Informazioni, consigli e raccomandazioni Pilz su come recepire la normativa – Legalmente vincolante: come le aziende si preparano al Cyber Resilience Act

Il Cyber Resilience Act (CRA) è stato recentemente pubblicato sulla Gazzetta Ufficiale dell’Unione Europea. Il regolamento contiene disposizioni in materia di cibersicurezza relativamente a prodotti con elementi digitali. 36 è il numero di mesi che le aziende interessate da questo provvedimento hanno a disposizione per ottemperare ai requisiti contenuti nel CRA. Occorre rispettare determinati obblighi di segnalazione già nei prossimi 21 mesi. Chi è di fatto soggetto a tale obbligo? E cosa richiede il CRA?

Atto giuridico dell’UE sulla cyber resilience o resilienza informatica: il CRA (Cyber Resilience Act o Legge sulla ciberresilienza) si prefigge l’obiettivo di protegge utilizzatori e aziende dagli attacchi informatici. Il CRA include un numero elevato di disposizioni per fabbricanti, importatori e distributori di prodotti con elementi digitali che sono in grado di comunicare con altri prodotti. Sono compresi anche i prodotti hardware e software. Coinvolti sono inoltre i prodotti dell’area B2C, come gli smartphone e i robot aspirapolvere, ma anche dell’area B2B, come i sistemi di controllo e i sensori, oltre ai prodotti software come i sistemi operativi. Il CRA è stato pubblicato il 20.11.2024 sulla Gazzetta Ufficiale dell’Unione Europea. In quanto regolamento, questa legge ha trovato applicazione immediata negli Stati membri UE.

I requisiti principali per i fabbricanti di macchine

• Valutazione del rischio e relativa garanzia: i fabbricanti sono tenuti a progettare e sviluppare prodotti in modo tale che sia garantita un adeguato livello di cibersicurezza durante l’intero ciclo di vita del prodotto.
• Gestione delle vulnerabilità: il fabbricante è tenuto a eliminare le vulnerabilità note attraverso aggiornamenti gratuiti della sicurezza nella misura in cui tra il fabbricante e l’utente commerciale non sia stato concordato diversamente.
• Documentazione: i costruttori sono tenuti a identificare e documentare le vulnerabilità e i componenti dei loro prodotti.
• Obblighi di segnalazione: entro le 24 ore successive alla presa di conoscenza, il fabbricante è tenuto a segnalare un’eventuale intervenuta vulnerabilità tramite l’apposita piattaforma dell’ENISA (European Union Agency for Cybersecurity).

Cosa possono fare fin da subito i fabbricanti di macchine

In qualità di azienda esperta in automazione sicura, Pilz raccomanda a tutti i fabbricanti di macchine di occuparsi con tempestività dei requisiti previsti dal CRA e di sviluppare concept di cooperazione con fabbricanti di componenti e operatori. In quale zona della rete deve essere utilizzata una macchina? Come devono essere gestiti gli aggiornamenti software? Una volta chiariti in anticipo questi quesiti, ciascun soggetto economico è in grado di adempiere ai propri obblighi organizzativi e tecnici. Pilz supporta da decenni fabbricanti di macchine e utilizzatori per quanto attiene alla sicurezza di macchine e impianti, anche per le nuove disposizioni in materia di Industrial Security. Perché senza security, una macchina con tutte le misure di safety implementate resta vulnerabile e non protetta. A tale proposito occorre applicare misure precauzionali.

2 consigli pratici per l’implementazione delle disposizioni CRA

1. Sempre allo stato dell’arte: abbonarsi alle newsletter e ai feed RSS di eur-lex.europa.eu consente di mantenersi informati sulle modifiche di leggi e normative a livello UE.
2. Il Common Security Advisory Framework (CSAF) è un framework standard e open-source per la comunicazione e la distribuzione automatizzata di informazioni sulle vulnerabilità e relativa mitigazione che possono essere gestite dalle macchine, le cosiddette Security Advisories.

• Ulteriori informazioni sul tema Industrial Security sono disponibili qui