Cyber Resilience Act: una normativa cruciale per il futuro della sicurezza informatica industriale in Europa

In questo contesto si inserisce il Cyber Resilience Act (CRA, UE 2024/2847). Questo regolamento europeo mira a rafforzare la fiducia nei prodotti e nei servizi digitali istituendo un quadro comune di certificazione della cybersecurity. 

Noi di Factory Software siamo convinti che questo approccio sia essenziale. I nostri clienti si affidano a noi per avere soluzioni industriali all'avanguardia, progettate per essere cyber-resistenti, garantire la continuità aziendale e supportare una crescita sostenibile. Con il software AVEVA di cui siamo principali distributori in Europa, assumiamo una posizione chiara: la conformità alle normative internazionali è una conseguenza naturale del nostro impegno per la sicurezza informatica. Ogni nazione ha il diritto e il dovere di proteggere le proprie infrastrutture critiche e i propri cittadini dagli attacchi informatici. Per questo motivo accogliamo queste normative con trasparenza e ci allineiamo completamente ai loro requisiti.

Cos'è il Cyber Resilience Act?

Approvato nel 2024, il Cyber Resilience Act (CRA, UE 2024/2847) è un regolamento europeo che mira a rafforzare la fiducia digitale in Europa. Serve a garantire che dispositivi e programmi immessi sul mercato UE siano sicuri “by design”, restino aggiornati contro le vulnerabilità e rispettino standard comuni di cybersecurity, così da proteggere consumatori e imprese da attacchi informatici. L'obiettivo è semplice: garantire che le soluzioni digitali utilizzate in Europa soddisfino standard di sicurezza riconosciuti e armonizzati.

Per il settore industriale, questo regolamento è particolarmente strategico. Le fabbriche e le infrastrutture critiche si affidano oggi a software, reti e apparecchiature connesse, rendendole vulnerabili agli attacchi informatici. Creando un quadro comune, il CRA consente di aumentare il livello di sicurezza lungo tutta la catena del valore: dai produttori agli integratori, fino agli utenti finali.

Questo approccio rispecchia la nostra visione. Il nostro software industriale, che si tratti di supervisione, MES o gestione dei dati, è sviluppato per soddisfare i più severi requisiti di sicurezza informatica. Ciò significa che i nostri clienti possono implementare le loro soluzioni digitali con fiducia, rispettando le normative europee.

Cyber Resilience Act: un nuovo quadro normativo europeo ormai imprescindibile

La sicurezza informatica è una delle principali sfide che l'Unione Europea deve affrontare oggi, data la proliferazione di oggetti connessi e il crescente impatto degli attacchi informatici sul mercato interno e sulle infrastrutture critiche. In risposta, l'UE ha adottato un approccio ambizioso: creare un quadro giuridico uniforme che stabilisca i requisiti essenziali di cybersicurezza per i prodotti che incorporano elementi digitali.

Ciò include sia le apparecchiature hardware che i software collegati direttamente o indirettamente a un altro dispositivo o rete. Il Cyber Resilience Act (CRA) impone obblighi specifici a produttori e distributori, coprendo l'intero ciclo di vita dei prodotti digitali. Sebbene si applichi all'Europa, questo regolamento avrà un impatto globale, poiché l'industria del software e dell'hardware opera in un ecosistema globalizzato.

Le principali sfide identificate dal Cyber Resilience Act

Il CRA affronta due debolezze critiche:

• Il basso livello di sicurezza informatica dei prodotti digitali.
• La mancanza di informazioni a disposizione degli utenti per effettuare scelte informate.

I principi chiave della legge sulla resilienza informatica

Per rafforzare la fiducia e la sicurezza, la normativa introduce una serie di obblighi fondamentali:

• Sicurezza dalla progettazione: i produttori devono incorporare la sicurezza informatica nei loro prodotti fin dalla fase di sviluppo, fornendo prodotti configurati per essere sicuri di default.
• Responsabilità continua: i produttori rimangono responsabili della sicurezza del prodotto per tutto il suo ciclo di vita.
• Valutazione della conformità: gli editori di software dovranno effettuare un'autovalutazione o ricorrere a una terza parte per dimostrare la propria conformità.
• Trasparenza per gli utenti: i produttori devono comunicare chiaramente le caratteristiche di sicurezza e le buone pratiche d'uso ai clienti finali.
• Marchio CE: i prodotti conformi potranno fregiarsi del marchio CE, garanzia di conformità al CRA e di affidabilità per il mercato europeo.

Un calendario già fissato

La legge sulla resilienza informatica sarà attuata gradualmente:

• 11 settembre 2026: entrata in vigore degli obblighi di comunicazione.
• 11 dicembre 2027: piena applicazione della normativa per tutti i prodotti interessati.

L'approccio proattivo di AVEVA alla Legge sulla Cyber Resilienza

Con oltre 50 anni di esperienza nello sviluppo e nel supporto del software industriale, AVEVA riconosce l'importanza di una sicurezza informatica esigente e di elevati standard operativi. Grazie alla sua esperienza nel ciclo di vita dello sviluppo della sicurezza, AVEVA è nella posizione ideale per progredire verso prodotti conformi al marchio CE.

Sebbene la normativa sia ancora in evoluzione e la sua piena applicazione sia prevista tra due anni, AVEVA ha già avviato valutazioni interne per anticipare le implicazioni per l'intero portafoglio software.

Alla data di applicabilità, il CRA riguarderà principalmente le offerte on-premise e ibride, ma la strategia di conformità si basa già su quattro pilastri:

• Cultura della sicurezza: sensibilizzazione dei team interni e dei partner globali sull'impatto di queste normative sulle pratiche e sulla catena del valore.
• Politica del ciclo di vita: l'aggiornamento 2024 della politica di prodotto incorpora i requisiti del CRA per offrire ai clienti trasparenza e flessibilità nei modelli di supporto.
• Ciclo di vita dello sviluppo della sicurezza: integrazione dei requisiti essenziali in ogni fase dello sviluppo, dalla formazione dei team alla gestione degli aggiornamenti e della risposta agli incidenti.
• Certificato di conformità: fornisce una documentazione completa, un centro di fiducia online, una governance contrattuale e commerciale e il marchio CE per i prodotti conformi.

Quale sarà l'impatto per il mondo industriale?

Per i costruttori di macchine, il Cyber Resilience Act rappresenta uno sviluppo importante: incorporare la sicurezza informatica nella progettazione delle apparecchiature sta diventando un imperativo al pari della sicurezza fisica o della conformità normativa.

Per gli sviluppatori e integratori di software industriale come AVEVA, la sfida consiste nel supportare i clienti nell'implementazione di soluzioni robuste in grado di proteggere sia i dati di produzione che la continuità aziendale.

In qualità di distributore ufficiale del software AVEVA, Factory Software svolge un ruolo chiave nell'informare, supportare e consigliare i produttori affinché possano anticipare l'impatto del CRA, rendere conformi i loro ambienti digitali e proteggere i loro investimenti a lungo termine.

Infine, per i responsabili IT/OT, il CRA offre un quadro più chiaro e un'ulteriore garanzia: i prodotti con marchio CE offriranno una sicurezza comprovata, rendendone più facile l'integrazione negli ambienti critici.

In breve, questi regolamenti non solo aumenteranno la fiducia degli utenti, ma accelereranno anche la maturità informatica delle catene del valore industriali.

🎙️ LIVE WEBINAR | 2 ottobre ore 16
"Sicurezza informatica in ambito OT: tra tecnologie e normative"

In collaborazione con Logbot e con la partecipazione di: 

Federico DAVOLI | Founder & C.E.O

👉Iscriviti subito!

Il Cyber Resilience Act non è semplicemente un vincolo normativo: è un'opportunità strategica per rafforzare la sicurezza informatica nel cuore dei sistemi industriali. Anticipando le sue implicazioni oggi, AVEVA e Factory Software consentono ai produttori di affrontare questa transizione in tutta tranquillità e di prepararsi a un futuro digitale più sicuro, più affidabile e più resiliente.