TECNOLOGIA E SICUREZZA

Cyber Resilience Act: requisiti fondamentali e prodotti coinvolti

Lo scopo finale del Cyber Resilience Act è garantire che i prodotti con elementi digitali immessi sul mercato dell’UE presentino meno vulnerabilità e i produttori siano responsabili della sicurezza informatica per tutto il ciclo di vita di un prodotto. Ecco che c’è da sapere

22 Set 2022
R
Andrea Razzini

Cyber Security Specialist CISSP, CEH, CCSK, CompTIA

È stata di recente pubblicata la proposta di legge UE riguardante la cyber security dei prodotti connessi che si chiama Cyber Resilience Act (ovvero CRA).

È un passo fondamentale per aumentare la consapevolezza dell’importanza della cyber security in tutti gli aspetti del ciclo di vita di un prodotto: dalla fase di Concept, alla fase di Design, poi di Implementazione, infine di Testing. A seguire saranno anche interessate le fasi di Post-sviluppo e Produzione.

I macro obiettivi di questa direttiva sono quattro e sono elencati qui di seguito:

  1. I produttori devono migliorare la sicurezza dei prodotti con elementi digitali sin dalla progettazione e fase di sviluppo e durante l’intero ciclo di vita.
  2. È necessario garantire un framework di cyber security, facilitando la conformità per i produttori di hardware e software.
  3. È necessario migliorare la trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali.
  4. È necessario consentire alle imprese e ai consumatori di utilizzare i prodotti con elementi digitali in modo sicuro.

Requisiti di base richiesti dal Cyber Resilience Act

Per i requisiti specifici di cyber security, la direttiva stabilisce l’importanza di alcune attività come segue:

  1. Aspetti documentali (Risk assesment ad esempio, dichiarazione di conformità).
  2. Monitoraggio continuo nel tempo delle possibili vulnerabilità.
  3. Manuali di istruzione aggiornati con descrizioni sugli aspetti di sicurezza.
  4. Disponibilità di aggiornamenti di sicurezza.
  5. Gestione delle vulnerabilità.

Tutta la filiera (Supply Chain) di produzione di un prodotto digitale (software, hardware, connettività ecc.) diventa quindi soggetta ad attività e controlli di cyber security.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Prodotti coinvolti dal Cyber Resilience Act

Saranno tre le categorie di prodotti coinvolti dal Cyber Resilience Act:

  1. Categoria di Default, soggetta a Self-assessment (prodotti non critici)
  2. Classe I (prodotti critici)
  3. Classe II (prodotti critici)

La distinzione dalla prima classe a quelle successive si basa sui seguenti aspetti:

  • funzionali (ad esempio in ambito critical software);
  • modalità d’uso (ad esempio per il settore industrial control/NIS2);
  • altri criteri.

Per determinare il livello appropriato di rischio dei prodotti critici sarà necessario valutare i seguenti punti:

  • la funzionalità relativa alla sicurezza informatica del prodotto con elementi digitali e se il prodotto con elementi digitali ha almeno uno dei seguenti attributi:
  1. è progettato per funzionare con privilegi elevati o gestire privilegi;
  2. ha accesso diretto o privilegiato alle risorse di rete o informatiche;
  3. è progettato per controllare l’accesso ai dati o alla tecnologia operativa;
  • svolge una funzione fondamentale per la “fiducia”, in particolare svolge funzioni di sicurezza , come il controllo della rete, la sicurezza degli endpoint e la protezione della rete.
  • l’uso previsto in ambienti sensibili, compresi quelli industriali o da enti essenziali del tipo di cui all’allegato [allegato I] del Direttiva [Direttiva XXX/XXXX (NIS2)];
  • l’uso previsto per lo svolgimento di funzioni critiche o sensibili, quali trattamento dei dati personali;
  • la potenziale portata di un impatto negativo, in particolare in termini di intensità e capacità di influenzare una pluralità di persone;
  • la misura in cui l’uso di prodotti con elementi digitali ha già causato perdita o interruzione materiale o immateriale o ha dato luogo a una perdita significativa.

Per la prima classe, non ci sono particolari criteri da applicare e i prodotti coinvolti sono principalmente appartenenti alle seguenti tipologie:

  1. photo editing;
  2. word processing;
  3. smart speakers;
  4. hard drives;
  5. games.

Per la seconda categoria sarà necessario un Assessment (eventualmente condotto da una terza parte) e riguarderà i seguenti prodotti (come da elenco presente nel Annex III):

  1. Identity management systems software and privileged access management software.
  2. Standalone and embedded browsers.
  3. Password managers.
  4. Software that searches for, removes, or quarantines malicious software.
  5. Products with digital elements with the function of virtual private network (VPN).
  6. Network management systems.
  7. Network configuration management tools.
  8. Network traffic monitoring systems.
  9. Management of network resources.
  10. Security information and event management (SIEM) systems.
  11. Update/patch management, including boot managers.
  12. Application configuration management systems.
  13. Remote access/sharing software.
  14. Mobile device management software.
  15. Physical network interfaces.
  16. Operating systems not covered by class II.
  17. Firewalls, intrusion detection and/or prevention systems not covered by class II.
  18. Routers, modems intended for the connection to the internet, and switches, not covered by class II.
  19. Micropocessors not covered by class II.
  20. Microcontrollers.
  21. Application specific integrated circuits (ASIC) and field-programmable gate arrays (FPGA) intended for the use by essential entities of the type referred to in [Annex I to the Directive XXX/XXXX (NIS2)].
  22. Industrial Automation & Control Systems (IACS) not covered by class II, such as programmable logic controllers (PLC), distributed control systems (DCS), computerised numeric controllers for machine tools (CNC) and supervisory control and data acquisition systems (SCADA).
  23. Industrial Internet of Things not covered by class II.

Per la terza categoria, infine, sarà obbligatorio un Assessment di terze parti e riguarderà i seguenti prodotti: (come da elenco presente nel Annex III):

  1. Operating systems for servers, desktops, and mobile devices.
  2. Hypervisors and container runtime systems that support virtualised execution of operating systems and similar environments.
  3. Public key infrastructure and digital certificate issuers.
  4. Firewalls, intrusion detection and/or prevention systems intended for industrial use.
  5. General purpose microprocessors.
  6. Microprocessors intended for integration in programmable logic controllers and secure elements.
  7. Routers, modems intended for the connection to the internet, and switches, intended for industrial use.
  8. Secure elements.
  9. Hardware Security Modules (HSMs).
  10. Secure cryptoprocessors.
  11. Smartcards, smartcard readers and tokens.
  12. Industrial Automation & Control Systems (IACS) intended for the use by essential entities of the type referred to in [Annex I to the Directive XXX/XXXX (NIS2)], such as programmable logic controllers (PLC), distributed control systems (DCS), computerised numeric controllers for machine tools (CNC) and supervisory control and data acquisition systems (SCADA).
  13. Industrial Internet of Things devices intended for the use by essential entities of the type referred to in [Annex I to the Directive XXX/XXXX (NIS2)].
  14. Robot sensing and actuator components and robot controllers.
  15. Smart meters.

Sono invece esclusi (Out-of-scope) le seguenti altre tipologie:

  1. Open source Sw (se non inserito in altro prodotto commerciale).
  2. Cloud services (che ricadono nella direttiva NIS).
  3. Dispositivi Medicali or “in-vitro diagnostic” (che ricadono nella direttiva MDR).
  4. Prodotti del settore Aviazione civile (che ricadono nella Regulation (EU) 2018/1139.
  5. Prodotti del settore Motor vehicles (che ricadono nella direttiva (EU) 2019/2144.
  6. Prodotti in generale per la sicurezza nazionale o scopi militari o prodotti specificatamente progettati per elaborare informazioni classificate.

Conclusione

Lo scopo finale del Cyber Resilience Act è garantire che i prodotti con elementi digitali immessi sul mercato dell’UE presentino meno vulnerabilità e i produttori siano responsabili della sicurezza informatica per tutto il ciclo di vita di un prodotto.

È importante anche sottolineare l’interscambio tra questa direttiva ed altre normative europee: NIS2 (in Draft), GDPR (privacy), RED (per dispositive Radio), AI Act (Intelligenza artificiale), direttive Macchina e Safety. Questo per assolvere la strategia digitale europea che vuole quattro pilastri:

  1. protezione dei dati;
  2. diritti fondamentali;
  3. sicurezza (intesa come “Safety”);
  4. cyber security.

Una volta che il Cyber Resilience Act verrà approvato e adottato dai paesi UE, operatori economici e Stati membri avranno due anni per adeguarsi alle nuove esigenze.

L’obbligo di segnalare le vulnerabilità sfruttate attivamente e gli incidenti si applicheranno dopo un anno.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5