La maggior parte delle persone che lavorano nel settore industriale non si sveglia al mattino entusiasta delle normative. Si sveglia pensando alla business continuity, alla sicurezza e se la giornata sarà tranquilla o caotica.Il Cyber Resilience Act (CRA) dell’UE è importante perché cambierà il concetto di software industriale “accettabile” in Europa, soprattutto quando revisori, responsabili degli appalti, assicuratori e dirigenti inizieranno a chiedere prove concrete. L'obiettivo del CRA è chiaro: innalzare gli standard di sicurezza informatica per i prodotti con componenti digitali venduti nell'UE.
Abbiamo redatto un white paper pratico che spiega il CRA (e come si collega alla NIS2) in termini semplici per chi si occupa di impianti industriali, senza sommergervi di gergo legale.
Il CRA in parole semplici
Il CRA è una normativa dell'UE incentrata sull'aspetto “prodotto” della sicurezza informatica: software, dispositivi e componenti venduti nell'Unione Europea. È entrato in vigore il 10 dicembre 2024. Gli obblighi principali si applicano a partire dall'11 dicembre 2027, mentre alcuni obblighi di segnalazione hanno inizio già l'11 settembre 2026.
In pratica, il CRA spinge i fornitori a dimostrare di essere in grado di fare ciò che gli operatori industriali chiedono da anni:
- integrare la sicurezza
- gestire le vulnerabilità durante il ciclo di vita del prodotto
- essere più chiari su cosa c'è all'interno dei loro prodotti (dipendenze/componenti)
- fornire artefatti di prova/assicurazione più solidi
Questo è il "lato fornitore" della questione.
"Aspetta... ma questa non è la NIS2?".
La NIS2 riguarda il «lato degli operatori»: impone obblighi in materia di sicurezza informatica alle organizzazioni che gestiscono servizi essenziali o importanti (tra cui rientrano molti settori industriali). Gli Stati membri dell’UE dovevano recepire la NIS2 nel diritto nazionale entro il 17 ottobre 2024.
Quindi sì, CRA e NIS2 sono diversi. Ma si scontrano nel mondo reale:
La NIS2 vi chiede di gestire il rischio
Il CRA modifica le prestazioni che i vostri fornitori devono garantire
Quindi, la vostra capacità di soddisfare i requisiti di NIS2 dipende in larga misura dal fatto che i vostri fornitori siano realmente pronti per la CRA!
Il nostro white paper spiega chiaramente questa relazione e fornisce domande pratiche da porre ai fornitori.
Perché questo è importante per i facility team (anche se non si occupano direttamente di compliance)?
Se gestite un impianto o un sito industriale, il CRA si ricollega a cinque priorità umane universali e quotidiane:
1) Mantenere l’impianto in funzione
Il CRA influenzerà il ciclo di vita dei prodotti, la disciplina delle patch e la gestione del supporto. Ciò si riflette direttamente sul rischio di tempi di inattività. Se vi siete mai trovati bloccati su una versione che non potete mantenere con sicurezza, sapete già perché questo è importante.
2) Garantire la sicurezza delle persone e del sito
Negli ambienti industriali, gli incidenti informatici possono trasformarsi in incidenti operativi. Il CRA fa parte di una più ampia iniziativa dell’UE volta a trattare il rischio informatico come un rischio sistemico, specialmente nei settori che hanno un impatto sulla società.
3) Mantenere il controllo
Gli impianti detestano le scatole nere: componenti sconosciuti, proprietà poco chiara, fine del supporto incerta. Il CRA spinge i fornitori a essere più trasparenti e strutturati, in modo da poter gestire l'OT come un sistema ingegnerizzato.
4) Evitare i momenti del tipo “perché era ancora in funzione?”
Dopo un incidente, la domanda raramente è “avevi buone intenzioni?”. È piuttosto: “hai agito in modo responsabile e puoi dimostrarlo?”. Il CRA rafforza l’idea che il software non sicuro e non supportato non sia un rischio passivo, ma una decisione gestita.
5) Ridurre gli interventi di emergenza
La versione peggiore di questa storia è una migrazione forzata sotto pressione: il fornitore ritira un prodotto, compare una vulnerabilità, l’ufficio acquisti ha bisogno di un’attestazione e all’improvviso ci si ritrova in modalità di emergenza. Il CRA ha lo scopo di ridurre quel tipo di caos, se ci si prepara per tempo.
Cosa si può fare ora (senza avviare un progetto su larga scala)
Non è necessario un programma pluriennale per ottenere risultati in tempi rapidi.
Potete iniziare con tre semplici mosse:
1. Fare un inventario di ciò che conta di più
-
Non tutto. Iniziate dai sistemi la cui compromissione o interruzione del supporto causerebbe i danni maggiori: SCADA/HMI, sistemi di archiviazione dati, gateway, componenti chiave OPC/di comunicazione.
2. Fare domande concrete ai venditori
Per le vostre versioni esatte: finestre di supporto, processo di gestione delle vulnerabilità, linee guida sulle patch e quali prove possono fornire per le revisioni dei rischi dei fornitori.
3. Allineare OT + IT + Approvvigionamento
Il CRA spesso vi colpirà per primo attraverso l’approvvigionamento: rinnovi, controlli dei rischi dei fornitori, questioni assicurative, audit dei clienti. Allineatevi prima che arrivi l'e-mail del tipo “si prega di attestare…”.
Il nostro white paper include una breve checklist dei fornitori che potete utilizzare immediatamente.
👉Scaricalo subito!
Cosa sta facendo AVEVA (e l'impegno che ci stiamo assumendo)
Se vi affidate al software AVEVA, dovete aspettarvi chiarezza, non vaghe promesse.
AVEVA ha illustrato pubblicamente il proprio approccio CRA, includendo aree di interesse quali la politica sul ciclo di vita, il ciclo di vita dello sviluppo sicuro e gli elementi di conformità/garanzia (documentazione, risorse di fiducia, governance e considerazioni relative alla marcatura CE per i prodotti interessati).
👉 aveva.com
AVEVA pubblica inoltre una politica sul ciclo di vita del supporto software che include opzioni di assistenza a lungo termine per prodotti/versioni designati (5 anni di supporto completo + 2 anni di supporto limitato) per adeguarsi alla realtà degli ambienti industriali di lunga durata.
👉 aveva.com
Questi impegni sono riassunti in un breve "riquadro degli impegni" in chiusura del white paper, insieme a tre domande che potete utilizzare per valutare qualsiasi fornitore, non solo AVEVA.
Inoltre, se il CRA sembra ancora astratto, il white paper lo rende concreto, utilizzando uno scenario reale che la maggior parte dei team industriali riconosce, trasformando CRA + NIS2 in azioni pratiche.
.webp?width=680&height=460&name=aveva-mes-trasformazione-digitale%20(1).webp)
