{"id":168896,"date":"2025-08-04T07:47:00","date_gmt":"2025-08-04T06:47:00","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/cyber-resilience-act-sophos-firewall\/"},"modified":"2025-09-18T14:19:46","modified_gmt":"2025-09-18T13:19:46","slug":"cyber-resilience-act-sophos-firewall","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/it\/blog\/cyber-resilience-act-sophos-firewall\/","title":{"rendered":"Cyber Resilience Act: nuovi obblighi per i produttori e impatto su Sophos Firewall"},"content":{"rendered":"\n<p>Il Cyber Resilience Act cambier\u00e0 le regole per i produttori di prodotti digitali a partire dal 2027. Gli aggiornamenti di sicurezza dovranno essere forniti gratuitamente, i periodi di assistenza dovranno essere chiaramente definiti e la sicurezza dovr\u00e0 essere dimostrata in fase di progettazione. Questo significa maggiore trasparenza per gli amministratori IT e modifiche alla strategia di aggiornamento per fornitori come Sophos.  <\/p>\n\n<p><strong>Breve panoramica<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Il regolamento UE si applica a partire dall&#8217;11.12.2027<\/li>\n\n\n\n<li>Sono richiesti almeno cinque anni di aggiornamenti di sicurezza gratuiti<\/li>\n\n\n\n<li>Obbligo di progettazione sicura, documentazione e processi di reporting<\/li>\n\n\n\n<li>Sophos deve adattare la sua politica di aggiornamento<\/li>\n\n\n\n<li>Gli amministratori IT ottengono una maggiore sicurezza nella pianificazione<\/li>\n<\/ul>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Argomenti<\/h2><nav><ul><li class=\"\"><a href=\"#warum-das-thema-jetzt-relevant-ist\">Perch\u00e9 l&#8217;argomento \u00e8 attuale<\/a><\/li><li class=\"\"><a href=\"#was-sich-andert-oder-was-neu-ist\">Cosa sta cambiando o cosa \u00e8 nuovo<\/a><\/li><li class=\"\"><a href=\"#technischer-uberblick\">Panoramica tecnica<\/a><\/li><li class=\"\"><a href=\"#praxisleitfaden-fur-it-administratoren\">Guida pratica per gli amministratori IT<\/a><\/li><li class=\"\"><a href=\"#empfehlungen-und-best-practices\">Raccomandazioni e buone pratiche<\/a><\/li><li class=\"\"><a href=\"#auswirkungen-auf-sophos-und-andere-plattformen\">Impatto su Sophos e altre piattaforme<\/a><\/li><li class=\"\"><a href=\"#haufige-fragen\">Domande frequenti<\/a><ul><li class=\"\"><a href=\"#faq-question-1758003889771\">Il Cyber Resilience Act si applica anche ai prodotti esistenti?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003903517\">Cosa succede ai vecchi dispositivi senza aggiornamenti?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003913172\">Gli aggiornamenti devono essere installati automaticamente?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003927303\">A quali sanzioni vanno incontro i produttori?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003941910\">Che ruolo ha Avanet?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758012263652\">Quali dati sono rilevanti per il Cyber Resilience Act?<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#fazit\">Conclusione<\/a><\/li><li class=\"\"><a href=\"#weiterfuhrende-links\">Ulteriori link<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"warum-das-thema-jetzt-relevant-ist\">Perch\u00e9 l&#8217;argomento \u00e8 attuale<\/h2>\n\n<p>Il Cyber Resilience Act \u00e8 in vigore dalla fine del 2024. Produttori e clienti hanno tempo fino al dicembre 2027 per convertire i loro processi. Per la sicurezza informatica in Europa, questo significa uno standard vincolante: i prodotti privi di aggiornamenti di sicurezza e di informazioni poco chiare sul ciclo di vita dovranno sparire.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"was-sich-andert-oder-was-neu-ist\">Cosa sta cambiando o cosa \u00e8 nuovo<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><strong>Aggiornamenti di sicurezza gratuiti:<\/strong> I produttori non sono pi\u00f9 autorizzati a mettere le patch critiche dietro un paywall.<\/li>\n\n\n\n<li><strong>Periodi di supporto trasparenti:<\/strong> almeno cinque anni di aggiornamenti o indicazione esplicita di termini pi\u00f9 brevi.<\/li>\n\n\n\n<li><strong>Marchio CE:<\/strong> a partire dal 2027, il marchio CE confermer\u00e0 anche la conformit\u00e0 alla sicurezza informatica.<\/li>\n\n\n\n<li><strong>Obblighi di segnalazione:<\/strong> Gli incidenti di sicurezza devono essere segnalati alle autorit\u00e0 entro 24 ore. Per la precisione: Allarme preventivo entro 24 ore, ulteriore notifica entro 72 ore; i destinatari sono il CSIRT designato (coordinatore) e l&#8217;ENISA tramite la piattaforma centrale. <\/li>\n\n\n\n<li><strong>Sanzioni elevate:<\/strong> fino a 15 milioni di euro o il 2,5% del fatturato per i reati.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"technischer-uberblick\">Panoramica tecnica<\/h2>\n\n<p>Il Cyber Resilience Act si rivolge a tutti i &#8220;prodotti con elementi digitali&#8221;. Ci\u00f2 include i tradizionali sistemi aziendali come firewall, router e sistemi operativi, ma anche i dispositivi IoT nel settore consumer e i software critici per la sicurezza. I requisiti riguardano quindi praticamente l&#8217;intero ecosistema dei prodotti in rete. I produttori devono rispettare i seguenti obblighi previsti dal Cyber Resilience Act:   <\/p>\n\n<ul class=\"wp-block-list\">\n<li>Dimostrare la sicurezza per progettazione (ad esempio, impostazioni predefinite sicure, crittografia, protocolli collaudati, indurimento contro gli attacchi DoS).<\/li>\n\n\n\n<li>Mantenere una distinta base del software (SBOM) che elenchi dettagliatamente tutti i componenti, le librerie e le dipendenze rilevanti, al fine di creare trasparenza per gli aggiornamenti e la gestione delle vulnerabilit\u00e0.<\/li>\n\n\n\n<li>Offri opzioni di aggiornamento automatico, almeno per le correzioni critiche per la sicurezza, e assicurati che questi aggiornamenti possano essere installati senza interruzioni o disturbi significativi. Per gli ambienti professionali, deve essere prevista anche un&#8217;opzione di installazione controllata e temporizzata. <\/li>\n\n\n\n<li>Conservare la documentazione per dieci anni, comprese le valutazioni dei rischi, i rapporti di prova e le dichiarazioni di conformit\u00e0, in modo da poter risalire in qualsiasi momento durante un&#8217;ispezione a come \u00e8 stata garantita la sicurezza.<\/li>\n\n\n\n<li>Stabilisci un processo di gestione delle vulnerabilit\u00e0 e un centro di segnalazione per i problemi di sicurezza, in modo che i ricercatori esterni o i clienti possano segnalare immediatamente le falle scoperte.<\/li>\n\n\n\n<li>Implementare meccanismi di sicurezza degli aggiornamenti (ad es. firma, verifica) per evitare manipolazioni durante la distribuzione.<\/li>\n<\/ul>\n\n<p>Questi requisiti dettagliati chiariscono che il Cyber Resilience Act non si limita a stabilire degli standard minimi, ma richiede anche una gestione completa della sicurezza, dallo sviluppo al funzionamento fino al periodo di supporto.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"praxisleitfaden-fur-it-administratoren\">Guida pratica per gli amministratori IT<\/h2>\n\n<p><strong>Preparazione:<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Rivedere i processi di approvvigionamento: in futuro acquistare solo prodotti conformi al CRA.<\/li>\n\n\n\n<li>Documenta le informazioni sul ciclo di vita e integrale nella gestione degli asset.<\/li>\n\n\n\n<li>Chiarisci le responsabilit\u00e0 del team IT e definisci i ruoli per la gestione degli aggiornamenti.<\/li>\n\n\n\n<li>Allineare le linee guida interne con i requisiti della CRA e completare i processi mancanti.<\/li>\n<\/ul>\n\n<p><strong>Realizzazione:<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Pianifica regolarmente gli aggiornamenti di sicurezza, anche se sono disponibili aggiornamenti automatici.<\/li>\n\n\n\n<li>Iscriviti alle notifiche dei produttori e integrali nei processi interni.<\/li>\n\n\n\n<li>Utilizza ambienti di prova per verificare gli aggiornamenti prima del rollout sui sistemi critici.<\/li>\n\n\n\n<li>Utilizza interfacce con strumenti di ticketing o di monitoraggio per documentare automaticamente i processi di aggiornamento.<\/li>\n<\/ul>\n\n<p><strong>Convalida:<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Testa le patch dopo l&#8217;installazione.<\/li>\n\n\n\n<li>Controlla i log per verificare la presenza di anomalie dopo l&#8217;aggiornamento.<\/li>\n\n\n\n<li>Eseguire scansioni della rete e della sicurezza per garantire che le vulnerabilit\u00e0 note siano state chiuse.<\/li>\n\n\n\n<li>Generare rapporti di conformit\u00e0 che soddisfino i requisiti CRA.<\/li>\n<\/ul>\n\n<p><strong>Rollback e monitoraggio:<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Mantenere i piani di rollback per i sistemi critici.<\/li>\n\n\n\n<li>Usa il monitoraggio per riconoscere rapidamente i guasti dopo gli aggiornamenti.<\/li>\n\n\n\n<li>Definisci gli allarmi in modo che gli errori critici siano immediatamente visibili.<\/li>\n\n\n\n<li>Fornire liste di controllo per le emergenze in modo che le operazioni possano essere ripristinate rapidamente in caso di emergenza.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"empfehlungen-und-best-practices\">Raccomandazioni e buone pratiche<\/h2>\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Argomento<\/th><th>Raccomandazione<\/th><\/tr><\/thead><tbody><tr><td>Selezione dei prodotti<\/td><td>Preferire i produttori conformi alle norme CRA<\/td><\/tr><tr><td>Durata del supporto<\/td><td>Seleziona i dispositivi con almeno 5 anni di aggiornamenti. <\/td><\/tr><tr><td>Gestione delle patch<\/td><td>Stabilire una gestione centralizzata degli aggiornamenti<\/td><\/tr><tr><td>Documentazione<\/td><td>Includere i dati SBOM e del ciclo di vita nell&#8217;inventario<\/td><\/tr><tr><td>Comunicazione<\/td><td>Automatizza i messaggi di sicurezza del produttore<\/td><\/tr><\/tbody><\/table><\/figure>\n\n<h2 class=\"wp-block-heading\" id=\"auswirkungen-auf-sophos-und-andere-plattformen\">Impatto su Sophos e altre piattaforme<\/h2>\n\n<p>Sophos ha modificato la sua politica di aggiornamento del firmware nel 2022: Da allora, gli aggiornamenti sono disponibili solo con una licenza di assistenza valida. Le correzioni di sicurezza e gli aggiornamenti delle firme sono rimasti gratuiti, ma il firmware regolare no. Il Cyber Resilience Act sta costringendo i produttori come Sophos a rivedere questa separazione. In futuro, sar\u00e0 probabilmente necessario distinguere tra &#8220;aggiornamenti funzionali&#8221; (a pagamento) e &#8220;correzioni di sicurezza&#8221; (gratuite).   <\/p>\n\n<p>Per gli amministratori IT, questo significa<\/p>\n\n<ul class=\"wp-block-list\">\n<li>Maggiore chiarezza sui periodi di supporto degli apparecchi.<\/li>\n\n\n\n<li>Accesso affidabile alle patch critiche per la sicurezza, anche senza licenza.<\/li>\n\n\n\n<li>Maggiore trasparenza dei <a href=\"https:\/\/www.avanet.com\/it\/kb\/sophos-product-lifecycle-calendario-end-of-sale-end-of-life\/\">dati relativi al ciclo di vita e alla fine del ciclo di vita<\/a>.<\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"haufige-fragen\">Domande frequenti<\/h2>\n<div id=\"rank-math-faq\" class=\"rank-math-block\">\n<div class=\"rank-math-list \">\n<div id=\"faq-question-1758003889771\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Il Cyber Resilience Act si applica anche ai prodotti esistenti?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>No, si applica ai prodotti immessi sul mercato per la prima volta a partire dall&#8217;11.12.2027.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003903517\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Cosa succede ai vecchi dispositivi senza aggiornamenti?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>I dispositivi privi di supporto alla sicurezza non saranno pi\u00f9 conformi al CRA al termine del periodo di supporto e presenteranno dei rischi.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003913172\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Gli aggiornamenti devono essere installati automaticamente?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>S\u00ec, per molti dispositivi consumer. Per i firewall o i sistemi critici, \u00e8 sufficiente un&#8217;opzione manuale con notifica. <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003927303\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">A quali sanzioni vanno incontro i produttori?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Fino a 15 milioni di euro o il 2,5% delle vendite annuali globali.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003941910\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Che ruolo ha Avanet?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Avanet fornisce supporto nella pianificazione del ciclo di vita, nelle strategie di aggiornamento e nella selezione di prodotti conformi al Cyber Resilience Act.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758012263652\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Quali dati sono rilevanti per il Cyber Resilience Act?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Il regolamento \u00e8 in vigore dal 10.12.2024; la maggior parte degli obblighi si applica a partire dall&#8217;11.12.2027. Gli obblighi di comunicazione iniziano gi\u00e0 l&#8217;11.09.2026&#8243;. Fonti: EUR-Lex e diversi studi legali specializzati  <\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<h2 class=\"wp-block-heading\" id=\"fazit\">Conclusione<\/h2>\n\n<p>Il Cyber Resilience Act creer\u00e0 un quadro vincolante per la sicurezza informatica a partire dal 2027. Per Sophos e altri produttori, questo significa adeguare le strategie di aggiornamento e i periodi di supporto. Per gli amministratori, significa maggiore affidabilit\u00e0 negli aggiornamenti e nella pianificazione del ciclo di vita. \u00c8 il momento giusto per allineare i processi di approvvigionamento e le strategie di aggiornamento ai requisiti del CRA.   <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"weiterfuhrende-links\">Ulteriori link<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.avanet.com\/it\/blog\/gli-aggiornamenti-di-sophos-firewall-non-sono-piu-gratuiti\/\">Avanet KB: gli aggiornamenti di Sophos Firewall non sono pi\u00f9 gratuiti<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.avanet.com\/en\/kb\/sophos-firewall-threat-feeds\/\">Avanet KB: Feed delle minacce di Sophos Firewall<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cyber-resilience-act\" target=\"_blank\" rel=\"noopener\">Commissione UE: legge sulla resilienza informatica<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Il Cyber Resilience Act cambier\u00e0 le regole per i produttori di prodotti digitali a partire dal 2027. Gli aggiornamenti di sicurezza dovranno essere forniti gratuitamente, i periodi di assistenza dovranno essere chiaramente definiti e la sicurezza dovr\u00e0 essere dimostrata in fase di progettazione. Questo significa maggiore trasparenza per gli amministratori IT e modifiche alla strategia [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":168837,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[375],"tags":[],"class_list":["post-168896","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorizzato"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/posts\/168896","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/comments?post=168896"}],"version-history":[{"count":0,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/posts\/168896\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media\/168837"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media?parent=168896"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/categories?post=168896"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/tags?post=168896"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}