEC 62443-4-2. Il team PSIRT (Product Security Incident Response Team) è responsabile della gestione efficace delle vulnerabilità.
Grazie a questa strategia, Phoenix Contact è ben posizionata per soddisfare i nuovi requisiti di legge. Offriamo inoltre ai nostri clienti soluzioni e servizi applicativi sicuri. La certificazione indipendente di TÜV SÜD conferma la conformità ai processi di Cyber Security secondo la norma IEC 62443.
