Conformità CRA per i Fornitori Automotive: Allineamento UN R155/R156 e Guida Aftermarket

L'industria automobilistica ha le proprie normative sulla sicurezza informatica , UN R155 (CSMS) e R156 (SUMS) per l'omologazione dei veicoli. Tuttavia, molti prodotti correlati all'automotive rientrano ancora nel CRA. Comprendere quale normativa si applica è essenziale per OEM, fornitori di livello e produttori di prodotti aftermarket.

Questa guida chiarisce l'applicabilità del CRA ai prodotti automotive.

L'Esenzione Automotive nel CRA

Cosa Dice il CRA

L'Articolo 2(2) del CRA esenta determinati prodotti automobilistici:

"Il presente regolamento non si applica ai prodotti con elementi digitali che sono [...] veicoli a motore e loro rimorchi, nonché sistemi, componenti e unità tecniche separate progettati e costruiti per tali veicoli, che sono regolamentati da [regolamenti di omologazione]..."

Esenzione chiave: I prodotti coperti dal Regolamento UN n. 155 (sicurezza informatica) e n. 156 (aggiornamenti software) nell'ambito del quadro di omologazione UE sono esenti dal CRA.

Perché Esiste l'Esenzione

UN R155 e R156 richiedono già:

• Sistema di gestione della sicurezza informatica (CSMS)
• Sistema di gestione degli aggiornamenti software (SUMS)
• Valutazione della sicurezza informatica all'omologazione
• Monitoraggio continuo della sicurezza informatica

L'UE ha evitato la doppia regolamentazione esentando i prodotti automotive omologati dal CRA.

Comprendere Cosa è Esente

Veicoli e Componenti Omologati

ESENTI dal CRA:

PRODOTTI ESENTI DA OMOLOGAZIONE

VEICOLI COMPLETI:
- Autovetture (M1)
- Autobus e pullman (M2, M3)
- Camion (N1, N2, N3)
- Rimorchi (categorie O)
- Veicoli a due/tre ruote (categoria L, dal 2024)

COMPONENTI OEM (come montati su veicoli nuovi):
- Centraline elettroniche (ECU)
- Sistemi di infotainment (montati da OEM)
- Componenti ADAS
- Unità telematiche per veicoli connessi
- Sistemi di navigazione OEM
- Moduli di controllo carrozzeria
- ECU gateway

PARTI DI RICAMBIO (sostituzione dell'originale):
- ECU di ricambio (stesse specifiche)
- Parti di ricambio originali

Prodotti NON Esenti (Si Applica il CRA)

PRODOTTI CHE RICHIEDONO CONFORMITÀ CRA

PRODOTTI AFTERMARKET:
- Dashcam aftermarket
- Dongle diagnostici OBD-II
- Localizzatori GPS aftermarket
- Sistemi di infotainment di terze parti
- Dispositivi di integrazione smartphone
- Sistemi di allarme aftermarket
- Dispositivi di tuning delle prestazioni

INFRASTRUTTURA DI RICARICA:
- Stazioni di ricarica EV
- Apparecchiature di ricarica domestica
- Software di gestione della ricarica
- Controller di ricarica intelligenti

GESTIONE FLOTTE:
- Dispositivi telematici (retrofit)
- Sistemi di tracciamento flotte
- Monitoraggio comportamento conducente
- Apparecchiature di tracciamento asset

ACCESSORI:
- Sensori pressione pneumatici connessi (aftermarket)
- Strumenti diagnostici
- Hotspot WiFi automotive
- Funzionalità connesse aftermarket

La Questione dei Fornitori di Livello

I Fornitori Tier 1/2/3 Sono Esenti?

Dipende da come viene venduto il componente:

ANALISI FORNITORI DI LIVELLO

SCENARIO 1: Vendita a OEM per Produzione Veicoli Nuovi
┌─────────────────────────────────────────────────┐
│ Componente → OEM → Veicolo Omologato            │
│                                                 │
│ Risultato: Componente coperto dall'omologazione │
│ del veicolo. UN R155/R156 si applicano via OEM. │
│ Il CRA NON si applica direttamente al fornitore.│
│                                                 │
│ MA: L'OEM richiederà prove CSMS da voi          │
└─────────────────────────────────────────────────┘

SCENARIO 2: Vendita Diretta a Utenti Finali/Mercato Riparazioni
┌─────────────────────────────────────────────────┐
│ Componente → Distribuzione → Utente/Officina    │
│                                                 │
│ Risultato: Non fa parte del processo di         │
│ omologazione.                                   │
│ Il CRA si applica a voi come produttore.        │
└─────────────────────────────────────────────────┘

SCENARIO 3: Componenti a Doppio Uso
┌─────────────────────────────────────────────────┐
│ Stesso componente venduto a OEM e aftermarket   │
│                                                 │
│ Risultato: Situazione complessa.                │
│ - A OEM: coperto dall'omologazione              │
│ - Aftermarket: si applica il CRA               │
│ - Considerare varianti di prodotto separate     │
└─────────────────────────────────────────────────┘

I Requisiti OEM Si Trasmettono

Anche se il CRA non si applica direttamente, gli OEM richiederanno prove di sicurezza informatica:

REQUISITI OEM PER FORNITORI DI LIVELLO

UN R155 RICHIEDE AGLI OEM DI:
- Identificare e gestire i rischi dei fornitori
- Garantire le capacità di sicurezza informatica dei fornitori
- Verificare i processi dei fornitori

QUESTO TIPICAMENTE SIGNIFICA:
- Requisiti di prove CSMS
- Richieste di conformità ISO/SAE 21434
- Valutazioni e audit di sicurezza
- Accordi di gestione delle vulnerabilità
- Requisiti SBOM (sempre più)

RISULTATO PRATICO:
Anche senza obbligo CRA diretto, avrete bisogno
di capacità simili per fornire gli OEM automotive

Allineamento ISO/SAE 21434 e CRA

Cos'è ISO/SAE 21434?

ISO/SAE 21434 "Veicoli stradali: Ingegneria della sicurezza informatica" è lo standard di sicurezza informatica automotive che copre:

• Gestione della sicurezza informatica
• Metodologia di valutazione del rischio
• Sviluppo prodotto
• Produzione e operazioni
• Risposta agli incidenti

Mappatura ISO/SAE 21434 ↔ CRA

Per i prodotti aftermarket dove si applica il CRA:

Usare ISO/SAE 21434 per il CRA

ISO/SAE 21434 → CONFORMITÀ CRA

SE avete un'implementazione ISO/SAE 21434:
→ Solida base di sicurezza tecnica
→ Riutilizzare l'analisi delle minacce e la valutazione del rischio
→ Sfruttare le prove del processo di sviluppo
→ Usare le capacità di risposta agli incidenti

AGGIUNTIVO PER IL CRA:
[ ] Generazione SBOM (non in ISO 21434)
[ ] Capacità di segnalazione ENISA
[ ] Processo di marcatura CE
[ ] Impegno di supporto 5 anni
[ ] Documentazione consumatore (se applicabile)

Prodotti Aftermarket in Dettaglio

Dashcam e DVR

CONFORMITÀ CRA DASHCAM

CLASSIFICAZIONE: Tipicamente categoria Default

SI APPLICA PERCHÉ:
- Non fa parte del veicolo omologato
- Venduto direttamente a consumatori/operatori flotte
- Installazione aftermarket

REQUISITI CHIAVE:
- Sicuro per default (WiFi, Bluetooth)
- Protezione della privacy (dati video)
- Meccanismo di aggiornamento
- Nessuna password di default
- SBOM per il firmware
- Supporto 5 anni

CONSIDERAZIONI AGGIUNTIVE:
- Privacy video (allineamento GDPR)
- Sicurezza dello storage cloud (se applicabile)
- Sicurezza delle app (app companion)

Dispositivi OBD-II

CONFORMITÀ CRA DONGLE OBD-II

CLASSIFICAZIONE: Potenzialmente Important Classe I
(interfaccia con i sistemi del veicolo)

SI APPLICA PERCHÉ:
- Prodotto aftermarket
- Si connette al veicolo ma non omologato
- Mercato consumatori/flotte

REQUISITI CHIAVE:
- Sicurezza della rete del veicolo (critica!)
- Protezione dei dati (i dati del veicolo sono sensibili)
- Comunicazione sicura
- Nessun comando veicolo non autorizzato
- Sicurezza del firmware
- SBOM

CONSIDERAZIONI SPECIALI:
- Accesso a reti critiche per la sicurezza
- Potenziali rischi di immobilizzazione del veicolo
- Implicazioni assicurative e di responsabilità
- Considerare le linee guida del settore (SAE J3061)

Apparecchiature di Ricarica EV

CONFORMITÀ CRA STAZIONE DI RICARICA EV

CLASSIFICAZIONE: Potenzialmente Important Classe I o II
(infrastruttura energetica)

SI APPLICA PERCHÉ:
- Non fa parte dell'omologazione del veicolo
- Prodotto di infrastruttura separato
- Connettività digitale

REQUISITI CHIAVE:
- Sicurezza della rete (infrastruttura energetica)
- Sicurezza dei pagamenti (se applicabile)
- Sicurezza del protocollo di comunicazione (OCPP)
- Sicurezza fisica
- Meccanismo di aggiornamento
- SBOM

ALLINEAMENTO STANDARD:
- IEC 61851 (ricarica EV)
- Linee guida di sicurezza OCPP
- Standard smart grid
- Requisiti essenziali CRA

Telematica Flotte

CONFORMITÀ CRA TELEMATICA FLOTTE

CLASSIFICAZIONE: Default o Important Classe I

SI APPLICA PERCHÉ:
- Installazione retrofit/aftermarket
- Non omologato con il veicolo
- Prodotto separato

REQUISITI CHIAVE:
- Protezione dei dati del veicolo
- Privacy della posizione
- Sicurezza delle comunicazioni
- Sicurezza della piattaforma di gestione
- Sicurezza del firmware del dispositivo
- SBOM

CONSIDERAZIONI COMMERCIALI:
- Prodotto B2B (può influire sulla documentazione)
- Requisiti dei clienti flotte
- Integrazione con piattaforme di gestione flotte

Considerazioni sulle Parti di Ricambio

Quando le Parti di Ricambio Sono Esenti?

ANALISI PARTI DI RICAMBIO

ESENTI (Probabilmente):
- Sostituzione diretta di parte OEM
- Stesse specifiche dell'originale
- Venduta come sostituzione per veicolo omologato
- Mantiene lo stato di omologazione del veicolo

NON ESENTI:
- Versioni aggiornate/migliorate
- Specifiche diverse
- Non corrispondenti all'omologazione originale
- Modifiche delle prestazioni

ZONA GRIGIA:
- Parti ricondizionate
- Parti equivalenti di terze parti
- Parti con modifiche software

RACCOMANDAZIONE:
Documentare chiaramente la base dell'esenzione.
In caso di dubbio, considerare la conformità CRA.

Percorsi Pratici di Conformità

Per i Produttori di Prodotti Aftermarket

PERCORSO CRA PRODOTTO AFTERMARKET

VALUTAZIONE:
[ ] Confermare non coperto da omologazione
[ ] Classificare secondo le categorie CRA
[ ] Identificare gli standard applicabili

APPROCCIO DI CONFORMITÀ:
[ ] Sfruttare ISO/SAE 21434 se già implementato
[ ] Implementare i requisiti essenziali CRA
[ ] Generare SBOM
[ ] Stabilire la gestione delle vulnerabilità
[ ] Preparare la segnalazione ENISA

DOCUMENTAZIONE:
[ ] Fascicolo tecnico
[ ] Valutazione del rischio
[ ] Documentazione utente
[ ] Dichiarazione di conformità
[ ] Marcatura CE

Per i Fornitori di Livello con Doppio Canale

FORNITORE DI LIVELLO CON OEM + AFTERMARKET

STRATEGIA 1: Prodotti Separati
- Variante OEM: fornitura sotto flusso omologazione
- Variante aftermarket: conforme CRA
- Chiara differenziazione dei prodotti

STRATEGIA 2: Conformità CRA per Tutti
- Applicare il CRA a tutte le varianti
- Supera comunque i requisiti OEM
- Gestione della conformità semplificata
- Documentazione prodotto unica

STRATEGIA 3: Approccio a Livelli
- Sicurezza di base per tutti (ISO 21434)
- Elementi CRA aggiuntivi per aftermarket
- Documentazione di base condivisa

Per gli OEM che Gestiscono i Requisiti dei Fornitori

GESTIONE FORNITORI OEM

REQUISITI UN R155:
- Verificare le capacità di sicurezza informatica dei fornitori
- Valutare i processi dei fornitori
- Monitorare i rischi dei fornitori

APPROCCIO PRATICO:
- Richiedere la conformità ISO/SAE 21434
- Richiedere prove di valutazione della sicurezza
- Includere requisiti SBOM nei contratti
- Stabilire accordi di condivisione delle vulnerabilità
- Definire requisiti di notifica degli incidenti

ALLINEAMENTO CON IL CRA:
Anche se il CRA non si applica ai componenti
omologati, richiedere prove simili al CRA
dai fornitori rafforza la vostra conformità UN R155

Standard e Risorse del Settore

Standard Rilevanti

STANDARD DI SICUREZZA INFORMATICA AUTOMOTIVE

ISO/SAE 21434: Veicoli stradali - Ingegneria della sicurezza informatica
Regolamento UN 155: Sicurezza informatica (CSMS)
Regolamento UN 156: Aggiornamento software (SUMS)

STANDARD DI SUPPORTO:
ISO/SAE 8000: Audit CSMS
ISO 24089: Ingegneria degli aggiornamenti software
Specifiche di sicurezza informatica AUTOSAR
SAE J3061: Guida alla sicurezza informatica

SPECIFICI PER LA RICARICA:
IEC 61851: Ricarica EV
OCPP (Open Charge Point Protocol)
ISO 15118: Comunicazione V2G

Organizzazioni del Settore

Checklist per i Prodotti Automotive

CHECKLIST CRA PRODOTTO AUTOMOTIVE

CLASSIFICAZIONE:
[ ] Il prodotto è coperto da omologazione? (Esente se sì)
[ ] È un prodotto aftermarket? (Si applica CRA)
[ ] È una parte di ricambio? (Valutare base esenzione)
[ ] È infrastruttura di ricarica? (Di solito CRA)

SE SI APPLICA IL CRA:
[ ] Classificazione CRA determinata
[ ] Percorso di valutazione di conformità selezionato
[ ] Documentazione tecnica preparata

CONFORMITÀ TECNICA:
[ ] Allineamento ISO/SAE 21434 sfruttato
[ ] Implementazione sicurezza per default
[ ] Sicurezza della rete del veicolo (se applicabile)
[ ] Meccanismo di aggiornamento
[ ] Generazione SBOM
[ ] Gestione delle vulnerabilità

DOCUMENTAZIONE:
[ ] Valutazione del rischio (metodologia TARA funziona)
[ ] Architettura di sicurezza
[ ] Documentazione utente
[ ] Dichiarazione di conformità
[ ] Marcatura CE

CONSIDERAZIONI SPECIALI:
[ ] Privacy dei dati del veicolo (GDPR)
[ ] Implicazioni di sicurezza valutate
[ ] Requisiti OEM (se fornitore)

Risorse Chiave

RISORSE SICUREZZA INFORMATICA AUTOMOTIVE

REGOLAMENTI:
Regolamento UN 155 (CSMS)
Regolamento UN 156 (SUMS)
https://unece.org/transport/vehicle-regulations

Omologazione UE:
Regolamento (UE) 2018/858
https://eur-lex.europa.eu

STANDARD:
ISO/SAE 21434:2021
Disponibile presso ISO o SAE

ORIENTAMENTI:
ENISA Good Practices for Security of Smart Cars
Auto-ISAC Best Practices

SETTORE:
Documenti di posizione CLEPA
VDA Automotive Cybersecurity

Guide correlate:

• Classificazione dei Prodotti CRA: Il Vostro Prodotto è Default, Important o Critical?
• CRA Supplier Due Diligence: Questionario e Checklist per Componenti Open Source

Come CRA Evidence Aiuta

Per i prodotti automotive aftermarket che richiedono conformità CRA:

• Mappatura ISO/SAE 21434: Sfruttare il lavoro di sicurezza automotive esistente
• SBOM per embedded: Supporto per componenti firmware automotive
• Tracciamento vulnerabilità: Coordinamento della catena di fornitura automotive
• Gestione multi-prodotto: Gestire famiglie di prodotti attraverso i canali
• Generazione fascicolo tecnico: Modelli appropriati per l'automotive

Inizia la tua conformità CRA su app.craevidence.com.

Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, in particolare riguardo ai confini dell'omologazione, consultare un consulente normativo qualificato.