Con il Cyber Resilience Act (CRA), il nuovo Regolamento adottato il 10 ottobre 2024, cambia ufficialmente lo scenario normativo sulla sicurezza informatica. Le imprese produttrici e utilizzatrici di beni digital-oriented, macchine industriali comprese, dovranno allinearsi ai requisiti di conformità, per operare sul mercato senza criticità.
Le esigenze di un mercato digital
Con Industria 4.0 la produzione è cambiata. L’integrazione di tecnologie per l’automazione ha migliorato la qualità e la produttività degli impianti, creando valore aggiunto attraverso l’introduzione della digitalizzazione. L’industria intelligente ha reso tutto più semplice, facilitando la connessione istantanea di persone, macchine e dispositivi.
Di fatto, però, con l’immissione del prodotto sul mercato le regole cambiano. E quelle tradizionali cedono il posto a fattispecie più complesse. Le imprese, produttrici e utilizzatrici di beni digitali, sono ora tenute a rispettare nuove imposizioni normative. Per tutelare se stesse ma anche i propri clienti.
In questo nuovo scenario normativo diventa fondamentale allinearsi ai requisiti di conformità previsti dai diversi strumenti normativi, tra cui il principale è il CRA, Cyber Resilience Act. Il nuovo Regolamento, adottato il 10 ottobre 2024 dal Consiglio dell’Unione Europea, è attualmente in fase di pubblicazione sulla GU dell’UE, e sarà applicabile 36 mesi dopo la sua entrata in vigore.
La tutela dei dispositivi nel Cyber Resilience Act
I prodotti con elementi digitali possono diventare un vettore per gli attacchi esterni, con un utilizzo non protetto capace di provocare pericolosi incidenti. Anche, e soprattutto, nel caso delle catene di approvvigionamento. La velocità di propagazione favorisce un processo irreversibile che, partendo da un evento singolo, pregiudica la sicurezza di più soggetti.
Da questa esigenza nasce il Cyber Resilience Act, con l’obiettivo di tutelare la cybersecurity dei dispositivi connessi, ovvero quelli che presentano dati mobili. Con un corpus normativo strutturato in quattro sezioni, il CRA individua due obiettivi principali e quattro specifici, per un corretto funzionamento della disciplina.
Per sviluppare prodotti con elementi digitali sicuri, abbattendo la debolezza di hardware e software, servono le giuste condizioni. Le imprese, allora, dovranno porre attenzione all’aspetto security. Dalla progettazione (security by design) e per l’intero ciclo di vita.
Il Cyber Resilience Act e gli obblighi di conformità
Solo qualora i beni soddisfino i requisiti essenziali richiesti dalla normativa, i produttori potranno immettere gli stessi sul mercato. Nella Sezione I dell’Allegato I all’Atto vengono riportate le caratteristiche dei prodotti, dalla protezione della riservatezza all’integrità dei dati personali, dalla riduzione dell’impatto negativo alla progettazione e sviluppo.
Anche per i processi messi in atto dal fabbricante è prevista una serie di requisiti relativi alla gestione delle vulnerabilità (sezione II dell’Allegato I). Sono poi individuati i prodotti che presentano elementi digitali critici, di I e II Classe, in base al rischio più o meno alto, funzionalmente alla criticità della sicurezza informatica.
Resta aggiornato sul Cyber Resilience Act nel webinar del 26 novembre
Dunque, in attesa che la normativa dispieghi i suoi effetti e diventi cogente entro il 2027, le imprese dovranno velocemente adeguarsi. L’UE ha dato avvio a un percorso di vera e propria economia digitale, con nuove sfide e opportunità per le imprese. Ma solo attraverso l’integrazione di pratiche IT e OT sarà possibile assicurare la sicurezza dei prodotti.
Sarà proprio questo il focus del webinar gratuito dal titolo “Accesso Remoto alle macchine: cybersecurity OT senza compromessi”. Il webinar, organizzato da Automazione News, in collaborazione con ADS-TEC Industrial IT, si terrà il prossimo 26 novembre 2024 alle 11.30. Durante l'evento, gli esperti di ADS-TEC Industrial IT Paolo Sartori e Dominik Scholz, suggeriranno come proteggere asset e dati, cogliendo le opportunità dell'interconnessione di macchine e impianti in piena conformità al Cyber Resilience Act.