Header_CRA.jpg

Cyber Resilience Act

Direttiva UE per una maggiore sicurezza informatica 

Direttiva UE sulla resilienza informatica di prodotti con elementi digitali

Il Cyber Resilience Act (CRA) (Legge dell'UE sulla resilienza informatica) è una legge della Commissione europea che mira a proteggere i consumatori e le aziende che acquistano o utilizzano all’interno dell’UE prodotti hardware o software con un elemento digitale. Definisce i requisiti vincolanti di sicurezza informatica che devono essere soddisfatti da produttori, importatori e distributori di tali prodotti sul mercato europeo. Nel settore industriale, sono interessati da quanto sopra esposto in particolare i seguenti prodotti:

  • prodotti critici della Classe I, come browser, gestori di password, router, etc.
  • prodotti critici della Classe II, come firewall, smart card, lettori di smart card, etc.

Il “Regolamento sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali” costituisce una parte essenziale degli sforzi dell'UE per aumentare la sicurezza dell’hardware e la sicurezza del software rafforzando in tal modo la fiducia nell'economia digitale. Questo rientra in una più ampia strategia dell'UE per rafforzare la sicurezza informatica. Ciò include anche altre iniziative, come la Direttiva NIS2 (Direttiva sulla sicurezza delle reti e dei sistemi informativi) e il GDPR (Regolamento generale sulla protezione dei dati). L'obiettivo di questi sforzi è quello di creare in tutta l’UE regole standardizzate per la sicurezza informatica dei prodotti con elementi digitali.

I nostri prodotti vi aiutano a soddisfare i requisiti di conformità del Cyber Resilience Act. Saremo lieti di fornirvi consulenza. 

Effetti e sfide per le aziende

In linea di principio, vale quanto segue: Tutte le aziende che producono, distribuiscono o utilizzano interno dell’UE prodotti con elementi digitali nel mercato sono interessate dal Cyber Resilience Act. Sono interessati quindi anche i produttori di macchine e i fornitori di servizi, come gli integratori di sistemi, che utilizzano prodotti di Classe I e II. In futuro, tutti dovranno soddisfare alcuni requisiti di sicurezza informatica allo scopo di garantire la sicurezza dell'hardware, la sicurezza del software e la sicurezza delle macchine in conformità alle norme DIN EN ISO 12100, DIN EN ISO 13849 e all'imminente IEC62443.

Effetti sulla sicurezza informatica, sicurezza OT e prodotti

Nel settore IT, in futuro le linee guida sulla sicurezza informatica dovranno essere prese in considerazione fin dall'inizio (security by design). Ciò include aggiornamenti e patch regolari, nonché la massima trasparenza nella segnalazione di incidenti o vulnerabilità di sicurezza.

Nell'ambito della sicurezza OT, dove in molte aziende si utilizzano tecnologie obsolete, è necessario sviluppare strategie complete di gestione del rischio e implementare maggiori misure di sicurezza. In questo caso, un firewall industriale può essere un ottimo strumento per la messa in sicurezza dei sistemi legacy (sistemi obsoleti) in grado di garantire il funzionamento sicuro di tecnologie obsolete. Il Cyber Resilience Act richiede inoltre un collegamento più stretto tra le pratiche di sicurezza IT e OT. 

In futuro, dovrà essere possibile garantire la sicurezza dei prodotti per tutto il loro ciclo di vita e dimostrarla infine attraverso certificazioni o valutazioni periodiche della sicurezza. Nel caso in cui a un certo punto un prodotto non sia più supportato tramite la fornitura di aggiornamenti di sicurezza o si scoprano vulnerabilità nelle tecnologie, i consumatori dovranno essere informati immediatamente e attivamente. ADS-TEC Industrial IT GmbH garantisce ciò pubblicando tutte le segnalazioni sulla piattaforma tedesca di sicurezza informatica CERT@VDE.

Le sfide finanziarie e tempistiche

Il Parlamento europeo ha adottato il Cyber Resilience Act nel marzo 2024. Prima di poter entrare in vigore, la legge dovrà ancora passare al vaglio del Consiglio dell’UE. Dopo l'entrata in vigore, le aziende interessate avranno 36 mesi di tempo per conformarsi ai requisiti descritti nel Cyber Resilience Act. 
Ciò può comportare costi considerevoli, soprattutto per le piccole e medie imprese (PMI), poiché è necessario introdurre nuovi metodi di sicurezza. Ciò include la creazione di nuove pratiche di sicurezza e l'integrazione di nuove tecnologie di sicurezza.
Per le aziende che operano a livello globale, la necessità di soddisfare i diversi requisiti di sicurezza informatica nei vari mercati può comportare ulteriori sfide.

Termini di attuazione del CRA

CRA_termini_di_attuazione_IT.png

Avete domande sul Cyber Resilience Act o desiderate una consulenza? 

Quali misure devono adottare le aziende

Verifica dei requisiti del CRA

Le organizzazioni devono comprendere i requisiti specifici del Cyber Resilience Act, compresi tutti gli standard tecnici e i requisiti di conformità.

Valutazione dell'attuale posizione di conformità

Le aziende devono valutare in che misura i loro attuali prodotti, servizi e processi interni soddisfano i requisiti del Cyber Resilience Act e stabilire se sono necessari degli adeguamenti.

Sviluppo di un piano di implementazione

Sulla base della valutazione, le organizzazioni devono sviluppare un piano dettagliato per l'implementazione degli adeguamenti richiesti, che comprenda la tempistica, il budget e l'allocazione delle risorse.

Esecuzione degli adeguamenti necessari

Ciò può includere la revisione delle pratiche di sviluppo dei prodotti, il rafforzamento dei sistemi e dei processi di sicurezza informatica e la formazione dei dipendenti.

Monitoraggio e adattamento continuo

Dopo l'implementazione, è importante monitorare costantemente la conformità ai requisiti del CRA ed effettuare adattamenti in base a tutte le eventuali modifiche delle normative o agli sviluppi tecnologici.

Soluzione "uno per tutti" per la sicurezza industriale

Industrial Router Firewalls IRF1000 & IRF3000

Per proteggere reti e sistemi, riconoscere le minacce, rendere più sicuri prodotti e connessioni: I requisiti del Cyber Resilience Act sono descritti chiaramente e saranno presto vincolanti per tutti. E la soluzione giusta esiste già: Router e firewall industriali delle serie IRF1000 e IRF3000.

Sia che si opti per il modello base IRF1000 sia per i firewall IRF3000 ad alte prestazioni: In entrambi i casi, si ottiene una soluzione “uno per tutti” per la protezione di macchine, sistemi di produzione e componenti industriali. Richiedete oggi stesso il vostro dispositivo di prova gratuita e non vincolante e scoprite di persona i router e firewall industriali di ADS-TEC Industrial IT.