News
Gestione dei rischi e conformità ai requisiti del Regolamento UE 2023/1230 sui macchinari
conformity-resilience-act_CRA-nexta
Conformità al Cyber Resilience Act (CRA)
SERVIZI PER LE AZIENDE DELL'UE
Cos'è il Cyber Resilience Act (CRA)?
Il Cyber Resilience Act (CRA) impone obblighi a produttori, importatori e distributori di prodotti con elementi digitali che vengono messi in vendita all'interno dell'UE.
Prima legislazione di questo tipo a livello UE, il suo obiettivo è migliorare la sicurezza informatica dei prodotti e servizi digitali venduti nell'UE.
Il CRA si applica ai prodotti con elementi digitali (PDE), che includono software, hardware e soluzioni di elaborazione remota dei dati. Ciò include dispositivi domestici intelligenti o connessi, come smartphone, tablet, PC, fotocamere, TV, frigoriferi e attrezzature per esercizi, nonché giocattoli e dispositivi indossabili. Un numero limitato di categorie di prodotti, tra cui dispositivi medici, veicoli automobilistici e prodotti aeronautici, sono esenti.
Ai sensi della legislazione, i PDE sono classificati in base al rischio in tre categorie. I prodotti "standard" senza rischi critici per la sicurezza informatica possono essere auto-valutati dal loro produttore. I prodotti "importanti" sono suddivisi in Classe I e Classe II, soggetti a requisiti più rigorosi e possono richiedere valutazioni di conformità da parte di terzi.
Per i prodotti "critici", l'unica opzione per ottenere la conformità è il rispetto obbligatorio di uno schema di certificazione europeo, come l'EUCC.
La legislazione entrerà in vigore a fine 2024 e le aziende interessate dovranno ottenere la conformità ai requisiti elencati nel CRA entro il 2027 (36 mesi dall'implementazione). Tuttavia, diventerà obbligatorio segnalare vulnerabilità e incidenti sfruttati attivamente entro 21 mesi.
I requisiti del CRA e come Bureau Veritas Nexta supporta i clienti
Il CRA impone numerosi obblighi, molti dei quali si applicano ai produttori di prodotti.
I produttori che vendono prodotti con PDE nel mercato dell'UE saranno tenuti a garantire che i prodotti siano progettati, sviluppati e prodotti per garantire un livello adeguato di sicurezza informatica in base ai rischi. Questo viene definito approccio "security by design" (sicurezza fin dalla progettazione).
Altri requisiti chiave riguardano la gestione delle vulnerabilità e la risposta agli incidenti. I PDE devono essere consegnati senza vulnerabilità sfruttabili note, devono essere supportati per un periodo di cinque anni e, quando tecnicamente possibile, gli aggiornamenti di sicurezza devono essere applicati automaticamente.
Inoltre, i produttori devono garantire che entro 24 ore dal momento in cui vengono a conoscenza di una vulnerabilità sfruttata attivamente in un PDE o di un incidente che abbia un impatto sulla sicurezza del PDE, l'Agenzia dell'UE per la cybersicurezza (ENISA) venga notificata e gli utenti vengano informati sulle misure correttive per mitigare eventuali impatti.
Anche gli importatori e i distributori dell'UE sono responsabili se non adottano misure per garantire che i prodotti siano conformi e che il produttore del PDE disponga di processi conformi per la gestione delle vulnerabilità.
Con un team di esperti in conformità alla sicurezza informatica, Bureau Veritas Nexta ha sviluppato una serie di servizi per supportare i clienti nel soddisfare i loro obblighi relativi al CRA dell'UE.
CONFORMITÀ AL CYBER RESILIENCE ACT (CRA). Come opera Bureau veritas nexta?
I servizi Bureau Veritas Nexta includono:
- Presentazione del CRA
Permette una comprensione approfondita del CRA e del suo impatto sull’organizzazione con una presentazione offerta da uno dei nostri specialisti. Possiamo spiegare le diverse valutazioni di conformità e quali regole si applicano al prodotto specifico; - Valutazione delle vulnerabilità e supporto alla certificazione
Utilizzando la nostra vasta esperienza in valutazioni delle lacune e certificazioni conformi agli standard IEC 62443, ISO 27001/2, Common Criteria e altri standard applicabili, possiamo determinare quali misure implementare per raggiungere la conformità al CRA. Bureau Veritas ha un laboratorio riconosciuto per i Common Criteria, che supporta i clienti con consulenza e certificazione; - Supporto all'implementazione del CRA
Dopo aver identificato le possibili vulnerabilità tra le tue misure di sicurezza attuali e i requisiti del CRA, possiamo fornire servizi di consulenza per risolverle e aiutarti a raggiungere la conformità al CRA.
Perché scegliere Bureau Veritas Nexta per i servizi di conformità al CRA?
- Esperienza e competenza in sicurezza informatica e ampia conoscenza normativa a supporto dei clienti per soddisfare requisiti normativi;
- Supporto su misura per le aziende dell'UE;
- Ampia gamma di servizi, dalla comprensione del CRA, alle valutazioni delle vulnerabilità, fino all'implementazione del CRA.
FAQ - Domande frequenti sulla Conformità al CRA
-
A chi è utile il servizio offerto da Bureau Veritas Nexta?
Il CRA impone numerosi obblighi, molti dei quali si applicano ai produttori di prodotti.
I produttori che vendono prodotti con PDE nel mercato dell'UE saranno tenuti a garantire che i prodotti siano progettati, sviluppati e prodotti per garantire un livello adeguato di sicurezza informatica in base ai rischi. Questo viene definito approccio "security by design" (sicurezza fin dalla progettazione). -
Perché è importante affidarsi a un ente come Bureau Veritas Nexta?
Il contesto normativo relativo alla cybersecurity sta diventando sempre più complesso e solo chi si occupa per mestiere di questi aspetti può essere a conoscenza dei nuovi standard e regolamenti. Nel caso del CRA gli standard coinvolti sono i seguenti: ISO 27001/2, ETSI 303 645, IEC 62443, ISO/IEC 15408 (Common Criteria).