Cyber Resilience Act (CRA), approvato a marzo 2024, stabilisce requisiti di sicurezza cibernetica per prodotti hardware e software con elementi digitali nell'Unione Europea (UE). Produttori, importatori e distributori hanno 36 mesi per adeguarsi. Ecco come prepararsi al meglio.
Il Cyber Resilience Act (CRA) è un quadro giuridico di riferimento che introduce i requisiti obbligatori di cybersecurity dell'UE per i prodotti hardware e software durante il loro ciclo di vita. Si applica ai Product Digital Elements (PDE) o prodotti hardware e software fabbricati, importati e distribuiti nell'Unione Europea (UE), come laptop, dispositivi mobili, sensori e fotocamere, router, firmware, app, videogiochi, schede video e processori. Il regolamento richiede il marchio CE sui prodotti digitali per indicare la conformità ai nuovi standard.
L'obiettivo del CRA è garantire che i prodotti con elementi digitali siano meno vulnerabili e che la gestione della cybersecurity avvenga durante l'intero ciclo di vita del prodotto. Questo rafforza la fiducia e la protezione degli utenti migliorando trasparenza e affidabilità.
Il CRA rappresenta un approccio dettagliato al rafforzamento della sicurezza cibernetica (o cybersecurity) di nazioni, imprese e infrastrutture decisive nell'UE. Introducendo requisiti di sicurezza obbligatori per tutto il ciclo di vita dei prodotti hardware e software, mira a rendere più sicuri i dispositivi connessi.
Il CRA interessa produttori, importatori e distributori di prodotti hardware e software nell'UE. È cruciale capire se il proprio prodotto rientra nel quadro normativo.
Classificazione dei prodotti:
- Prodotti non critici: Circa il 90% dei prodotti digitali, come dischi rigidi e assistenti domestici intelligenti. I fabbricanti devono effettuare autovalutazioni per verificare la conformità al CRA.
- Prodotti critici:
Il CRA non si applica a progetti non commerciali, software open-source non commerciali, servizi come cloud computing e SaaS, e prodotti già regolamentati in materia di cybersecurity come automobili e dispositivi medici.
La mancata conformità dei prodotti di classe I e II può comportare l'imposizione di sanzioni pecuniarie, la cui penale più severa può arrivare a 15.000.000 di euro o al 2,5% del fatturato annuo mondiale del trasgressore.
Inoltre, le autorità possono ordinare il ritiro dal mercato di un prodotto non conforme o limitarne la distribuzione. Le autorità di sorveglianza del mercato condurranno anche controlli a tappeto per individuare eventuali violazioni dei regolamenti CRA.
Per conformarsi al CRA, produttori, importatori e distributori devono integrare la cybersecurity nell'intero ciclo di vita del prodotto. Ecco alcune azioni da intraprendere:
- Revisione approfondita dei prodotti
- Identificazione delle vulnerabilità di sicurezza
- Creazione di un ciclo di vita dello sviluppo della sicurezza (SDL)
- Implementazione di un processo di gestione delle vulnerabilità
- Rispetto degli obblighi di segnalazione degli incidenti
Prepararsi al CRA è essenziale per garantire la conformità e proteggere i prodotti digitali da vulnerabilità di sicurezza. Con il giusto approccio e supporto, le aziende possono navigare le complessità del CRA e mantenere la conformità.
TÜV SÜD offre una gamma di servizi di cybersecurity per aiutare le aziende a prepararsi al CRA:
- Formazione e assistenza tecnica: Migliorare e allineare le politiche di cybersecurity.
- Valutazioni di conformità: Comprendere e valutare i requisiti del CRA.
- Gestione delle vulnerabilità: Identificare e gestire le vulnerabilità.
- Valutazioni di terza parte: Verifica della conformità per prodotti ad alto rischio.
- Supporto per la segnalazione di incidenti: Definire procedure per la segnalazione degli incidenti.
Se avete domande o necessitate di ulteriori chiarimenti sul Passaporto Digitale di Prodotto o sul Regolamento sulle Batterie, non esitate a contattarci.
Rimani aggiornato iscrivendoti alla nostra newsletter e/o seguendoci su Linkedin.
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa