Global it
Hotline
Referente
Global | italiano

Cyber Resilience Act

Il Cyber Resilience Act include una serie di nuovi requisiti. Quali saranno le disposizioni valide in futuro?

Dall’11 dicembre 2027, all’interno dell’Unione Europea, dovranno essere immessi sul mercato e commercializzati solo i prodotti in grado di soddisfare i requisiti del Cyber Resilience Act (CRA). Il CRA contiene disposizioni in materia di cibersicurezza riguardanti i prodotti con elementi digitali.

Quali sono i nuovi requisiti del Cyber Resilience Act? Quali prodotti rientrano nell’ambito di applicazione del CRA? Cosa devono fare le aziende? Abbiamo raccolto qui per te le informazioni fondamentali.

Due uomini conversano sul posto di lavoro

Le principali domande sul Cyber Resilience Act (FAQ)

Cos’è il Cyber Resilience Act?

Il Cyber Resilience Act (CRA) è un regolamento UE che stabilisce i requisiti in materia di cybersicurezza per i prodotti con elementi digitali con riferimento all’industrial security. Per i prodotti interessati occorre eseguire un’analisi approfondita e il relativo adattamento. Si tratta di un passaggio assolutamente necessario in quanto da dicembre 2027 dovranno essere commercializzati soltanto prodotti conformi al CRA!

Quando entra in vigore il Cyber Resilience Act?

Il CRA è stato pubblicato il 20 giugno 2024 sulla Gazzetta Ufficiale dell’Unione Europea. È entrato in vigore il 10 dicembre 2024 e la sua applicazione diventerà obbligatoria all’interno dell’Unione Europea a partire dall’11 dicembre 2027. Gli obblighi di segnalazione delle vulnerabilità attivamente sfruttate per i fabbricanti entreranno in vigore già dall’11 settembre 2026 come previsto dal CRA.

Cosa richiede nello specifico il CRA?

Il CRA si prefigge l’obiettivo di proteggere in modo migliore utilizzatori e aziende dagli attacchi informatici. Il CRA include pertanto un numero elevato di disposizioni per fabbricanti, importatori e distributori di prodotti con elementi digitali che sono in grado di comunicare con altri prodotti. Sono compresi anche i prodotti hardware e software. L’ambito di applicazione del regolamento si estende sull’intero ciclo di vita del prodotto, quindi su progettazione, sviluppo, fabbricazione, fornitura e manutenzione del prodotto come pure su tutta la durata operativa presso il cliente.

Il Cyber Resilience Act è un regolamento o una direttiva?

Il Cyber Resilience Act è un regolamento dell’UE ed è pertanto valido e vigente in tutti gli Stati membri dell’Unione Europea senza che occorra recepirlo nelle singole leggi nazionali.

Quali prodotti rientrano nell’ambito di applicazione del CRA?

Il CRA si occupa di componenti, nello specifico di prodotti con elementi digitali, per i quali sarà indispensabile una verifica della conformità.

Il Cyber Resilience Act (CRA) si applica a tutti i prodotti che contengono componenti digitali, quali software o sistemi di IA ad alto rischio, e che sono collegati a reti o ad altri dispositivi. Per questa ragione, l’ambito di applicazione del CRA è molto vasto e completo includendo, tra gli altri, i seguenti gruppi di prodotti:

  • Hardware e software industriali, come i dispositivi IoT, i sistemi di controllo a logica programmabile (PLC) e i sensori
  • Soluzioni software, come le applicazioni desktop, Web e mobili oltre ai sistemi operativi
  • Dispositivi intelligenti per l’impiego privato, sia hardware che software

Questi prodotti sono classificati secondo categorie differenti in base al potenziale di rischio. Nelle classi di rischio più elevate rientrano in particolar modo i sistemi utilizzati nelle infrastrutture critiche, nella produzione industriale o nel settore dell’energia e industriale. Per questi prodotti cambiano i requisiti per la procedura di valutazione della conformità in quanto possono avere conseguenze ed effetti rilevanti sulla sicurezza pubblica e la stabilità economica.

Cosa occorre fare? Quali sono i requisiti per le aziende?

Un fabbricante di prodotti con elementi digitali è tenuto a soddisfare i requisiti in tema di security previsti dal CRA. I compiti che ne derivano sono la compilazione di un’analisi del rischio e la definizione nonché l’implementazione di misure volte a ridurre eventuali rischi. Altri obblighi sono la compilazione e l’aggiornamento di una documentazione relativa alla valutazione del rischio (e anche delle misure eseguite per ridurre i rischi di security) che deve essere conservata almeno 10 anni. Tra gli obblighi rientrano anche il monitoraggio continuo e costante di possibili vulnerabilità in materia di security, la fornitura a titolo gratuito di aggiornamenti per la security oltre la tradizionale vita utile di un prodotto (5 anni min.) nonché la segnalazione di vulnerabilità di security identificate entro 24 ore a ENISA ed eventualmente a organismi nazionali.

Anche i prodotti già conformi rispetto al CRA e che non saranno modificati, dovranno essere comunque verificati e valutati in base a regole chiare. Per il risultato del controllo viene compilata una documentazione con obbligo di conservazione di 10 anni. Occorre inoltre approntare una Software Bill of Materials (SBOM) o Distinta Base del Software e comprovare l’avvenuto sviluppo e test di sicurezza secondo l’Industrial Security.

Quale significato assume la dichiarazione di conformità UE in relazione al CRA?

La dichiarazione di conformità UE continuerà a essere rilasciata dal fabbricante e certificherà che i requisiti fondamentali in materia di cibersicurezza sono soddisfatti. Per i fabbricanti ciò comporta che l’ottemperanza ai requisiti in materia di valutazione del rischio, gestione delle vulnerabilità e documentazione sarà verificata da una valutazione di conformità. Se tutti i requisiti saranno soddisfatti, verrà rilasciata una dichiarazione di conformità. 

È ancora previsto il rilascio di una dichiarazione di conformità UE per ogni normativa dell’Unione?

Qualora un prodotto con elementi digitali sia soggetto a molteplici norme giuridiche dell’Unione Europea per le quali è prevista una rispettiva dichiarazione di conformità, sarà rilasciata un’unica dichiarazione di conformità UE per tutte le disposizioni giuridiche dell’Unione. In tale dichiarazione dovranno essere riportati tutti gli atti giuridici e normativi dell’Unione corredati di relativi riferimenti all’interno della Gazzetta Ufficiale.

Per quanto tempo deve essere conservata la dichiarazione di conformità UE?

Per ciascun modello di prodotto il fabbricante compila una dichiarazione di conformità UE scritta che lascia a disposizione delle autorità nazionali per dieci anni dalla data in cui il prodotto con elementi digitali è stato immesso sul mercato o per il periodo di assistenza, se quest’ultimo è superiore. La dichiarazione di conformità identifica il modello di prodotto per cui è stata compilata. Una copia di tale dichiarazione è messa a disposizione delle autorità competenti su richiesta.

Qual è la differenza tra Cyber Resilience Act e NIS 2?

  • Il CRA contiene requisiti fondamentali in materia di cibersicurezza relativamente a progettazione, sviluppo e fabbricazione di prodotti con elementi digitali oltre agli obblighi a cui sono tenuti gli operatori economici con riferimento a tali prodotti a riguardo della cibersicurezza.
  • La Direttiva NIS 2 si rivolge alle aziende e richiede alle stesse l’applicazione di misure tecniche e organizzative volte a ridurre i rischi di Industrial Security all’interno dell’azienda.
  • Potenziamento della cibersicurezza nell’UE: entrambe le normative – il CRA e la Direttiva NIS-2 – si integrano e completano a vicenda, occupandosi dei diversi livelli della cibersicurezza: il CRA si concentra sulla sicurezza del prodotto mentre la NIS 2 si focalizza sulla sicurezza delle infrastrutture e dei servizi essenziali. Insieme forniscono un importante contributo al miglioramento globale della cibersicurezza all’interno dell’Unione Europea.

I prodotti Pilz soddisfano i requisiti del Cyber Resilience Act?

Da alcuni anni, Pilz ha già impostato un proprio processo di sviluppo in conformità alla norma IEC 62443-4-1. Quest’ultima definisce, come “norma fondamentale per l’Industrial Security”, lo sviluppo sicuro dei prodotti, ovvero il “Processo Security Development Lifecycle” (processo SDL). TÜV Süd ha certificato la conformità del processo di sviluppo Pilz con un audit: Pilz sviluppa non solo in modo ‘safe’ ma anche ‘secure’!

Si tratta di un aspetto importante per i nostri clienti: con il Regolamento (UE) 2024/2847 – Cyber Resilience Act (CRA), nel 2027 occorrerà obbligatoriamente applicare, oltre al nuovo Regolamento Macchine (Regolamento (UE) 2023/1230), un ulteriore regolamento con focus specifico sulla security.

In concreto ciò implica che i prodotti esistenti siano “aggiornati” se e dove necessario, quelli nuovi sviluppati ottemperando alla conformità rispetto al CRA e la conformità (Marcatura CE) allineata alle disposizioni vigenti. I prodotti che non soddisfano più le disposizioni saranno messi fuori produzione o disponibili come parti di ricambio. In quest’ultimo caso, non dovranno comunque più essere utilizzati in impianti nuovi.

 

Ulteriori informazioni sul Cyber Resilience Act

White paper

Industrial Security

Ulteriori informazioni sul tema Industrial Security, white paper gratuito incluso, sono disponibili alla pagina successiva.

Per maggiori informazioni su Industrial Security
Operatori seduti al PC con le cuffie che parlano al telefono.

Contattaci!

Hai altre domante sul CRA o ti occorre consulenza sulla sua applicazione nella tua azienda? Il nostro esperto team di consulenza è al tuo fianco per supportarti in ogni tua esigenza.

Contattaci
Top
Quartier generale

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Germania

Telefono: +49 711 3409-0
E-mail: info@pilz.de

Supporto tecnico

Telefono: +49 711 3409 444
E-mail: support@pilz.com

America

  • Stati Uniti (gratuito): +1 877-PILZUSA (745-9872)
  • Messico: +52 55 5572 1300
  • Canada: +1 888-315-PILZ (315-7459)
  • Brasile: + 55 11 4942-7032

Europa

  • Austria: +43 1 7986263-444
  • Russia: +7 495 6654993
  • Paesi Bassi: +31 347 320477
  • Svezia: +46 300 13990 / +45 74436332
  • Germania: +49 711 3409 444
  • Svizzera: +41 62 889 79 32
  • Regno Unito: +44 1536 460866
  • Irlanda: +353 21 4804983
  • Turchia: +90 216 577 55 52
  • Italia: +39 0362 1826711
  • Belgio: +32 9 321 75 70
  • Danimarca: +45 74436332
  • Finlandia: +358 10 3224030 / +45 74436332
  • Francia (gratuito): +33 3 88104000
  • Spagna: +34 938497433
  • Portogallo: +351 229 407 594

Asia - Pacifico

  • Australia (gratuito): +61 3 9560 0621 / 1300 723 334
  • Taiwan: +886 70 1015 0068 (當地網路電話)
  • Cina: +86 400-088-3566
  • Nuova Zelanda: +64 9 6345350
  • Thailandia: +66 210 54613
  • Singapore: +65 6829 2920
  • Corea del Sud: +82 31 778 3390
  • Giappone: +81 45 471 2281
  1. Pilz
    2. /
  2. Supporto
    3. /
  3. Leggi e Norme
    4. /
  4. Fabbricante e datore di lavoro / utilizzatore
    5. /
  5. Cyber Resilience Act
Aprire il modulo di contatto
Telefono:+49 711 3409 444
Mail: support@pilz.com
Cookie settings

“Come possiamo aiutarti?

L’interessato riconosce che tutti i dati personali raccolti potranno essere trattati, senza il suo consenso, solo ed esclusivamente per fini di esecuzione dei contratti e di gestione delle richieste formulate dall’interessato. Maggiori informazioni sulla protezione dei dati e i riferimenti di contatto del nostro responsabile della protezione dei dati sono disponibili qui: Protezione dei dati Pilz
Il consenso può essere revocato in qualsiasi momento (anche a mezzo mail).
* Campo obbligatorio