Il contenuto di questo sito web è disponibile anche in altre lingue:
Tedesco | Inglese | Francese | Spagnolo | Cinese semplificato | Cinese tradizionale | Giapponese
Ci impegniamo a rispettare le norme del CRA
Da oltre 35 anni, Moxa sviluppa soluzioni per gli ambienti industriali più complessi ed esigenti al mondo. Ben prima del Cyber Resilience Act (CRA) eravamo già impegnati ad attuare misure di sicurezza informatica e siamo stati tra i primi fornitori leader a ottenere la certificazione IEC 62443-4-1, che rappresenta lo standard per la cybersicurezza industriale. Questo dimostra come la nostra attenzione a offrire prodotti sicuri, affidabili e resilienti sia sempre stata radicata nella progettazione e non indotta da nuove leggi.
Sicurezza sistematica
Il nostro Secure Development Lifecycle (SDL), certificato IEC 62443-4-1, è conforme ai requisiti del CRA.
Affidabilità verificata
Forniamo ai nostri clienti aggiornamenti di sicurezza appropriati e una gestione efficace delle vulnerabilità.
Soluzioni a prova di futuro
Allineamento proattivo agli obblighi normativi e agli standard europei in evoluzione.
La nostra visione strategica
del Cyber Resilience Act
Il Regolamento (UE) 2024/2847, noto come Cyber Resilience Act (CRA), è un importante atto legislativo dell'UE che stabilisce requisiti orizzontali di cybersicurezza per i prodotti con componenti digitali immessi sul mercato dell'UE.
Il CRA in sintesi
Il CRA introduce chiari requisiti orizzontali di cybersicurezza per prodotti con componenti digitali, lungo l’intero ciclo di vita. I produttori devono soddisfare tali requisiti di sicurezza per ottenere l’ambita marcatura CE, senza la quale non è possibile immettere i prodotti sul mercato dell’UE.
In sintesi, i principali obiettivi del CRA sono:
- Costruire la resilienza del mercato digitale europeo;
- Aumentare la trasparenza della cybersicurezza per gli utenti;
- Garantire che i prodotti digitali siano meno vulnerabili.
Uno sguardo approfondito ai requisiti del CRA
Requisiti essenziali di cybersicurezza annoverati nell’Allegato I:
A. Requisiti essenziali di cybersicurezza relativi alle proprietà dei prodotti (Parte I): dal processo di progettazione alla produzione, i produttori devono garantire una cybersicurezza adeguata sulla base dei rischi individuati. I requisiti chiave comprendono la sicurezza fin dalla progettazione (secure by design) / impostazioni predefinite (secure by default) e il controllo degli accessi.
B. Requisiti essenziali per la gestione delle vulnerabilità (Parte II): i fabbricanti devono garantire che le vulnerabilità siano gestite in modo efficace per tutto il periodo di supporto.
Tempistiche e scadenze del CRA
Il Regolamento è entrato in vigore il 10 dicembre 2024, avviando una fase di attuazione pluriennale. Una scadenza intermedia fondamentale è l’11 settembre 2026, data a partire dalla quale le segnalazioni di vulnerabilità diventeranno obbligatorie. Una data cruciale per la conformità è l’11 dicembre 2027, data entro cui tutti i prodotti rientranti nell’ambito di applicazione (prodotti con elementi digitali) immessi sul mercato dell’UE dovranno soddisfare tutti i requisiti del CRA.
Fare leva sulla nostra esperienza OT e sulle pratiche "secure by design" per costruire una base conforme al CRA
La nostra solida base si fonda su diversi pilastri chiave, progettati per soddisfare i requisiti di sicurezza essenziali del CRA, valorizzando la nostra esperienza consolidata, compreso il riferimento della IEC 62443.
Sfruttare le norme internazionali
Riteniamo che il modo migliore per garantire la conformità normativa sia adottare quadri di riferimento riconosciuti a livello internazionale. La nostra strategia si basa sui requisiti fondamentali del CRA e sugli standard europei armonizzati.
- Allineamento alla norma IEC 62443: il nostro processo di sviluppo sicuro e le norme specifiche funzionali sono in linea con la norma IEC 62443‑4‑1 e 4‑2, coprendo i requisiti di sicurezza fondamentali.
- Norme armonizzate: ci adoperiamo attivamente per allinearci alle organizzazioni europee (CEN/CENELEC/ETSI) e adottare standard orizzontali per la cyber-resilienza generale e norme verticali per prodotti specifici.
Adottare una gestione sicura del ciclo di vita
Adottiamo un approccio indipendente dai processi e basato sul rischio per garantire il principio “Secure by design” lungo l’intero ciclo di vita del prodotto.
- Valutazione continua: i prodotti vengono sottoposti a valutazioni documentate del rischio di cybersicurezza nelle fasi di pianificazione, progettazione, produzione e manutenzione.
- Sicurezza della catena di fornitura: adottiamo rigorose procedure di verifica quando integriamo componenti di terze parti e open source per prevenire vulnerabilità.
- Supporto a lungo termine: garantiamo meccanismi di aggiornamento sicuri, fornendo tempestivamente agli utenti aggiornamenti di sicurezza per il periodo di supporto definito.
Gestione reattiva delle vulnerabilità
Per soddisfare i requisiti di segnalazione rapida degli incidenti previsti dal CRA, disponiamo di un team PSIRT dedicato (Product Security Incident Response Team), che si occupa delle condizioni reali a lungo termine delle apparecchiature industriali.
- Quadri di riferimento globali: operiamo in conformità alle norme ISO 29147 (divulgazione) e ISO 30111 (gestione), gli stessi quadri di riferimento adottati anche dal CRA.
- Risposta coordinata: utilizziamo il FIRST Service Framework per gestire in modo affidabile le vulnerabilità segnalate e pubblicare avvisi.
- Visione di lungo periodo: i nostri processi supportano apparecchiature industriali progettate per operare in sicurezza per decenni.
Controlli di sicurezza e documentazione
Garantiamo evidenze solide e a prova di audit della nostra posizione di sicurezza, assicurando al contempo che i nostri prodotti siano progettati per consentire un utilizzo sicuro da parte dei clienti.
- Trasparenza per gli utenti: i prodotti includono informazioni chiare sull’uso previsto, le date di fine supporto e i punti di contatto per la segnalazione delle vulnerabilità.
- Difesa integrata: i dispositivi sono dotati di meccanismi di autenticazione sicuri, configurazioni predefinite sicure e strumenti per la distribuzione tempestiva delle patch.
Domande frequenti (selezione)
Il Cyber Resilience Act (CRA) dell’UE è un Regolamento dell’Unione Europea che stabilisce requisiti obbligatori di cybersicurezza per tutti i prodotti con elementi digitali (compresi hardware e software) venduti nel mercato dell’UE. L’obiettivo è quello di garantire che questi prodotti mantengano un livello di sicurezza elevato per tutto il loro ciclo di vita.
Il CRA si applica a tutti i prodotti con elementi digitali, compresi gli hardware (ad es., smartphone, dispositivi IoT, router) e i software (ad es., sistemi operativi, applicazioni, librerie software) connessi, purché possano connettersi direttamente o indirettamente a un dispositivo o a una rete. L’ambito di applicazione esclude determinati prodotti già disciplinati da altre normative, come i dispositivi medici e gli autoveicoli, e anche software open-source sviluppati per scopi non commerciali. La gamma di dispositivi Moxa per la comunicazione industriale rientra nell’ambito del CRA, coprendo categorie chiave quali router industriali sicuri, switch Ethernet, device server seriali e software di gestione della rete.
I fabbricanti devono effettuare una valutazione dei rischi di cybersicurezza prima dell’immissione sul mercato di un prodotto, garantire che il prodotto soddisfi i requisiti essenziali di cybersicurezza e fornire aggiornamenti di sicurezza e gestione delle vulnerabilità lungo l’intero ciclo di vita del prodotto. Devono inoltre predisporre la documentazione tecnica, effettuare la valutazione della conformità, apporre la marcatura CE e segnalare alle autorità competenti le vulnerabilità attivamente sfruttate e gli incidenti gravi.
Le norme armonizzate del CRA sono norme europee sviluppate da organizzazioni di normazione europee riconosciute (CEN, CENELEC ed ETSI), su specifica richiesta della Commissione Europea. Sono essenziali per l’attuazione del CRA, in quanto traducono in specifiche tecniche dettagliate i requisiti essenziali di cybersicurezza stabiliti nel Regolamento. Il lavoro di standardizzazione è in corso sulla base delle norme internazionali ed europee esistenti. La disponibilità delle norme orizzontali è prevista per agosto 2026, mentre quella delle norme verticali per ottobre 2026. (Fonte: www.cencenelec.eu)
I fabbricanti hanno l’obbligo di segnalare vulnerabilità e incidenti a partire dall’11 settembre 2026; tutte le altre disposizioni del CRA (inclusa la conformità prima dell’immissione sul mercato) si applicheranno a partire dall’11 dicembre 2027.
Le imprese sono soggette a sanzioni significative in caso di mancato rispetto del CRA. Per le violazioni più gravi le sanzioni possono arrivare fino a 15 milioni di euro o al 2,5% del fatturato annuo mondiale totale dell’azienda, a seconda del valore più alto. Per le altre violazioni sono previste sanzioni di importo inferiore.
Il CRA e la direttiva NIS2 mirano entrambi a rafforzare la cybersicurezza in Europa, ma presentano priorità diverse. La direttiva NIS2 pone l’accento sulla sicurezza delle reti e dei sistemi informativi per le infrastrutture critiche e i fornitori di servizi essenziali. Il CRA si concentra invece sulla sicurezza dei prodotti digitali stessi, integrando i requisiti di sicurezza fin dalla fase di progettazione.
Una distinta base software SBOM (Software Bill of Materials) è paragonabile a un elenco degli ingredienti di un software: riporta in modo dettagliato tutti i componenti software e le librerie utilizzate all’interno di un prodotto. Il CRA richiede che i fabbricanti predispongano una SBOM per facilitare la gestione delle vulnerabilità, senza imporne per il momento che venga resa pubblica. La SBOM completa deve essere messa a disposizione degli organismi notificati e delle autorità di vigilanza del mercato su richiesta, al fine di agevolare l’applicazione del regolamento.
