Cyber Resilience Act
Cyber Resilience Act
Panoramica
Il Cyber Resilience Act (CRA) introduce requisiti obbligatori di cybersecurity per prodotti hardware e software con elementi digitali. Copre l'intero ciclo di vita del prodotto dalla progettazione fino alla fine del supporto e mira a contrastare la proliferazione di prodotti IoT e software insicuri.[1]
Il CRA si applica ai prodotti immessi sul mercato UE indipendentemente dal luogo di produzione.
Calendario di Applicazione
| Data | Traguardo |
|---|---|
| 10 dicembre 2024 | Entrata in vigore del CRA |
| 11 settembre 2026 | Inizio degli obblighi di segnalazione |
| 11 dicembre 2027 | Applicazione completa di tutti i requisiti |
Prodotti Interessati
Prodotti Coperti
Prodotti con elementi digitali che:
- Hanno una connessione dati logica o fisica diretta o indiretta a un dispositivo o rete
- Includono componenti hardware e software
Categorie
| Categoria | Requisiti | Esempi |
|---|---|---|
| Predefinita | Autovalutazione | La maggior parte del software, IoT di base |
| Importante Classe I | Valutazione basata su standard | Browser, gestori di password, VPN, gestione di rete |
| Importante Classe II | Valutazione da terzi | Sistemi operativi, firewall, router, hypervisor |
| Critica | Valutazione da terzi + certificazione | Moduli di sicurezza hardware, contatori intelligenti, smart card |
Esenzioni
- Software open source (sviluppo non commerciale)
- SaaS (coperto da altre normative)
- Prodotti già regolamentati (dispositivi medici, veicoli, aviazione)
- Prodotti per la difesa e la sicurezza nazionale
Requisiti Essenziali di Cybersecurity[2]
Sicurezza by Design
I prodotti devono essere progettati e sviluppati per garantire:
- Livello di sicurezza appropriato: Basato sui rischi prevedibili
- Nessuna vulnerabilità nota sfruttabile: Al momento dell'immissione sul mercato
- Configurazione predefinita sicura: Inclusa la capacità di reset di fabbrica
- Protezione della riservatezza: Per dati memorizzati, trasmessi e processati
- Protezione dell'integrità: Contro modifiche non autorizzate
- Disponibilità: Resiliente contro attacchi di negazione del servizio
- Superficie di attacco minima: Ridurre i potenziali vettori di attacco
- Limitazione dell'impatto degli incidenti: Minimizzare le conseguenze delle violazioni
Autenticazione e Controllo Accessi
- Credenziali predefinite forti e uniche o impostate dall'utente al primo utilizzo
- Protezione contro attacchi brute force
- Meccanismi di autenticazione sicuri
Protezione dei Dati
- Archiviazione crittografata per dati sensibili
- Trasmissione sicura dei dati
- Eliminare o anonimizzare i dati quando non più necessari
Requisiti per la Gestione delle Vulnerabilità[3]
I produttori devono:
- Identificare le vulnerabilità: Attraverso test e monitoraggio
- Documentare i componenti: Mantenere la lista dei materiali software (SBOM)
- Affrontare le vulnerabilità: Fornire aggiornamenti di sicurezza senza ritardi ingiustificati
- Divulgare le vulnerabilità: Coordinarsi con le parti interessate
- Aggiornamenti di sicurezza: Aggiornamenti gratuiti per il periodo di supporto definito (minimo 5 anni)
Segnalazione delle Vulnerabilità
Da settembre 2026, i produttori devono segnalare:
| Tipo di Segnalazione | Tempistica |
|---|---|
| Vulnerabilità attivamente sfruttata | 24 ore a ENISA |
| Incidente con impatto sulla sicurezza | 24 ore a ENISA/CSIRT |
| Notifica di vulnerabilità | 72 ore a ENISA |
Valutazione della Conformità
| Categoria | Procedura |
|---|---|
| Predefinita | Autodichiarazione o esame di tipo UE |
| Importante Classe I | Standard armonizzati O valutazione da terzi |
| Importante Classe II | Valutazione di conformità da terzi |
| Critica | Esame di tipo UE + garanzia di qualità della produzione |
I prodotti devono esporre la marcatura CE che conferma la conformità.
Sanzioni
- Non conformità: Fino a 15 milioni di € o 2,5% del fatturato globale
- Violazione dei requisiti essenziali: Fino a 10 milioni di € o 2% del fatturato
- Altre violazioni: Fino a 5 milioni di € o 1% del fatturato[4]
Azioni per gli Sviluppatori
Per produttori di software e hardware:
- Inventario dei prodotti: Determinare quali sono nel campo di applicazione e la loro categoria
- Sicurezza by design: Integrare la sicurezza nei processi di sviluppo
- Gestione delle vulnerabilità: Stabilire procedure di rilevamento e gestione
- Creazione SBOM: Documentare componenti software e dipendenze
- Pianificazione del supporto: Definire e comunicare i periodi di supporto
- Meccanismi di aggiornamento: Costruire sistemi sicuri di distribuzione degli aggiornamenti
- Preparazione alla conformità: Preparare la documentazione tecnica
Fonti e Riferimenti
[1]
Regolamento (UE) 2024/2847 sui requisiti di cybersecurity per i prodotti. EUR-Lex: Testo Ufficiale CRA
[2]
Allegato I del CRA: Requisiti essenziali di cybersecurity. Portale CRA: Allegato I
[3]
Allegato I Parte II del CRA: Requisiti per la gestione delle vulnerabilità. Portale CRA: Gestione delle Vulnerabilità
[4]
Articolo 64 del CRA: Sanzioni. Portale CRA: Sanzioni