Cyber Resilience Act: nuovi obblighi per i produttori e impatto su Sophos Firewall
Dal 2027 il Cyber Resilience Act cambia le regole per i produttori di prodotti digitali. Gli aggiornamenti di sicurezza devono essere messi a disposizione gratuitamente, i periodi di supporto devono essere definiti in modo chiaro e la sicurezza deve essere dimostrabile già in fase di design. Per gli amministratori IT questo porta maggiore trasparenza; per fornitori come Sophos richiede adeguamenti nella strategia di aggiornamento.
Breve panoramica
- Il regolamento UE si applica dall'11.12.2027
- Richiesti almeno cinque anni di aggiornamenti di sicurezza gratuiti
- Obbligo di secure design, documentazione e processi di segnalazione
- Sophos deve adeguare la propria politica di aggiornamento
- Gli amministratori IT ottengono maggiore sicurezza di pianificazione
Perché il tema è rilevante ora
Il Cyber Resilience Act è in vigore dalla fine del 2024. Produttori e clienti hanno tempo fino a dicembre 2027 per adeguare i propri processi. Per la sicurezza IT in Europa significa uno standard vincolante: prodotti senza security update e con informazioni di lifecycle poco chiare dovrebbero sparire.
Cosa cambia o cosa c’è di nuovo
- Aggiornamenti di sicurezza gratuiti: i produttori non potranno più mettere le patch critiche dietro un paywall.
- Periodi di supporto trasparenti: almeno cinque anni di aggiornamenti oppure indicazione esplicita di durate più brevi.
- Marcatura CE: dal 2027 il marchio CE confermerà anche la conformità cyber.
- Obblighi di segnalazione: gli incidenti di sicurezza devono essere segnalati alle autorità entro 24 ore. Più precisamente: early warning entro 24 ore, ulteriore segnalazione entro 72 ore; i destinatari sono il CSIRT designato (coordinatore) ed ENISA tramite la piattaforma centrale.
- Sanzioni elevate: fino a 15 milioni di euro o al 2,5 % del fatturato in caso di violazioni.
Panoramica tecnica
Il Cyber Resilience Act si rivolge a tutti i “prodotti con elementi digitali”. Rientrano sistemi aziendali classici come firewall, router e sistemi operativi, ma anche dispositivi IoT consumer e software rilevante per la sicurezza. I requisiti riguardano quindi praticamente l’intero ecosistema dei prodotti connessi. Ai sensi del Cyber Resilience Act, i produttori devono soddisfare i seguenti obblighi:
- Dimostrare la Security by Design (ad es. impostazioni predefinite sicure, cifratura, protocolli verificati, hardening contro attacchi DoS).
- Mantenere una Software Bill of Materials (SBOM) che elenchi in dettaglio tutti i componenti, le librerie e le dipendenze rilevanti, così da creare trasparenza per aggiornamenti e gestione delle vulnerabilità.
- Offrire opzioni di auto-update, almeno per i fix critici di sicurezza, e garantire che questi aggiornamenti possano essere installati senza interruzioni o impatti significativi. Per gli ambienti professionali deve inoltre esistere un’opzione per l’installazione controllata e programmata.
- Conservare la documentazione per dieci anni, incluse valutazioni del rischio, rapporti di test e dichiarazioni di conformità, in modo che durante un audit sia sempre possibile ricostruire come è stata garantita la sicurezza.
- Istituire un processo di vulnerability management e un punto di contatto per segnalazioni di sicurezza, affinché ricercatori esterni o clienti possano comunicare subito le vulnerabilità scoperte.
- Implementare meccanismi per aggiornamenti sicuri (ad es. firma, verifica), così da escludere manipolazioni durante la distribuzione.
Questi requisiti dettagliati mostrano chiaramente che il Cyber Resilience Act non stabilisce solo standard minimi, ma richiede una gestione completa della sicurezza dallo sviluppo all’esercizio fino al periodo di supporto.
Guida pratica per gli amministratori IT
Preparazione:
- Verificare i processi di procurement: in futuro acquistare solo prodotti conformi al CRA.
- Documentare le informazioni di lifecycle e integrarle nell’asset management.
- Chiarire le responsabilità nel team IT e definire i ruoli per l’update management.
- Allineare le policy interne ai requisiti CRA e integrare i processi mancanti.
Implementazione:
- Pianificare regolarmente gli aggiornamenti di sicurezza, anche se sono disponibili aggiornamenti automatici.
- Sottoscrivere le notifiche dei produttori e integrarle nei processi interni.
- Usare ambienti di test per verificare gli aggiornamenti prima del rollout sui sistemi critici.
- Usare interfacce verso strumenti di ticketing o monitoring per documentare automaticamente i processi di aggiornamento.
Validazione:
- Testare le patch dopo l’installazione.
- Controllare i log per anomalie dopo l’aggiornamento.
- Eseguire scansioni di rete e di sicurezza per assicurarsi che le vulnerabilità note siano state chiuse.
- Generare report di compliance conformi ai requisiti CRA.
Rollback & monitoraggio:
- Mantenere piani di rollback per i sistemi critici.
- Usare il monitoraggio per riconoscere rapidamente eventuali interruzioni dopo gli aggiornamenti.
- Definire alert in modo che gli errori critici siano subito visibili.
- Mettere a disposizione checklist di emergenza per ripristinare rapidamente l’operatività in caso di incidente.
Raccomandazioni e best practice
| Tema | Raccomandazione |
|---|---|
| Scelta del prodotto | Preferire produttori conformi al CRA |
| Durata del supporto | Scegliere dispositivi con impegno di aggiornamento di almeno 5 anni |
| Patch management | Stabilire una gestione centralizzata degli aggiornamenti |
| Documentazione | Inserire SBOM e dati di lifecycle nell’inventario |
| Comunicazione | Automatizzare le notifiche di sicurezza dei produttori |
Impatto su Sophos e altre piattaforme
Nel 2022 Sophos ha modificato la propria politica sugli aggiornamenti firmware: da allora gli aggiornamenti sono disponibili solo con una licenza di supporto valida. I security fix e gli aggiornamenti delle firme sono rimasti gratuiti, ma il firmware regolare no. Il Cyber Resilience Act costringe produttori come Sophos a ripensare questa separazione. Probabilmente in futuro sarà necessario distinguere tra “feature update” (a pagamento) e “security fix” (gratuiti).
Per gli amministratori IT significa:
- Maggiore chiarezza sui periodi di supporto delle appliance.
- Accesso affidabile alle patch critiche per la sicurezza, anche senza licenza.
- Maggiore trasparenza su lifecycle e date di end-of-life.
Domande frequenti
Il Cyber Resilience Act si applica anche ai prodotti esistenti?
No, si applica ai prodotti immessi sul mercato come nuovi a partire dall'11.12.2027.
Cosa succede ai vecchi dispositivi senza aggiornamenti?
I dispositivi senza supporto di sicurezza, dopo la scadenza del periodo di supporto, non saranno più conformi al CRA e comporteranno rischi.
Gli aggiornamenti devono essere installati automaticamente?
Per molti dispositivi consumer sì. Per firewall o sistemi critici è sufficiente un’opzione manuale con notifica.
Quali sanzioni rischiano i produttori?
Fino a 15 milioni di euro o al 2,5 % del fatturato annuo mondiale.
Quale ruolo svolge Avanet?
Avanet supporta nella pianificazione del lifecycle, nelle strategie di aggiornamento e nella scelta di prodotti conformi al Cyber Resilience Act.
Quali date sono rilevanti per il Cyber Resilience Act?
Il regolamento è in vigore dal 10.12.2024; la maggior parte degli obblighi si applica dall'11.12.2027. Gli obblighi di segnalazione iniziano già l'11.09.2026. Fonti: EUR-Lex e diversi studi legali.
Conclusione
Dal 2027 il Cyber Resilience Act crea un quadro vincolante per la sicurezza IT. Per Sophos e altri produttori significa adeguamenti nelle strategie di aggiornamento e nei periodi di supporto. Per gli amministratori porta maggiore affidabilità negli aggiornamenti e nella pianificazione del lifecycle. Ora è il momento giusto per allineare processi di procurement e strategie di aggiornamento ai requisiti CRA.
Link aggiuntivi
