Keba analizza alcuni aspetti fondamentali e attori principali del Cyber Resilience Act, la normativa a cui le aziende devono far riferimento in materia di sicurezza informatica
La resilienza informatica
Il Cyber Resilience Act (CRA) è un regolamento emanato dall’UE nel 2024 allo scopo di imporre un livello minimo di sicurezza informatica per tutti i prodotti che integrano elementi digitali e che sono immessi sul mercato europeo. Questo pacchetto di norme include software e dispositivi hardware sui quali il software viene eseguito, dai prodotti di consumo come i frigoriferi intelligenti, fino ai controlli industriali dei robot. La conformità al CRA diventa quindi un prerequisito fondamentale di tutti i prodotti allo scopo di ottenere la dichiarazione CE.
Le scadenze principali
Per l’anno 2025 sono da attenzionare il mese di maggio, in cui ha avuto inizio la valutazione della conformità secondo i principi del CRA, e agosto, in cui è entrato in vigore l’obbligo, da parte dei produttori, di segnalazione in caso di vulnerabilità come anche incidenti gravi di violazione dei dati sensibili.
Vulnerabilità sfruttata o potenziale?
Bisogna fare una distinzione tra vulnerabilità potenziali e vulnerabilità sfruttate attivamente. Nel primo caso una falla viene individuata e successivamente risolta prima di qualsiasi evento (il produttore deve risolverla ma non ha l’obbligo di segnalazione). Se invece la vulnerabilità viene utilizzata da un hacker, è sfruttata: in questo caso il CRA prescrive l’obbligo di segnalazione alle autorità nazionali e all’ENISA (L’Agenzia Europea per la Cybersicurezza).
Per quanto riguarda l’anno in corso, entrano in vigore gli obblighi di segnalazione specifici: entro giugno i produttori che sono stati hackerati o presentano vulnerabilità sfruttate devono essere in grado di segnalarle alle autorità di vigilanza e devono anche disporre di un portale di segnalazione degli eventi dedicato. A settembre l’obbligo si estende a tutti i prodotti lanciati sul mercato o di imminente uscita, i quali dovranno rispettare quanto contenuto negli obblighi di inizio 2026.
Dal dicembre 2027 tutti i prodotti hardware e software connessi dovranno essere conformi ai requisiti di sicurezza. Le specifiche includono anche la gestione degli accessi, la crittografia e l’integrità del firmware. Inoltre, i produttori dovranno avere un portale (e-mail o modulo web) per ricevere queste segnalazioni da clienti o utilizzatori.
I compiti immediati per i produttori
Il primo passo fondamentale è, per i propri prodotti, definirne l’uso, il che contempla lo scopo previsto e l’uso ragionevolmente prevedibile. Poiché si tratta di un approccio basato sul rischio, è assolutamente necessario creare un’analisi dei rischi e delle minacce per ogni prodotto.
Cosa deve includere la documentazione tecnica richiesta dal regolamento?
La documentazione tecnica, necessaria per la dichiarazione CE, deve contenere l’analisi dei rischi, la cosiddetta S-BOM (Software Build of Materials), la documentazione dei test e quella relativa al processo di sviluppo sicuro.
La gestione dei prodotti
Una sfida importante è l’integrazione tra nuovi prodotti e prodotti legacy (ossia prodotti sviluppati prima dell’entrata in vigore del CRA). I sistemi forniti prima del CRA non sono interessati dal regolamento, ad eccezione che non vengano apportate modifiche significative. Per questi prodotti, la strategia consigliata riguarda sia il perfezionamento della documentazione tecnica, che l’isolamento e la protezione dall’accesso esterno, piuttosto che applicare il secure by design ai nuovi prodotti.
L’importanza del portale di segnalazione
Il portale deve consentire a clienti, produttori ma anche agli organismi di controllo, di segnalare tutte le sospette vulnerabilità . Il produttore, come accennato, dovrà poi diagnosticare se queste vulnerabilità sono sfruttabili e optare in seguito per la risoluzione attraverso tutte le misure necessarie. Questo può anche significare, in caso di rischio elevato, l’applicazione di correzioni immediate e, in caso di incidente grave, le segnalazioni devono essere inviate alle autorità nazionali di vigilanza del mercato e all’ENISA.
Il problema degli standard e delle norme armonizzate
Purtroppo, la disponibilità di standard armonizzati è attualmente molto limitata. A differenza del pacchetto che riguarda la sicurezza funzionale (Safety), dove esistono norme consolidate, nel CRA mancano ancora quadri di riferimento definiti per i prodotti considerati “normali”. L’UE sta lavorando in modalità prioritaria all’armonizzazione di norme specifiche per i prodotti “critici”, come gestori di password, sistemi operativi e firewall.
Mix accettabile fra sicurezza e usabilitÃ
Alla luce di questa importante fase di transizione, va considerato che la cybersecurity può rendere le macchine più difficili da usare. Se la sicurezza tenderà a limitare troppo l’usabilità , gli utilizzatori potranno essere costretti a ripiegare su soluzioni alternative con il possibile risultato di un calo di produttività . Questo scenario pone una sfida non da poco, ossia quella di trovare il giusto equilibrio: non si deve eccedere con misure che, dal lato pratico, possano ostacolare il lavoro quotidiano. Inoltre, va tenuto conto che la cybersecurity sta creando un nuovo iter procedurale, più dinamico: individuare una falla o vulnerabilità potrebbe richiedere, per un’efficace risoluzione, l’aggiornamento dei sistemi. Ciò, se da una parte elimina un rischio, dall’altra può creare conflitti con la stabilità operativa e richiedere l’aggiornamento dell’intero sistema.
Come si muoveranno produttori e utilizzatori
Senz’altro l’entrata in vigore del CRA ha già iniziato a cambiare l’approccio progettuale e di uso dei prodotti. Costruttori e utilizzatori avranno interazioni ancora più strette per quanto riguarda la condivisione e la risoluzione delle problematiche, come anche lo sviluppo di una sorta di comunità in cui collaborare proattivamente per poter risolvere sempre più rapidamente le criticità . In particolare, sarà sempre più stringente il requisito del secure by design, poiché pensare alla sicurezza, fin dalla progettazione del prodotto, è molto più semplice ed efficace rispetto a un eventuale percorso di adattamento successivo.
Fondamentale sarà anche la gestione degli aggiornamenti da parte dei produttori, i quali dovranno integrare metodologie adatte a consentire l’installazione di patch, in modo efficiente e su più sistemi contemporaneamente. Non meno importante sarà l’integrazione di test di penetrazione e scansioni di vulnerabilità come procedure standard nello sviluppo dei prodotti. Per le aziende è auspicabile un maggiore coinvolgimento fra reparti, attraverso una mentalità condivisa, in modo da avere una comprensione comune dei rischi nonché l’importanza di uno scambio continuo e chiaro di informazioni. Questo approccio è parte efficace di una più ampia collaborazione fra aziende e fornitori, poiché la condivisione di problemi e soluzioni all’interno di un ecosistema può rivelarsi senza dubbio un’arma vincente.
