Pronti per l'EU Cyber Resilience Act – con Mitsubishi Electric
Il Cyber Resilience Act (CRA) è un regolamento dell'UE che stabilisce requisiti di sicurezza vincolanti per i prodotti con elementi digitali. L'obiettivo è quello di integrare la sicurezza informatica nell'hardware e nel software fin dall'inizio (“sicurezza fin dalla progettazione”) e di affrontare in modo professionale le lacune di sicurezza durante l'intero ciclo di vita del prodotto. Il regolamento si applica in modo uniforme in tutti gli Stati membri dell'UE.
Il contesto è chiaro: i sistemi di produzione, gli impianti di fabbricazione e i sistemi di controllo supportati dall'IT sono sempre più interconnessi. Non appena le macchine, i sistemi di controllo o i componenti sono online e interagiscono con altri sistemi, sussiste un potenziale rischio di attacchi informatici. Mentre in precedenza molte misure di sicurezza erano volontarie, il nuovo regolamento le rende obbligatorie in tutta Europa. Ciò garantisce che la sicurezza informatica non sia solo raccomandata, ma sia una componente obbligatoria di ogni prodotto digitale.
Per gli operatori della tecnologia di automazione, ciò comporta nuovi requisiti, ma anche chiare opportunità per garantire la sicurezza dei sistemi a lungo termine.
Che cos'è il Cyber Resilience Act (CRA)?
- Prima normativa UE per gli standard minimi in materia di sicurezza informatica
- Si applica a tutti i prodotti collegati in rete presenti sul mercato UE (hardware e software)
- Regole uniformi per tutti gli Stati membri
- L'attuazione avverrà gradualmente
Obiettivo: le aziende devono dimostrare che i prodotti sono stati progettati in modo sicuro, testati contro le minacce e che sono in atto processi documentati per la gestione delle vulnerabilità. Ciò crea un alto livello di resilienza informatica, che protegge meglio le aziende da attacchi, guasti e manipolazioni. Ciò rafforza la sicurezza informatica nell'UE.
Base giuridica e ambito di applicazione della legge sulla resilienza informatica
Il Cyber Resilience Act si basa sul Regolamento (UE) 2024/2847. Riguarda i produttori, gli importatori e i distributori di prodotti con funzioni digitali, dai sistemi integrati e dispositivi connessi ai prodotti software e al firmware. Ciò significa che il regolamento riguarda quasi tutte le aziende che forniscono prodotti digitali nell'UE, dai produttori di automazione industriale ai fornitori di servizi cloud.
La trasparenza è particolarmente importante in questo caso: il regolamento richiede una documentazione tracciabile, catene di fornitura di software sicure e processi di segnalazione chiaramente definiti.
Questi standard non solo aumentano la sicurezza, ma migliorano anche la prevedibilità per gli operatori.
Periodo di applicazione e periodi di transizione della legge sulla resilienza informatica
Il regolamento è in vigore dall'11 dicembre 2024. L'obbligo di applicarlo decorre dopo il periodo di transizione, concedendo ai produttori tempo sufficiente per adeguare i propri prodotti, i processi di sviluppo e la documentazione.
- 20 novembre 2024: Pubblicazione del testo giuridico nella Gazzetta ufficiale dell'UE
La versione definitiva del CRA viene pubblicata nella Gazzetta ufficiale europea e diventa così ufficialmente efficace. - 11 dicembre 2024: Entrata in vigore del Cyber Resilience Act
Il Cyber Resilience Act entra ufficialmente in vigore. I periodi di transizione iniziano a partire da questa data. - 11 settembre 2026: Obbligo di segnalazione delle vulnerabilità e degli incidenti di sicurezza
Le aziende devono ora segnalare eventuali vulnerabilità e incidenti relativi alla sicurezza in conformità con le norme CRA. - 11 dicembre 2027: Obbligo di piena conformità al CRA per i nuovi prodotti
A partire da questa data, tutti i nuovi prodotti immessi sul mercato devono soddisfare tutti i requisiti del Cyber Resilience Act.
Per i produttori ciò significa che:
I processi di sviluppo, convalida e sicurezza devono essere adeguati sin da ora. Anche gli operatori ne traggono vantaggio: i prodotti sviluppati in conformità con la legge sulla resilienza informatica ricevono aggiornamenti di sicurezza, gestione delle patch e prove documentate per molti anni. Ciò aumenta la resilienza informatica complessiva negli ambienti di produzione.
Quali prodotti rientrano nel regolamento CRA?
Il regolamento va deliberatamente oltre: non solo i prodotti ad alta sicurezza o i sistemi altamente critici, ma quasi tutti i dispositivi digitali sono soggetti alle norme. Anche le applicazioni che funzionano localmente su un PC rientrano nei requisiti CRA se forniscono funzioni che elaborano dati, utilizzano interfacce o possono essere collegate in rete. Il CRA si applica a quasi tutti i prodotti con elementi digitali, ad esempio:
- Hardware con software integrato,
- dispositivi collegati in rete (ad es. hardware IoT),
- prodotti software puri,
- applicazioni basate su cloud o eseguite localmente.
Il punto chiave è che non appena un prodotto ha funzioni digitali ed è disponibile sul mercato dell'UE, si applicano le normative CRA e con esse i requisiti di sicurezza, aggiornamenti e gestione delle vulnerabilità.
Cosa cambierà per te come cliente e come Mitsubishi Electric sta rispondendo
Per i nostri prodotti compatibili con il CRA, ciò significa in particolare:
Il Cyber Resilience Act (CRA) dell'UE aumenta in modo significativo i requisiti di sicurezza per i prodotti industriali. In qualità di produttori, ci stiamo preparando intensamente a questo cambiamento, affinché voi, in qualità di clienti, possiate continuare ad affidarvi a soluzioni di automazione sicure, conformi e a prova di futuro. Per gli operatori, ciò significa maggiore sicurezza nella vita quotidiana. Oggi molte aziende devono affrontare un aumento degli attacchi informatici, che vanno dai fermi impianto imprevisti alla manipolazione o alla fuga di dati non rilevata. Il Cyber Resilience Act aumenta il livello generale di sicurezza sul mercato. In futuro non sarà più consentita la vendita di prodotti senza una sicurezza informatica verificabile.
* Qui troverete la banca dati delle vulnerabilità dell'Unione europea (EUVD), dove vengono segnalate e documentate a livello centrale le vulnerabilità dell'UE.
Compatibilità CRA dei nostri prodotti: trasparenza per la vostra pianificazione
Il Cyber Resilience Act dell'UE stabilisce standard di sicurezza vincolanti per i prodotti industriali. Mitsubishi Electric si sta attivamente preparando per rendere molti dei nostri prodotti di automazione conformi al CRA.
La nostra gamma CRA: quali prodotti saranno pienamente conformi in futuro
Il Cyber Resilience Act (CRA) dell'UE stabilisce standard di sicurezza vincolanti per i prodotti industriali. Noi di Mitsubishi Electric ci stiamo preparando attivamente per certificare gran parte del nostro portafoglio prodotti in conformità con la norma IEC 67442-4-2.
Presto forniremo qui informazioni su quali dei nostri prodotti soddisfano i requisiti della norma e quali non potremo più vendere in futuro a causa delle nuove normative in materia di sicurezza informatica.
Prodotti Mitsubishi Electric che NON saranno conformi alla CRA
Non tutte le serie di prodotti esistenti saranno pienamente conformi al CRA. Uno dei motivi è rappresentato dai limiti tecnici, in particolare quelli relativi all'hardware e al design delle generazioni precedenti. Questi non possono sempre essere adattati ai nuovi requisiti di sicurezza. Per queste serie offriamo percorsi di migrazione chiari e assistenza a lungo termine, in modo che possiate modernizzare i vostri sistemi in modo tempestivo e prevedibile.
Non ci sono svantaggi per gli operatori. I pezzi di ricambio rimangono disponibili e i processi di assistenza continuano. Inoltre, vengono offerte soluzioni per aggiornare gradualmente i sistemi e garantire la sicurezza delle apparecchiature. Il Cyber Resilience Act non obbliga il mercato a sostituzioni improvvise, ma crea piuttosto una transizione a lungo termine e prevedibile.
Perché il CRA è importante per produttori e fornitori
Negli ultimi anni gli attacchi informatici alle aziende industriali sono aumentati in modo significativo. Molti attacchi non sono diretti alla rete stessa, ma al software, al firmware o ad altri componenti della catena di fornitura.
Proprio per questo motivo il regolamento UE sulla sicurezza informatica stabilisce linee guida chiare che i fornitori e i produttori devono rispettare.
Il Cyber Resilience Act non influisce solo sulla progettazione tecnica dei prodotti, ma anche sulla posizione di mercato, sui rischi di responsabilità e sulla cooperazione all'interno della catena di fornitura.
Le aziende che agiscono tempestivamente si assicurano vantaggi rispetto alla concorrenza e riducono i costi futuri.
Implicazioni per il mercato e la concorrenza
Con il CRA, la sicurezza informatica sta diventando un criterio di qualità obbligatorio per i prodotti con elementi digitali.
Gli standard di sicurezza obbligatori stanno rendendo il mercato più trasparente. Le aziende che investono tempestivamente creano fiducia e aumentano la loro competitività. Gli operatori preferiscono prodotti che hanno dimostrato di essere sicuri e che contengono meccanismi attivi di sicurezza informatica.
Per i produttori e i fornitori, ciò significa:
- I prodotti non conformi al CRA potrebbero perdere l'accesso al mercato o essere certificati in ritardo.
- I clienti preferiscono prodotti con sicurezza verificabile e documentazione chiara.
- Le aziende che investono tempestivamente in processi di sviluppo e aggiornamento sicuri aumentano la loro competitività e riducono i rischi legati al time-to-market.
Aspetti relativi a rischi, responsabilità e catena di approvvigionamento
La catena di fornitura è una parte essenziale della produzione moderna. Le librerie software, i pacchetti open source o i moduli esterni possono contenere vulnerabilità. Con il Cyber Resilience Act, i produttori devono documentare quali componenti vengono utilizzati e come vengono protetti. Questi requisiti aumentano la resilienza informatica dell'intera catena del valore industriale.
Il CRA richiede quindi:
- responsabilità chiare e canali di segnalazione per le vulnerabilità,
- aggiornamenti sicuri,
- documentazione tecnica e trasparenza sui componenti utilizzati.
I produttori e i fornitori che non soddisfano questi requisiti rischiano:
- incidenti di sicurezza,
- costi di richiamo o riparazione,
- danni alla reputazione
- e conseguenze in termini di responsabilità.
Vantaggi dell'attuazione proattiva delle linee guida CRA
Una preparazione tempestiva riduce gli sforzi e i costi nel ciclo di vita del prodotto. Ciò aumenta la qualità del prodotto, la sicurezza dell'impianto e la prevedibilità operativa. Le aziende che implementano soluzioni conformi al CRA prima del 2027 beneficeranno di stabilità a lungo termine, maggiore sicurezza e minor rischio di guasti.
Le aziende beneficiano di:
- processi automatizzati per la manutenzione dell'SBOM,
- linee guida chiare per fornitori e sviluppatori esterni,
- certificazioni più rapide,
- migliore verificabilità dei requisiti dei clienti.
Inoltre, una solida architettura di sicurezza rafforza la fiducia dei partner commerciali e facilita l'accesso alle gare d'appalto o ai settori regolamentati.
FAQ
Che cos'è il Cyber Resilience Act?
Il Cyber Resilience Act (CRA) è un regolamento dell'UE che introduce requisiti obbligatori in materia di sicurezza informatica per i prodotti con elementi digitali.
I produttori devono considerare la sicurezza sin dalle prime fasi del processo di sviluppo (“sicurezza fin dalla progettazione”), fornire aggiornamenti sicuri, gestire le vulnerabilità in modo responsabile, mantenere una distinta dei materiali software (SBOM) e tenere a disposizione la documentazione tecnica. L'obiettivo è quello di rendere i prodotti nell'UE più sicuri a lungo termine e proteggere gli utenti dai rischi informatici.
Il Cyber Resilience Act è già stata approvato?
Sì.
Il Cyber Resilience Act è stato formalmente adottato ed è in vigore dall'11 dicembre 2024. Si tratta quindi di una legge dell'UE giuridicamente vincolante.
Qual è la differenza tra NIS2 e il Cyber Resilience Act?
NIS2:
- Direttiva per gli operatori di servizi essenziali o importanti (ad esempio, energia, sanità, trasporti, amministrazione).
- Focus: sicurezza IT organizzativa, gestione dei rischi, segnalazione degli incidenti, sicurezza della catena di approvvigionamento.
- Si applica alle aziende che gestiscono servizi critici o importanti.
Cyber Resilience Act:
- Regolamento per produttori, importatori e distributori di prodotti con elementi digitali, inclusi software, dispositivi IoT o sistemi integrati.
- Focus: sviluppo sicuro dei prodotti, SBOM, gestione delle vulnerabilità, aggiornamenti sicuri, documentazione tecnica.
- Si applica ai prodotti forniti sul mercato dell'UE.
In breve:
- NIS2 regola le organizzazioni,
- CRA regola i prodotti che esse utilizzano, producono o distribuiscono.
Quando si applica il Cyber Resilience Act?
Il regolamento è in vigore dall'11 dicembre 2024.
L'obbligo specifico di applicazione inizia dopo un periodo di transizione, in modo che i produttori possano adeguare i loro prodotti, i processi di sviluppo e la documentazione ai nuovi requisiti.
A partire dall'11 settembre 2026, sarà obbligatorio segnalare le vulnerabilità e gli incidenti di sicurezza.
I prodotti immessi sul mercato dell'UE a partire dall'11 dicembre 2027 dovranno essere conformi ai requisiti CRA.
Siamo lieti di offrirti una consulenza personalizzata!
Il Cyber Resilience Act rappresenta una pietra miliare per l'industria europea. Definisce standard chiari per la sicurezza informatica, garantisce la trasparenza nelle catene di approvvigionamento, protegge gli operatori e rafforza la sicurezza dei sistemi di produzione in rete. Con processi di sviluppo sicuri, un'architettura di prodotto all'avanguardia e una forte attenzione alla qualità del software, Mitsubishi Electric sta preparando costantemente le sue soluzioni per la conformità al CRA.
Gli attacchi informatici rimarranno una minaccia. Tuttavia, grazie a sistemi di sicurezza moderni, software sicuri e un'attuazione coerente del Cyber Resilience Act, gli impianti industriali possono essere gestiti in modo stabile, affidabile e resiliente.
