Keba analizza alcuni aspetti fondamentali e attori principali del Cyber Resilience Act.
Il Cyber Resilience Act (CRA) è un regolamento emanato dall’UE nel 2024 allo scopo di imporre un livello minimo di sicurezza informatica per tutti i prodotti che integrano elementi digitali e che sono immessi sul mercato europeo. Questo pacchetto di norme include software e dispositivi hardware sui quali il software viene eseguito, dai prodotti di consumo come i frigoriferi intelligenti, fino ai controlli industriali dei robot. La conformità al CRA diventa quindi un prerequisito fondamentale di tutti i prodotti allo scopo di ottenere la dichiarazione CE.
Le scadenze principali
Per l’anno 2025, nel mese di maggio, ha avuto inizio la valutazione della conformità secondo i principi del CRA e in agosto, dove è entrato in vigore l’obbligo, da parte dei produttori, di segnalazione in caso di vulnerabilità come anche incidenti gravi di violazione dei dati sensibili.
Vi è una differenza tra vulnerabilità potenziali e vulnerabilità sfruttate attivamente:
- Una falla viene individuata e successivamente risolta prima di qualsiasi evento. In questo caso il produttore deve risolverla ma non ha l’obbligo di segnalazione. Questa è una vulnerabilità potenziale
- Se invece la falla viene utilizzata da un hacker, è sfruttata. In questo caso il CRA prescrive l’obbligo di segnalazione alle autorità nazionali e all’ENISA (L’Agenzia Europea per la Cybersicurezza).
Per il 2026, entrano in vigore obblighi di segnalazione specifici: entro giugno i produttori che hanno subito attacchi o presentano vulnerabilità sfruttate devono segnalare alle autorità di vigilanza. Per questo obbligo, devono disporre di un portale di segnalazione degli eventi dedicato. A settembre la prescrizione si estenderà a ogni prodotto lanciato sul mercato o di lancio imminente, oltre a rispettare quanto contenuto negli obblighi di inizio 2026. A fine 2027 tutti i prodotti hardware e software connessi dovranno essere conformi ai requisiti di sicurezza. Le specifiche contenute nel CRA includono anche la gestione degli accessi, la crittografia e l’integrità del firmware. Non solo: i produttori dovranno predisporre un portale (via e-mail o tramite modulo web) per ricevere segnalazioni da clienti o utilizzatori.
I compiti immediati per i produttori
Per i propri prodotti, il primo passo da compiere è la definizione d’uso, il che prevede il determinare lo scopo previsto e l’uso ragionevolmente prevedibile. Si tratta di un approccio basato sul rischio, pertanto è fondamentale per ogni prodotto creare un’analisi accurata di rischi e minacce.
Cosa deve includere la documentazione tecnica richiesta dal regolamento
La documentazione tecnica, necessaria per la dichiarazione CE, deve contenere la suddetta analisi dei rischi, (la S-BOM – Software Build of Materials), la documentazione dei test e quella relativa al processo di sviluppo sicuro.
Gestione dei prodotti
Una sfida importante è l’integrazione tra nuovi prodotti e prodotti legacy (ossia quelli sviluppati prima del CRA). Questi ultimi sistemi non sono interessati dal regolamento, fatta eccezione per l’apporto di modifiche sostanziali. Per questi prodotti, la strategia consigliata comprende sia il perfezionamento della documentazione tecnica, che l’isolamento e la protezione dall’accesso esterno. Questo approccio è senz’altro meno oneroso rispetto all’applicazione del secure by design tipico dei nuovi prodotti.
Il portale di segnalazione
Il portale di segnalazione deve consentire a clienti, produttori e organismi di controllo, il segnalamento di tutte le sospette vulnerabilità. Il produttore dovrà poi accertare se queste vulnerabilità siano sfruttabili e optare per la risoluzione attraverso ogni misura necessaria. Ciò può anche significare, in caso di elevato rischio, applicare correzioni immediate e, in caso di incidente grave, l’invio delle segnalazioni alle autorità nazionali di vigilanza del mercato e all’ENISA.
Standard e norme armonizzate
Purtroppo, la disponibilità di standard armonizzati è attualmente molto limitata. A differenza del pacchetto di sicurezza funzionale (Safety), dove esistono norme consolidate, nel CRA mancano ancora quadri di riferimento definiti per i prodotti considerati „normali“. L’UE sta operando con priorità all’armonizzazione di norme specifiche per prodotti „critici“, come gestori di password, sistemi operativi e firewall.
Mix fra sicurezza e usabilità
In questa fase di transizione, la cybersecurity potrebbe rendere le macchine più difficili da usare. Se la sicurezza tende a limitare troppo l’usabilità, gli utilizzatori potrebbero essere costretti soluzioni alternative con un possibile risultato: calo di produttività. Questo scenario pone una sfida non da poco, ossia trovare il giusto equilibrio: non eccedere con misure che dal lato pratico, possono ostacolare il lavoro giornaliero. Inoltre, va considerato che la cybersecurity sta creando un nuovo e più dinamico iter procedurale: individuare falle o vulnerabilità potrebbe richiedere l’aggiornamento dei sistemi per ottenere una risoluzione efficace. Se da una parte si elimina un rischio, dall’altra possono crearsi conflitti con la stabilità operativa.
Come si muoveranno produttori e utilizzatori
L’entrata in vigore del CRA ha già iniziato a cambiare l’approccio progettuale e di uso dei prodotti. Per quanto riguarda la condivisione e la risoluzione delle problematiche, costruttori e utilizzatori avranno una più stretta interazione, così come si vedrà lo sviluppo di comunità in rete in cui collaborare proattivamente per poter risolvere sempre più rapidamente le criticità. Sarà sempre più stringente il requisito del secure by design: pensare alla sicurezza, fin dalla progettazione del prodotto, è molto più semplice ed efficace rispetto al percorso di adattamento successivo.
Da parte dei produttori, fondamentale sarà anche la gestione degli aggiornamenti che dovranno integrare metodologie adatte a consentire l’installazione di patch, in modo efficiente e su più sistemi contemporaneamente. Anche l’integrazione di test di penetrazione e scansioni di vulnerabilità come procedure standard nello sviluppo dei prodotti sarà estremamente importante. Per le aziende vi sarà senza dubbio maggiore coinvolgimento fra reparti, grazie allo sviluppo di mentalità condivise: in questo modo si avrà comprensione comune dei rischi oltre allo scambio continuo e chiaro di informazioni.
Questo approccio è parte efficace di una più ampia collaborazione fra aziende e fornitori: condividere problemi e soluzioni all’interno di un ecosistema può rivelarsi senza dubbio un’arma vincente.
