Conformità CRA per l'Automazione Industriale: Allineamento IEC 62443 e Guida alla Sicurezza OT

I prodotti di automazione industriale affrontano sfide CRA specifiche a causa del loro ruolo critico nella produzione, energia e infrastrutture. Molti rientrano nella categoria Important Classe II, che richiede valutazione di conformità di terze parti. Fortunatamente, lo standard ben consolidato IEC 62443 fornisce una solida base per la conformità CRA.

Questa guida copre la conformità CRA per i produttori di automazione industriale.

Quali Prodotti Industriali Sono Coperti?

Ambito CRA per l'Automazione Industriale

Il CRA si applica ai "prodotti con elementi digitali" immessi sul mercato UE. Per l'automazione industriale, questo include:

Chiaramente in ambito:

• PLC (Controllori Logici Programmabili)
• PC industriali e HMI
• Software SCADA
• Sistemi DCS
• Sensori e gateway IoT industriali
• Router e switch industriali
• Soluzioni di accesso remoto
• Stazioni di ingegneria e software

Possono applicarsi esenzioni:

• Prodotti esclusivamente per sicurezza nazionale
• Prodotti progettati per uso militare
• Sistemi industriali personalizzati unici (possono qualificarsi come "ricambi")

Classificazione CRA per Prodotti Industriali

La maggior parte dei prodotti di automazione industriale rientra in Important Classe I o II:

CLASSIFICAZIONE CRA AUTOMAZIONE INDUSTRIALE

IMPORTANT CLASSE II (Terze parti richieste):
- Firewall per uso industriale
- Sistemi IDS/IPS industriali
- Microcontrollori con funzionalità di sicurezza
- HSM per applicazioni industriali
- Smart meter (infrastruttura energetica)
- Router industriali in infrastrutture critiche

IMPORTANT CLASSE I (Auto-valutazione possibile con standard armonizzati):
- PLC e controllori industriali
- Software SCADA/DCS
- Gateway IoT industriali
- Soluzioni accesso remoto/VPN
- Apparecchiature di rete industriali

CATEGORIA DEFAULT (Auto-valutazione):
- Sensori base (senza capacità di rete)
- Periferiche industriali semplici
- Apparecchiature non connesse

VERIFICARE CON FONTE PRIMARIA: La classificazione dipende dalle capacità specifiche del prodotto. Consultare gli Allegati III e IV del CRA per la classificazione definitiva.

Allineamento IEC 62443 e CRA

Cos'è IEC 62443?

IEC 62443 è la serie di standard internazionali per la sicurezza dei sistemi di automazione e controllo industriale (IACS). Copre:

• IEC 62443-4-1: Ciclo di sviluppo sicuro
• IEC 62443-4-2: Requisiti di sicurezza dei componenti (4 Livelli di Sicurezza)
• IEC 62443-3-3: Requisiti di sicurezza di sistema
• IEC 62443-2-4: Requisiti per i fornitori di servizi

Mappatura IEC 62443 ↔ CRA

IEC 62443 come Base, Non Equivalenza

Importante: La certificazione IEC 62443 NON significa automaticamente conformità CRA.

Cosa fornisce IEC 62443:

• Solida base tecnica di sicurezza
• Ciclo di sviluppo della sicurezza maturo
• Capacità di sicurezza ben documentate
• Prove per la valutazione di conformità

Cosa aggiunge il CRA oltre IEC 62443:

• Requisiti SBOM (nuovo)
• Segnalazione vulnerabilità specifica a ENISA (24h/72h)
• Marcatura CE e Dichiarazione di Conformità
• Impegno minimo di supporto 5 anni
• Requisiti specifici di formato documentazione
• Coordinamento della sorveglianza di mercato

Sfruttare IEC 62443 per il CRA

IEC 62443 → APPROCCIO CONFORMITÀ CRA

SE avete certificazione IEC 62443-4-1:
→ Riutilizzare documentazione SDL per fascicolo tecnico CRA
→ Dimostrare "ciclo di sviluppo sicuro"
→ Prove per approccio valutazione rischi

SE avete certificazione IEC 62443-4-2:
→ Riutilizzare documentazione capacità di sicurezza
→ Mappare Livello di Sicurezza a requisiti essenziali CRA
→ Prove per implementazione funzioni di sicurezza

AGGIUNTIVO PER CRA:
[ ] Aggiungere generazione SBOM al vostro processo
[ ] Implementare capacità segnalazione ENISA
[ ] Documentare impegno supporto 5 anni
[ ] Preparare Dichiarazione di Conformità UE
[ ] Applicare marcatura CE

Sfide di Conformità Specifiche OT

Sfide di Aggiornamento e Patching

Gli ambienti industriali hanno vincoli unici sugli aggiornamenti:

Sfide:

• Operazioni 24/7, nessuna finestra di manutenzione
• Rivalidazione sistemi di sicurezza dopo aggiornamenti
• Integrazione sistemi legacy
• Ambienti air-gapped o semi-connessi
• Lunghi cicli di qualificazione

I Requisiti CRA Si Applicano Comunque:

• Deve fornire aggiornamenti di sicurezza per 5+ anni
• Deve avere meccanismo per consegnare aggiornamenti
• Deve correggere vulnerabilità in tempo ragionevole

Approcci Pratici:

STRATEGIA AGGIORNAMENTO OT PER CRA

1. ROLLOUT A FASI:
   - Prima ambienti di test
   - Linee di produzione pilota
   - Rollout completo con monitoraggio

2. SCHEDULAZIONE AGGIORNAMENTI:
   - Coordinare con manutenzione pianificata
   - Fornire preavviso (settimane/mesi)
   - Supportare cicli di aggiornamento programmati

3. CONSEGNA OFFLINE:
   - Pacchetti aggiornamento su USB
   - Server aggiornamento nella rete OT
   - Meccanismi trasferimento file sicuri

4. RIVALIDAZIONE SAFETY:
   - Documentare impatto aggiornamenti su funzioni safety
   - Fornire guida rivalidazione
   - Considerare co-engineering safety-security

Lunghi Cicli di Vita Prodotto

I prodotti industriali hanno spesso cicli di vita di 15-20+ anni, ma il CRA richiede solo un minimo di 5 anni.

Pianificazione Ciclo di Vita:

CICLO DI VITA PRODOTTO INDUSTRIALE + CRA

Anno 1-5:   Vendite attive + periodo supporto CRA (minimo)
Anno 5-10:  Supporto esteso (può continuare aggiornamenti sicurezza)
Anno 10-15: Supporto legacy (aggiornamenti limitati, rischio cliente)
Anno 15+:   Fine vita (responsabilità cliente)

REQUISITI CRA:
- Minimo 5 anni dalla data di vendita di ogni unità
- O più lungo se aspettativa di vita prodotto supera 5 anni
- Pianificare periodo supporto basato su vita ragionevole del prodotto

Necessità Documentazione:

• Comunicare chiaramente periodo supporto all'acquisto
• Fornire data fine supporto
• Documentare responsabilità cliente post-supporto

Integrazione Safety-Security

I prodotti industriali hanno spesso requisiti safety (livelli SIL secondo IEC 61508/ISO 13849). Il CRA aggiunge requisiti di security.

Approccio di Integrazione:

CO-ENGINEERING SAFETY + SECURITY

Standard Safety:           Standard Security:
IEC 61508 (Funzionale)     IEC 62443 (Industriale)
ISO 13849 (Macchine)       CRA (Regolamento UE)

PUNTI DI INTEGRAZIONE:
1. Valutazione Rischi:
   - Threat modeling combinato safety/security
   - Minacce security alle funzioni safety

2. Requisiti:
   - Requisiti safety (SIL 1-4)
   - Requisiti security (SL 1-4)
   - Nessuna misura security deve compromettere safety

3. Validazione:
   - Validazione safety
   - Test security
   - Test scenari combinati

4. Gestione Cambiamenti:
   - Rivalidazione safety per patch security
   - Valutazione security per cambiamenti safety

SBOM per Sistemi Industriali

Sfide Identificazione Componenti

I prodotti industriali contengono spesso:

• Sistemi operativi real-time (RTOS)
• Firmware proprietario
• Librerie di terze parti (stack OPC UA, MQTT, Modbus)
• Componenti hardware con firmware

Strategia SBOM:

APPROCCIO SBOM INDUSTRIALE

COMPONENTI SOFTWARE:
- RTOS e kernel
- Stack protocolli (OPC UA, Modbus, EtherNet/IP, PROFINET)
- Librerie sicurezza (TLS, crypto)
- Middleware terze parti
- Software applicativo

FIRMWARE:
- Bootloader
- Firmware dispositivo
- Componenti programmabili sul campo

CONSIDERAZIONI PROFONDITÀ:
- Componenti primari: Controllati dal produttore
- Terze parti: Richiedere SBOM ai fornitori
- Nested: Andare il più profondo possibile praticamente

FORMATO:
- CycloneDX o SPDX (entrambi accettabili)
- Includere identificatori PURL dove disponibili
- Documentare componenti personalizzati/proprietari

Complessità Supply Chain

I prodotti industriali hanno spesso supply chain complesse:

SBOM SUPPLY CHAIN INDUSTRIALE

LIVELLO 1 (Vostro prodotto):
- Vostro software/firmware
- SBOM completo richiesto

LIVELLO 2 (Fornitori diretti):
- Componenti terze parti
- Richiedere SBOM ai fornitori
- Includere nel vostro SBOM

LIVELLO 3 (Sub-fornitori):
- Componenti nei componenti
- Inclusione best effort
- Documentare limitazioni note

AZIONE:
[ ] Aggiornare accordi fornitori per requisiti SBOM
[ ] Stabilire formato scambio SBOM con fornitori
[ ] Creare processo per integrazione SBOM
[ ] Documentare limitazioni supply chain

Valutazione di Conformità per Prodotti Industriali

Modulo B+C (Esame UE del Tipo)

Per prodotti industriali Important Classe II:

MODULO B+C PER PRODOTTI INDUSTRIALI

PASSO 1: MODULO B (Esame del Tipo)
L'organismo notificato esamina:
- Completezza fascicolo tecnico
- Adeguatezza valutazione rischi
- Copertura requisiti sicurezza
- Certificazione IEC 62443 (se disponibile)
- Qualità SBOM
- Risultati test

DELIVERABLE: Certificato Esame UE del Tipo

PASSO 2: MODULO C (Conformità al Tipo)
Il produttore assicura:
- Produzione corrisponde al tipo esaminato
- QA interno per produzione
- Documentazione mantenuta

DELIVERABLE: Auto-dichiarazione di conformità al tipo

Utilizzare Certificazione IEC 62443

Se avete certificazione IEC 62443-4-2:

CERTIFICAZIONE IEC 62443 → PROCESSO CRA

PRESENTARE ALL'ORGANISMO NOTIFICATO:
- Certificato IEC 62443-4-2
- Livello di Sicurezza raggiunto (SL 1-4)
- Certificato ISASecure (se applicabile)
- Rapporto di valutazione

VALUTAZIONE ORGANISMO NOTIFICATO:
- Riconosce IEC 62443 come prova
- Verifica copertura requisiti CRA
- Identifica eventuali gap
- Può ridurre ambito test

PROVE AGGIUNTIVE NECESSARIE:
- SBOM (non coperto da IEC 62443)
- Capacità segnalazione ENISA
- Impegno supporto 5 anni
- Documentazione utente

Guida Specifica per Industria

PLC e Controllori

CONFORMITÀ CRA PLC/CONTROLLORI

CLASSIFICAZIONE: Solitamente Important Classe I o II

REQUISITI CHIAVE:
- Capacità secure boot
- Comunicazioni cifrate (opzionale → default)
- Autenticazione forte
- Audit logging
- Meccanismo aggiornamento firmware
- SBOM per firmware e runtime

ALLINEAMENTO IEC 62443:
- Usare IEC 62443-4-2 SL2+ come baseline
- Documentare capacità di sicurezza
- Testare funzioni di sicurezza

CONSIDERAZIONI SPECIALI:
- Vincoli real-time vs. elaborazione sicurezza
- Protezione funzioni safety
- Supporto protocolli legacy (Modbus, ecc.)

Software SCADA/DCS

CONFORMITÀ CRA SOFTWARE SCADA/DCS

CLASSIFICAZIONE: Solitamente Important Classe I

REQUISITI CHIAVE:
- Architettura sicura
- Controllo accessi basato su ruoli
- Comunicazioni cifrate
- Audit trail
- Meccanismo aggiornamento
- SBOM per tutti i componenti

CONSIDERAZIONI SPECIALI:
- Sicurezza database
- Configurazione sicurezza OPC UA
- Protezione dati historian
- Sicurezza accesso remoto

Gateway IoT Industriali

CONFORMITÀ CRA GATEWAY IOT INDUSTRIALI

CLASSIFICAZIONE: Solitamente Important Classe I

REQUISITI CHIAVE:
- Secure boot
- Supporto segmentazione rete
- Protocolli cifrati (MQTT-TLS, ecc.)
- Autenticazione dispositivi
- Meccanismo aggiornamento firmware
- SBOM

CONSIDERAZIONI SPECIALI:
- Sicurezza edge computing
- Sicurezza connettività cloud
- Sicurezza traduzione protocolli
- Filtraggio/validazione dati

Roadmap Pratica di Conformità

Fase 1: Valutazione (Ora - Metà 2026)

VALUTAZIONE PRODUTTORE INDUSTRIALE

INVENTARIO PRODOTTI:
[ ] Elencare tutti i prodotti con elementi digitali
[ ] Classificare secondo categorie CRA
[ ] Identificare prodotti Important Classe II

CERTIFICAZIONI ESISTENTI:
[ ] Elencare certificazioni IEC 62443
[ ] Mappare a requisiti CRA
[ ] Identificare gap

ANALISI GAP:
[ ] Capacità SBOM
[ ] Prontezza segnalazione vulnerabilità
[ ] Pianificazione supporto 5 anni
[ ] Lacune documentazione

VALUTAZIONE FORNITORI:
[ ] Fornitori componenti critici
[ ] Disponibilità SBOM da fornitori
[ ] Prontezza CRA supply chain

Fase 2: Preparazione (Metà 2026 - Sett 2026)

FASE PREPARAZIONE

TECNICO:
[ ] Implementare generazione SBOM
[ ] Stabilire processo gestione vulnerabilità
[ ] Preparare capacità segnalazione ENISA
[ ] Aggiornare baseline sicurezza prodotto

DOCUMENTAZIONE:
[ ] Struttura fascicolo tecnico
[ ] Aggiornamenti documentazione sicurezza
[ ] Guida utente per deployment sicuro
[ ] Comunicazione periodo supporto

COMMERCIALE:
[ ] Definizioni periodi supporto
[ ] Aggiornamenti contratti clienti
[ ] Revisione prezzi (se costi conformità significativi)

Fase 3: Conformità (Sett 2026 - Dic 2027)

FASE CONFORMITÀ

SETTEMBRE 2026:
[ ] Segnalazione vulnerabilità operativa
[ ] Registrazione piattaforma ENISA SRP

ATTRAVERSO 2027:
[ ] Completare valutazioni conformità
[ ] Coinvolgere organismi notificati (Important Classe II)
[ ] Ottenere certificati esame UE del tipo
[ ] Aggiornare tutta documentazione prodotto

DICEMBRE 2027:
[ ] Tutti i prodotti conformi CRA
[ ] Marcatura CE applicata
[ ] Comunicazione cliente completa

Risorse dell'Industria

Enti di Normazione

ORGANIZZAZIONI DI STANDARDIZZAZIONE RILEVANTI

IEC (Commissione Elettrotecnica Internazionale):
Serie IEC 62443
https://www.iec.ch

ISA (International Society of Automation):
Sviluppo ISA/IEC 62443
Programma certificazione ISASecure
https://www.isa.org

NAMUR (Associazione Industria di Processo):
Raccomandazioni NE per sicurezza OT
https://www.namur.net

NIST:
Framework Cybersecurity
SP 800-82 (Guida sicurezza OT)
https://www.nist.gov

Associazioni di Categoria

Checklist per Automazione Industriale

CHECKLIST CRA AUTOMAZIONE INDUSTRIALE

CLASSIFICAZIONE PRODOTTO:
[ ] Classificazione determinata (Default/Important I/Important II)
[ ] Percorso valutazione conformità selezionato
[ ] Organismo notificato identificato (se necessario)

CERTIFICAZIONI ESISTENTI:
[ ] IEC 62443-4-1 (SDL)
[ ] IEC 62443-4-2 (sicurezza componenti)
[ ] Certificazione ISASecure
[ ] Mappate a requisiti CRA

CONFORMITÀ TECNICA:
[ ] Configurazione sicura di default
[ ] Meccanismo aggiornamento sicuro
[ ] Capacità generazione SBOM
[ ] Processo gestione vulnerabilità
[ ] Capacità segnalazione ENISA

DOCUMENTAZIONE:
[ ] Fascicolo tecnico preparato
[ ] Valutazione rischi documentata
[ ] Architettura sicurezza documentata
[ ] Guida sicurezza utente preparata

CICLO DI VITA:
[ ] Periodo supporto 5 anni definito
[ ] Meccanismo consegna aggiornamenti
[ ] Pianificazione fine vita
[ ] Processo rivalidazione safety per aggiornamenti

SUPPLY CHAIN:
[ ] Requisiti SBOM fornitori
[ ] Valutazione sicurezza componenti
[ ] Documentazione supply chain

Guide correlate:

• Classificazione Prodotti CRA: Il Vostro Prodotto e Default, Important o Critical?
• Valutazione di Conformita CRA: Guida alla Decisione Modulo A vs B+C vs H

Come CRA Evidence Aiuta

CRA Evidence supporta i produttori di automazione industriale:

• Mappatura IEC 62443: Template allineati con struttura IEC 62443
• Gestione SBOM: Supporto per tracciamento componenti industriali
• Supporto ciclo vita lungo: Conservazione documentazione per tempistiche industriali
• Tracciamento vulnerabilità: Gestione vulnerabilità prodotti industriali
• Prove conformità: Raccolta prove per presentazione a organismo notificato

Iniziate la vostra conformità CRA su app.craevidence.com.

Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un consulente legale qualificato.