Cyber Resilience Act: nuovi obblighi per i produttori e impatto su Sophos Firewall

Il Cyber Resilience Act cambierà le regole per i produttori di prodotti digitali a partire dal 2027. Gli aggiornamenti di sicurezza dovranno essere forniti gratuitamente, i periodi di assistenza dovranno essere chiaramente definiti e la sicurezza dovrà essere dimostrata in fase di progettazione. Questo significa maggiore trasparenza per gli amministratori IT e modifiche alla strategia di aggiornamento per fornitori come Sophos.

Breve panoramica

  • Il regolamento UE si applica a partire dall’11.12.2027
  • Sono richiesti almeno cinque anni di aggiornamenti di sicurezza gratuiti
  • Obbligo di progettazione sicura, documentazione e processi di reporting
  • Sophos deve adattare la sua politica di aggiornamento
  • Gli amministratori IT ottengono una maggiore sicurezza nella pianificazione

Perché l’argomento è attuale

Il Cyber Resilience Act è in vigore dalla fine del 2024. Produttori e clienti hanno tempo fino al dicembre 2027 per convertire i loro processi. Per la sicurezza informatica in Europa, questo significa uno standard vincolante: i prodotti privi di aggiornamenti di sicurezza e di informazioni poco chiare sul ciclo di vita dovranno sparire.

Cosa sta cambiando o cosa è nuovo

  • Aggiornamenti di sicurezza gratuiti: I produttori non sono più autorizzati a mettere le patch critiche dietro un paywall.
  • Periodi di supporto trasparenti: almeno cinque anni di aggiornamenti o indicazione esplicita di termini più brevi.
  • Marchio CE: a partire dal 2027, il marchio CE confermerà anche la conformità alla sicurezza informatica.
  • Obblighi di segnalazione: Gli incidenti di sicurezza devono essere segnalati alle autorità entro 24 ore. Per la precisione: Allarme preventivo entro 24 ore, ulteriore notifica entro 72 ore; i destinatari sono il CSIRT designato (coordinatore) e l’ENISA tramite la piattaforma centrale.
  • Sanzioni elevate: fino a 15 milioni di euro o il 2,5% del fatturato per i reati.

Panoramica tecnica

Il Cyber Resilience Act si rivolge a tutti i “prodotti con elementi digitali”. Ciò include i tradizionali sistemi aziendali come firewall, router e sistemi operativi, ma anche i dispositivi IoT nel settore consumer e i software critici per la sicurezza. I requisiti riguardano quindi praticamente l’intero ecosistema dei prodotti in rete. I produttori devono rispettare i seguenti obblighi previsti dal Cyber Resilience Act:

  • Dimostrare la sicurezza per progettazione (ad esempio, impostazioni predefinite sicure, crittografia, protocolli collaudati, indurimento contro gli attacchi DoS).
  • Mantenere una distinta base del software (SBOM) che elenchi dettagliatamente tutti i componenti, le librerie e le dipendenze rilevanti, al fine di creare trasparenza per gli aggiornamenti e la gestione delle vulnerabilità.
  • Offri opzioni di aggiornamento automatico, almeno per le correzioni critiche per la sicurezza, e assicurati che questi aggiornamenti possano essere installati senza interruzioni o disturbi significativi. Per gli ambienti professionali, deve essere prevista anche un’opzione di installazione controllata e temporizzata.
  • Conservare la documentazione per dieci anni, comprese le valutazioni dei rischi, i rapporti di prova e le dichiarazioni di conformità, in modo da poter risalire in qualsiasi momento durante un’ispezione a come è stata garantita la sicurezza.
  • Stabilisci un processo di gestione delle vulnerabilità e un centro di segnalazione per i problemi di sicurezza, in modo che i ricercatori esterni o i clienti possano segnalare immediatamente le falle scoperte.
  • Implementare meccanismi di sicurezza degli aggiornamenti (ad es. firma, verifica) per evitare manipolazioni durante la distribuzione.

Questi requisiti dettagliati chiariscono che il Cyber Resilience Act non si limita a stabilire degli standard minimi, ma richiede anche una gestione completa della sicurezza, dallo sviluppo al funzionamento fino al periodo di supporto.

Guida pratica per gli amministratori IT

Preparazione:

  • Rivedere i processi di approvvigionamento: in futuro acquistare solo prodotti conformi al CRA.
  • Documenta le informazioni sul ciclo di vita e integrale nella gestione degli asset.
  • Chiarisci le responsabilità del team IT e definisci i ruoli per la gestione degli aggiornamenti.
  • Allineare le linee guida interne con i requisiti della CRA e completare i processi mancanti.

Realizzazione:

  • Pianifica regolarmente gli aggiornamenti di sicurezza, anche se sono disponibili aggiornamenti automatici.
  • Iscriviti alle notifiche dei produttori e integrali nei processi interni.
  • Utilizza ambienti di prova per verificare gli aggiornamenti prima del rollout sui sistemi critici.
  • Utilizza interfacce con strumenti di ticketing o di monitoraggio per documentare automaticamente i processi di aggiornamento.

Convalida:

  • Testa le patch dopo l’installazione.
  • Controlla i log per verificare la presenza di anomalie dopo l’aggiornamento.
  • Eseguire scansioni della rete e della sicurezza per garantire che le vulnerabilità note siano state chiuse.
  • Generare rapporti di conformità che soddisfino i requisiti CRA.

Rollback e monitoraggio:

  • Mantenere i piani di rollback per i sistemi critici.
  • Usa il monitoraggio per riconoscere rapidamente i guasti dopo gli aggiornamenti.
  • Definisci gli allarmi in modo che gli errori critici siano immediatamente visibili.
  • Fornire liste di controllo per le emergenze in modo che le operazioni possano essere ripristinate rapidamente in caso di emergenza.

Raccomandazioni e buone pratiche

ArgomentoRaccomandazione
Selezione dei prodottiPreferire i produttori conformi alle norme CRA
Durata del supportoSeleziona i dispositivi con almeno 5 anni di aggiornamenti.
Gestione delle patchStabilire una gestione centralizzata degli aggiornamenti
DocumentazioneIncludere i dati SBOM e del ciclo di vita nell’inventario
ComunicazioneAutomatizza i messaggi di sicurezza del produttore

Impatto su Sophos e altre piattaforme

Sophos ha modificato la sua politica di aggiornamento del firmware nel 2022: Da allora, gli aggiornamenti sono disponibili solo con una licenza di assistenza valida. Le correzioni di sicurezza e gli aggiornamenti delle firme sono rimasti gratuiti, ma il firmware regolare no. Il Cyber Resilience Act sta costringendo i produttori come Sophos a rivedere questa separazione. In futuro, sarà probabilmente necessario distinguere tra “aggiornamenti funzionali” (a pagamento) e “correzioni di sicurezza” (gratuite).

Per gli amministratori IT, questo significa

Domande frequenti

Il Cyber Resilience Act si applica anche ai prodotti esistenti?

No, si applica ai prodotti immessi sul mercato per la prima volta a partire dall’11.12.2027.

Cosa succede ai vecchi dispositivi senza aggiornamenti?

I dispositivi privi di supporto alla sicurezza non saranno più conformi al CRA al termine del periodo di supporto e presenteranno dei rischi.

Gli aggiornamenti devono essere installati automaticamente?

Sì, per molti dispositivi consumer. Per i firewall o i sistemi critici, è sufficiente un’opzione manuale con notifica.

A quali sanzioni vanno incontro i produttori?

Fino a 15 milioni di euro o il 2,5% delle vendite annuali globali.

Che ruolo ha Avanet?

Avanet fornisce supporto nella pianificazione del ciclo di vita, nelle strategie di aggiornamento e nella selezione di prodotti conformi al Cyber Resilience Act.

Quali dati sono rilevanti per il Cyber Resilience Act?

Il regolamento è in vigore dal 10.12.2024; la maggior parte degli obblighi si applica a partire dall’11.12.2027. Gli obblighi di comunicazione iniziano già l’11.09.2026″. Fonti: EUR-Lex e diversi studi legali specializzati

Conclusione

Il Cyber Resilience Act creerà un quadro vincolante per la sicurezza informatica a partire dal 2027. Per Sophos e altri produttori, questo significa adeguare le strategie di aggiornamento e i periodi di supporto. Per gli amministratori, significa maggiore affidabilità negli aggiornamenti e nella pianificazione del ciclo di vita. È il momento giusto per allineare i processi di approvvigionamento e le strategie di aggiornamento ai requisiti del CRA.

Patrizio
Patrizio

Patrizio è un esperto specialista di rete specializzato in firewall, switch e access point Sophos. Supporta i clienti o il loro reparto IT nella configurazione e nella migrazione dei firewall Sophos e garantisce una sicurezza di rete ottimale attraverso una segmentazione pulita e la gestione delle regole del firewall.

Iscrizione alla newsletter

Inviamo una newsletter mensile con tutti i post del blog di quel mese.