Cedric Vincent di Tria Technologies
esamina in modo approfondito il significato
di questa legislazione rivoluzionaria
per il settore dei dispositivi integrati
e come gli OEM potrebbero
evitare pesanti sanzioni finanziarie
In un mondo sempre più digitalizzato, gli attacchi informatici stanno diventando un fenomeno comune e rappresentano rischi significativi per produttori e fornitori, nonché per la società nel suo complesso. Ad esempio, nel 2022, una violazione della sicurezza nelle telecamere di sorveglianza di fabbricazione cinese installate in uffici britannici, strade principali e persino edifici governativi, ha portato i rischi di sicurezza e hacking in prima linea nelle conversazioni digitali. Attualmente, nel 2025, la conversazione diventa più importante che mai, poiché l’uso di dispositivi Internet of Things (IoT) continua a crescere nel passaggio alle città intelligenti. Le soluzioni sono fondamentali perché questo tipo di violazione potrebbe verificarsi su scala ancora più ampia e avere conseguenze estremamente gravi.
In un esempio reale, ad aprile di quest’anno, un rivenditore globale di abbigliamento e alimenti ha subito un attacco informatico che ha causato notevoli disagi agli ordini online, ai pagamenti contactless e alla logistica. Gli hacker sono stati in grado di accedere ai dati dei clienti che includevano nomi, indirizzi e-mail e indirizzi postali (secondo quanto riferito, nessun dettaglio bancario) e il costo per l’azienda di questa violazione è stato stimato in circa 300 milioni di sterline. Interpellati, hanno dichiarato che l’attacco è stato così grave che le attività dovrebbero essere interrotte per mesi dopo l’accaduto, con un’indagine iniziale che suggerisce che l’attacco probabilmente ha avuto origine attraverso un fornitore IT dell’azienda.
Crisi incombente
Questi attacchi sono esempi recenti di ciò che le organizzazioni e gli individui devono affrontare ogni giorno in tutto il mondo. Per contribuire ad affrontare questa incombente crisi che colpisce le aziende di tutti i settori, l’Unione europea (UE) ha lanciato alla fine dello scorso anno l’EU Cyber Resilience Act (CRA). Il CRA integra altre leggi dell’UE sulla sicurezza informatica, come la direttiva NIS2, entrata in vigore nel gennaio 2023, che impone la gestione dei rischi, la segnalazione degli incidenti e la responsabilità. La Commissione europea (CE) ha inoltre lanciato la Banca dati europea sulla vulnerabilità (EUVD), che raccoglie informazioni da fonti affidabili sulla vulnerabilità.
È importante notare che, mentre una “direttiva” UE stabilisce obiettivi che gli Stati membri devono raggiungere, ma consente loro di scegliere come farlo, un “atto” UE è una legge vincolante con regole specifiche che devono essere rispettate. Ecco perché il CRA va molto oltre. La CE afferma che la legge migliorerà gli standard di sicurezza informatica per i dispositivi con componenti digitali, “richiedendo ai produttori e ai rivenditori di garantire la sicurezza informatica per tutto il ciclo di vita dei loro prodotti”. Il regolamento trasferisce la responsabilità della sicurezza ai produttori, che devono garantire che il loro hardware e software soddisfino gli standard di sicurezza informatica prima di essere immessi sul mercato dell’UE. Gli aggiornamenti di sicurezza, la segnalazione degli incidenti e le valutazioni di terze parti diventeranno obbligatori per tutti i prodotti che saranno quindi identificati dalla marcatura CE come conformi al CRA.
Prima di entrare nel dettaglio di ciò che la legge richiede ai progettisti e agli OEM, vale la pena sottolineare che la legge non è stata accolta da tutti con favore. Tra le critiche mosse vi è il suo approccio generico e unico per tutti, con la CE che cita dispositivi di consumo quali smartwatch e baby monitor. Una delle preoccupazioni più comuni espresse dai nostri clienti è che l’obbligo di conformarsi pienamente al CRA potrebbe portarli al fallimento. Una delle mie maggiori preoccupazioni è che, se la legge venisse applicata integralmente, potrebbe ostacolare l’innovazione in Europa in modo significativo.
Inoltre, la legge impone alle aziende di divulgare le vulnerabilità non corrette alle agenzie governative entro 24 ore, cosa che secondo alcuni potrebbe effettivamente rendere più probabili gli attacchi informatici attraverso la creazione di un database in tempo reale contenente falle di sicurezza. Infine, è stata espressa la preoccupazione che i governi potrebbero sfruttare le vulnerabilità divulgate a fini di intelligence o sorveglianza.

Comprendere il CRA
Tuttavia, il CRA sta arrivando e gli ingegneri e gli OEM devono sapere esattamente cosa copre la legislazione e quali requisiti pone loro per garantire la conformità. In qualità di specialista in schede di calcolo integrate progettate per ridurre i tempi di sviluppo e ottimizzare le risorse, Tria Technologies ritiene che sia della massima importanza che i principali attori del settore siano consapevoli delle proprie responsabilità ai sensi della legge. L’obiettivo è che i produttori che si impegnano in modo proattivo con il CRA e adottano le sue misure siano in grado di navigare efficacemente nel complesso panorama della sicurezza informatica, salvaguardando le loro funzionalità e contribuendo a un ecosistema di produzione sicura e resiliente.
La CE afferma:
- Il CRA affronta: “il livello inadeguato di sicurezza informatica in molti prodotti e la mancanza di aggiornamenti di sicurezza tempestivi per prodotti e software”.
- Affronta le sfide che i consumatori e le aziende devono attualmente affrontare quando cercano di determinare quali prodotti sono cyber-sicuri.
- La legge impone requisiti obbligatori in materia di sicurezza informatica ai produttori e ai rivenditori in ogni fase della catena di approvvigionamento, in particolare nella pianificazione, progettazione, sviluppo e manutenzione dei prodotti. L’obiettivo principale è quello di garantire la “sicurezza fin dalla progettazione”, ovvero realizzare sistemi, software e servizi con la sicurezza integrata fin dall’inizio e non aggiunta in un secondo momento.
- Alcuni prodotti “di particolare rilevanza per la sicurezza informatica” dovranno essere sottoposti a una valutazione da parte di un organismo terzo autorizzato prima di poter essere posti in commercio sul mercato dell’UE.
È importante capire che le nuove normative si applicano a tutti i prodotti che sono collegati direttamente o indirettamente a un altro dispositivo o rete. Le uniche eccezioni sono alcuni prodotti software o servizi open source già coperti da norme vigenti, come dispositivi medicali, aeronautici e automobilistici.
Benefici derivanti da questo Atto
I benefici dichiarati del CRA includono una maggiore sicurezza, riducendo significativamente il rischio di attacchi informatici e proteggendo così le aziende e i consumatori da potenziali violazioni dei dati e danni alla reputazione. Dal punto di vista finanziario, la legge è anche progettata per evitare i costi significativi di gestione delle violazioni dei dati, come quelli subite dai rivenditori di alto profilo negli ultimi tempi.
Da qualche tempo, Tria ha lavorato a stretto contatto con i propri clienti nei processi di sviluppo per garantire che siano conformi alla nuova legge. Come parte dell’esperienza del cliente, Tria fornisce consulenza sui prodotti finali ai sensi delle nuove normative. L’obiettivo di Tria è garantire la conformità alla sicurezza dei prodotti dei clienti con le normative CRA lungo l’intera catena di approvvigionamento, dal fornitore di silicio ai prodotti finali fabbricati. Uno dei principali vantaggi che Tria può offrire in questo campo potenzialmente complesso è la fiducia. Lavorando con una sola azienda, che a sua volta si avvale dell’esperienza di partner come Qualcomm, NXP, Intel e Renesas, i progettisti e gli OEM possono essere certi di avere accesso alle soluzioni integrate personalizzate più avanzate per i loro prodotti finali in ogni fase del processo.
La legge dell’UE sulla resilienza informatica impone requisiti significativi a tutte le parti coinvolte nella progettazione, produzione e fornitura di prodotti e dispositivi digitali, con l’avvicinarsi della scadenza del 2027. La mancata conformità può comportare sanzioni molto pesanti per gli OEM, attualmente pari a 15 milioni di euro o al 2,5% del fatturato annuo globale.
In termini di tempistiche, mentre gli obblighi principali del CRA non saranno pienamente applicabili fino all’11 dicembre 2027, il conto alla rovescia per la conformità è iniziato il 10 dicembre 2024, data di entrata in vigore ufficiale della legge. Un’altra data chiave è l’11 settembre 2026, quando inizieranno ad applicarsi gli obblighi di segnalazione. In questa fase, i produttori devono avviare il processo di informazione delle autorità entro 24 ore di eventuali vulnerabilità sfruttate attivamente e segnalare tutti gli incidenti entro 72 ore.
È quindi fondamentale che le organizzazioni agiscano subito, non solo per garantire la piena conformità quando saremo a quelle date, ma soprattutto per ridurre al minimo la probabilità di gravi attacchi informatici che potrebbero compromettere i loro dispositivi ed evitare i costi esorbitanti legati alla gestione delle conseguenze.
