La legge sulla resilienza informatica richiede adeguamenti dei prodotti

L'EU Cyber Resilience Act è entrato in vigore il 10 dicembre 2024. Le aziende che sono soggette al Cyber Resilience Act (CRA) dell'UE dovrebbero affrettarsi ad adattare i loro prodotti ai requisiti del CRA", afferma Jan Wendenburg, CEO della società di cybersecurity Onekey di Düsseldorf. Sottolinea che le prime norme del CRA si applicheranno a partire da settembre 2026 e tutte le altre a partire dall'11 dicembre 2027. "A partire da questa data, tutti i prodotti in rete dovranno essere pienamente conformi ai requisiti di sicurezza informatica del Cyber Resilience Act", chiarisce Jan Wendenburg. I produttori, gli importatori e i rivenditori sono ugualmente obbligati: Senza la conformità CRA, il marchio CE non potrà essere assegnato e i prodotti interessati non potranno più essere venduti nell'UE.

Il Cyber Resilience Act della Commissione europea, adottato il 10 dicembre 2024, è la normativa più completa finora adottata in Europa sulla sicurezza informatica dei prodotti connessi. Per tutti i produttori di dispositivi "con elementi digitali", ovvero tutti i prodotti intelligenti, siano essi destinati all'industria, ai consumatori o alle aziende, il tempo è fondamentale, poiché i nuovi requisiti di sicurezza devono essere presi in considerazione già durante lo sviluppo del prodotto. "In considerazione dei cicli di vita dei prodotti, che in genere durano molti anni, il tema del CRA dovrebbe quindi avere la massima priorità per poter continuare a vendere sul mercato dell'UE in futuro", consiglia Jan Wendenburg.

"Security by design" per la conformità alle CRA

Gli elementi chiave della conformità al CRA sono il principio della "security by design", nonché la valutazione continua dei rischi e la correzione delle vulnerabilità. Inoltre, il CRA dell'UE richiede una distinta base del software (SBOM) per rendere tracciabili i componenti del software e riconoscere tempestivamente i rischi nella catena di fornitura. Il CRA classifica i prodotti in tre classi di sicurezza: Critico, Importante e Altro. Per ogni classe devono essere soddisfatti i requisiti corrispondenti. La sicurezza della catena di fornitura è particolarmente importante in questo caso, poiché le vulnerabilità nei componenti di terze parti e open source possono mettere a rischio l'integrità del sistema complessivo. Il periodo di implementazione di 24 o 36 mesi dall'entrata in vigore del 10 dicembre 2024 pone grandi sfide ai produttori, poiché lo sviluppo dei prodotti spesso richiede anni. Per soddisfare i requisiti del CRA, le aziende dovrebbero implementare le migliori pratiche di cybersecurity il prima possibile. Oltre al CRA, è necessario prendere in considerazione anche altri quadri normativi come RED II (EN 18031) e IEC 62443-4-2. Speciali strumenti di conformità possono aiutare a soddisfare i requisiti attuali e futuri, consentendo una valutazione rapida, semplice e quindi efficiente della cybersecurity del software di prodotto. Un esempio è il Compliance Wizard di Onekey, in attesa di brevetto.

"Le aziende che adattano per tempo la loro strategia di prodotto non solo si assicurano l'autorizzazione al mercato dell'UE, ma anche la loro competitività. La cybersicurezza del ciclo di vita del prodotto, la conformità proattiva e la trasparenza della catena di fornitura stanno diventando fattori di successo indispensabili per tutti i produttori sul mercato dell'UE", spiega Jan Wendenburg.

I nuovi requisiti del Cyber Resilience Act

Per soddisfare i nuovi requisiti, le aziende devono essere in grado di riconoscere le vulnerabilità di sicurezza nei loro prodotti e monitorare costantemente il ciclo di vita del prodotto. Ciò significa che ogni versione del software deve essere testata e, finché è attiva, monitorata costantemente per individuare eventuali nuove vulnerabilità. Le nuove vulnerabilità devono essere costantemente valutate e, se necessario, segnalate e/o adottate misure per ripararle.

I requisiti del CRA coprono l'intero ciclo di vita dei prodotti intelligenti, dalla progettazione e sviluppo fino al funzionamento e alla successiva dismissione. I produttori sono tenuti a offrire aggiornamenti di sicurezza per i loro prodotti per un periodo di almeno cinque anni. Se il prodotto viene utilizzato per un periodo più breve, questo periodo può essere ridotto di conseguenza. "In molti settori industriali, tuttavia, non è raro che i prodotti abbiano una durata di vita di 10 o 20 anni o addirittura superiore. Ciò significa che anche il monitoraggio, la manutenzione, la gestione delle vulnerabilità e le strategie di patch devono essere mantenute per un periodo altrettanto lungo", spiega Jan Wendenburg, illustrando le sfide.

"L'attuazione del Cyber Resilience Act pone notevoli sfide pratiche ai produttori", spiega Jan Wendenburg. Cita esempi specifici: "Nella produzione industriale, dove i sistemi di controllo e di produzione vengono utilizzati per decenni e sono necessari aggiornamenti regolari della sicurezza per garantire la conformità. Anche nel settore IoT, come gli elettrodomestici intelligenti, è necessaria una costante manutenzione della distinta base del software per identificare e correggere rapidamente le potenziali vulnerabilità". Le aziende devono lavorare a stretto contatto con i loro fornitori e utilizzare strumenti di verifica del software di terze parti, come le soluzioni di analisi binaria, per garantire il monitoraggio della sicurezza al momento del ricevimento della merce e durante l'intero ciclo di vita del prodotto. "Solo i processi e gli strumenti automatizzati per l'analisi delle vulnerabilità e della conformità consentono di soddisfare i nuovi requisiti di legge in modo economicamente vantaggioso ed efficiente", afferma Jan Wendenburg.

Fonte: Onekey

CRA e Svizzera

Le disposizioni del Cyber Resilience Act riguardano anche le aziende svizzere, in particolare se desiderano esportare nell'UE prodotti con componenti digitali. Sono interessati, ad esempio, i dispositivi di rete come router e switch, i sistemi di controllo industriale e i prodotti software. Le aziende svizzere che desiderano esportare tali prodotti o altri prodotti con elementi digitali nell'UE sono tenute a soddisfare i requisiti del CRA e a fornire la relativa prova di conformità. Secondo le informazioni dell'Ufficio federale per la sicurezza informatica (BACS), la maggior parte dei prodotti è considerata "non critica". Ciò significa che un'autodichiarazione è sufficiente come prova di conformità. Tuttavia, per prodotti come serrature intelligenti, sistemi di allarme, dispositivi medici indossabili e simili, i requisiti di conformità sono più elevati e richiedono una valutazione da parte di terzi.

rosso. / swisscybersecurity.net / Redguard AG