Conformità CRA per l'IoT Consumer: Allineamento EN 303 645 e Guida alla Sicurezza delle Smart Home
Come il CRA si applica ai prodotti IoT consumer come dispositivi smart home, wearable e giocattoli connessi. Copre l'allineamento EN 303 645, i requisiti della categoria Default e la conformità pratica.
In this article
I prodotti IoT consumer, smart speaker, videocamere connesse, wearable, dispositivi smart home, sono al centro della conformità CRA. La maggior parte rientra nella categoria Default, consentendo l'autovalutazione, ma deve comunque soddisfare tutti i requisiti essenziali. ETSI EN 303 645 fornisce un'eccellente base di riferimento per la conformità.
Questa guida copre la conformità CRA per i produttori di IoT consumer.
Suggerimento: La maggior parte dei dispositivi IoT rientra nella categoria Default del CRA. Verificate l'Allegato III prima di presumere che sia necessaria una valutazione di terze parti.
Sintesi
- La maggior parte dei prodotti IoT consumer è in categoria Default (autovalutazione consentita)
- EN 303 645 fornisce una solida base, probabilmente diventerà uno standard armonizzato
- "Sicuro di default" è critico: nessuna password predefinita, servizi esposti minimi
- Il periodo di supporto di 5 anni è un cambiamento importante per molti prodotti consumer
- SBOM richiesto anche per i dispositivi embedded
- La documentazione per i consumatori deve essere nella lingua locale
Quali Prodotti IoT Consumer Sono Coperti?
Ambito CRA per l'IoT Consumer
Il CRA si applica a tutti i "prodotti con elementi digitali" immessi sul mercato UE. Per l'IoT consumer, questo include:
Chiaramente nell'ambito:
- Smart speaker e assistenti vocali
- Hub e controller smart home
- Videocamere connesse (sicurezza, baby monitor, videocitofoni)
- Sistemi di illuminazione intelligente
- Termostati connessi e controlli HVAC
- Serrature intelligenti e sistemi di accesso
- Dispositivi indossabili (smartwatch, fitness tracker)
- Giocattoli e giochi connessi
- Elettrodomestici intelligenti (frigoriferi, lavatrici)
- E-reader e tablet
- Dispositivi salute/benessere connessi (non medicali)
Ambito parziale (possono avere regolamenti aggiuntivi):
- Smart TV (anche coperti da RED)
- Dispositivi medici connessi (anche MDR, vedi la nostra guida MDR)
- Veicoli connessi (Regolamento Macchine, omologazione)
Classificazione CRA per l'IoT Consumer
La maggior parte dell'IoT consumer rientra in Default o Important Class I:
CLASSIFICAZIONE CRA IoT CONSUMER
CATEGORIA DEFAULT (Autovalutazione):
- Smart speaker
- Videocamere connesse (uso domestico)
- Illuminazione intelligente
- Termostati connessi
- Wearable
- Elettrodomestici intelligenti
- Giocattoli connessi
- Dispositivi smart home generici
IMPORTANT CLASS I (Autovalutazione con standard armonizzati O terze parti):
- Hub smart home che gestiscono altri dispositivi
- Gateway domotici
- Soluzioni VPN consumer
- Software di controllo parentale
- Password manager
IMPORTANT CLASS II (Terze parti richieste):
- Firewall consumer
- Dispositivi IDS/IPS consumer
- (Raro per prodotti puramente consumer)
EN 303 645 e Allineamento CRA
Cos'è EN 303 645?
ETSI EN 303 645 "Cyber Security for Consumer Internet of Things: Baseline Requirements" è lo standard principale per la sicurezza dell'IoT consumer. Pubblicato nel 2020, è ampiamente adottato e si prevede che diventerà uno standard armonizzato CRA.
Struttura EN 303 645:
- 13 categorie di disposizioni
- 66 disposizioni obbligatorie (per la conformità di base)
- Raccomandazioni aggiuntive
- Specifica di test associata (TS 103 701)
Mappatura EN 303 645 ↔ CRA
| Requisito Essenziale CRA | Disposizione EN 303 645 | Copertura |
|---|---|---|
| Nessuna vulnerabilità nota | 5.2 (divulgazione vulnerabilità) | Parziale |
| Sicuro di default | 5.1 (nessuna password universale) | Forte |
| Protezione da accesso non autorizzato | 5.1, 5.5, 5.6 | Forte |
| Riservatezza dei dati | 5.8 (sicurezza dati personali) | Forte |
| Integrità dei dati | 5.4 (comunicazione sicura) | Forte |
| Raccolta dati minimale | 5.8.2 (minimizzazione dati) | Buona |
| Resilienza e mitigazione | 5.3, 5.6 (aggiornamenti software, sicurezza) | Buona |
| Minimizzazione effetti incidenti | 5.6 (resilienza) | Parziale |
| Aggiornamenti di sicurezza | 5.3 (aggiornamenti software) | Forte |
| Meccanismo di aggiornamento | 5.3.3 (meccanismo di aggiornamento) | Forte |
| Gestione vulnerabilità | 5.2 (divulgazione vulnerabilità) | Forte |
| SBOM | Non coperto | Gap |
| Divulgazione periodo di supporto | 5.3.1 (periodo di supporto) | Forte |
| Segnalazione a ENISA | Non coperto | Gap |
EN 303 645 come Base per la Conformità
Info: EN 303 645 dovrebbe diventare uno standard armonizzato ai sensi del CRA. Se armonizzato, seguirlo integralmente consente l'autovalutazione (Modulo A) anche per i prodotti IoT di Classe Important I.
Stato previsto: EN 303 645 sarà probabilmente elencata come standard armonizzato CRA, fornendo "presunzione di conformità" per i requisiti tecnici.
Cosa fornisce EN 303 645:
- Base di sicurezza completa
- Disposizioni testabili (TS 103 701)
- Riconoscimento dell'industria
- Programmi di certificazione esistenti
Cosa aggiunge il CRA oltre EN 303 645:
- Requisiti SBOM
- Segnalazione vulnerabilità a ENISA (24h/72h)
- Procedure di marcatura CE
- Dichiarazione di Conformità UE formale
- Documentazione del fascicolo tecnico
- Coordinamento della sorveglianza del mercato
Requisiti Chiave in Dettaglio
Nessuna Password di Default (Critico)
Disposizione EN 303 645 5.1-1: "Quando vengono utilizzate password e in qualsiasi stato diverso dallo stato 'default di fabbrica', tutte le password dei dispositivi IoT consumer devono essere uniche per dispositivo o definite dall'utente."
Allineamento CRA: Questo è il "sicuro di default" in azione.
Implementazione:
APPROCCI PASSWORD PER IoT CONSUMER
OPZIONE 1: Password di fabbrica unica
- Generare password unica per dispositivo
- Stampare su dispositivo/confezione
- Memorizzare in elemento sicuro se disponibile
OPZIONE 2: Definita dall'utente durante la configurazione
- Forzare la creazione password durante il setup
- Applicare complessità password
- Nessuna opzione "salta"
OPZIONE 3: Autenticazione senza password
- Codici di accoppiamento Bluetooth/WiFi
- Autenticazione basata su app
- Biometria dove appropriato
EVITARE:
✗ Password di default universali ("admin/admin")
✗ Password prevedibili (numero di serie)
✗ Impostazione password opzionale
✗ Pattern facili da indovinare
Divulgazione delle Vulnerabilità
Disposizione EN 303 645 5.2-1: "Il produttore deve fornire un punto di contatto pubblico come parte di una politica di divulgazione delle vulnerabilità..."
Miglioramento CRA: Il CRA richiede non solo l'accettazione della divulgazione ma anche la segnalazione attiva a ENISA.
Aggiornamenti Software
Disposizioni EN 303 645 5.3: La capacità di aggiornamento software è obbligatoria.
Requisiti Chiave:
- Consegna sicura (aggiornamenti firmati)
- Verifica dell'integrità
- Protezione dal rollback
- Notifica utente
- Periodo di supporto definito (CRA: minimo 5 anni)
Comunicazione Sicura
Disposizione EN 303 645 5.4: Crittografare i dati sensibili in transito.
- TLS 1.2+ per tutte le comunicazioni cloud
- Suite di cifratura robuste
- Validazione dei certificati
- Nessun fallback a non crittografato
SBOM per l'IoT Consumer
Sfide dei Dispositivi Embedded
I dispositivi IoT consumer spesso funzionano su hardware vincolato. La strategia SBOM deve includere:
- Sistema operativo/RTOS
- Framework/SDK principale
- Librerie di rete/protocollo
- Librerie crypto
- SDK connettività cloud
- Componenti chiave di terze parti
Formato: CycloneDX o SPDX con informazioni di versione e PURL dove disponibile.
5 Anni di Supporto: La Grande Sfida
Requisito CRA: Minimo 5 anni di aggiornamenti di sicurezza dall'immissione sul mercato di ogni unità.
Molti prodotti IoT consumer hanno storicamente avuto finestre di supporto brevi (1-3 anni). Questo richiede:
- Pianificazione dei costi a lungo termine
- Infrastruttura di aggiornamento stabile
- Comunicazione chiara del periodo di supporto ai clienti
Valutazione di Conformità per l'IoT Consumer
Autovalutazione (Modulo A)
La maggior parte dell'IoT consumer può usare l'autovalutazione:
- Prodotti categoria Default
- Important Class I con standard armonizzati
Nessun Organismo Notificato necessario per questi casi.
Usare la Certificazione EN 303 645
Organismi di certificazione: CTIA (US), TÜV (EU), BSI Kitemark (UK)
Benefici:
- Verifica di terze parti
- Valore di marketing
- Presunzione di conformità (una volta armonizzato)
- Prove per il fascicolo tecnico
Checklist per l'IoT Consumer
CHECKLIST CRA IoT CONSUMER
SICUREZZA PRODOTTO:
[ ] Nessuna password di default (unica o definita dall'utente)
[ ] Comunicazioni crittografate (TLS 1.2+)
[ ] Meccanismo di aggiornamento sicuro
[ ] Superficie d'attacco minima
[ ] Impostazioni sicure di default
SBOM:
[ ] Generazione SBOM nel processo di build
[ ] Tutti i componenti principali identificati
[ ] Componenti supply chain inclusi
[ ] Aggiornamenti SBOM regolari
GESTIONE VULNERABILITÀ:
[ ] Contatto sicurezza pubblico
[ ] Politica di divulgazione delle vulnerabilità
[ ] Capacità di segnalazione ENISA
[ ] Processo di sviluppo patch
DOCUMENTAZIONE:
[ ] Fascicolo tecnico preparato
[ ] Documentazione utente aggiornata
[ ] Supporto multilingue
[ ] Periodo di supporto indicato
PERIODO DI SUPPORTO:
[ ] Impegno minimo 5 anni
[ ] Infrastruttura di aggiornamento pianificata
[ ] Processo di fine supporto definito
Come CRA Evidence Aiuta
CRA Evidence supporta i produttori di IoT consumer:
- Mappatura EN 303 645: Traccia la conformità rispetto alle disposizioni dello standard
- Gestione SBOM: Genera e gestisci gli SBOM per dispositivi embedded
- Supporto multi-prodotto: Gestisci efficientemente le famiglie di prodotti
- Tracciamento vulnerabilità: Gestione vulnerabilità adatta al consumer
- Documentazione: Generazione e gestione del fascicolo tecnico
Inizia la tua conformità CRA su app.craevidence.com.
Articoli Correlati
- Classificazione dei Prodotti CRA: Default vs Important vs Critical -- Scopri come il tuo prodotto IoT viene classificato ai sensi del CRA.
- SBOM per la Conformità CRA: Guida Completa al Software Bill of Materials -- Impara a creare e gestire gli SBOM per dispositivi IoT embedded.
- CRA e Smart Camera: Sicurezza e Conformità delle Videocamere Connesse -- Approfondimento sui requisiti CRA per videocamere connesse e dispositivi video.
Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un consulente legale qualificato.
Argomenti trattati in questo articolo
Articoli correlati
Le telecamere intelligenti sono Prodotti Importanti ai...
Le telecamere di sicurezza connesse sono classificate come Prodotti...
11 minCybersecurity Act 2 dell'UE: Divieti sulla Supply Chain,...
Il 20 gennaio 2026, l'UE ha proposto di sostituire interamente il...
11 minClassificazione dei prodotti CRA: Il vostro prodotto è...
Guida pratica per determinare la categoria CRA del vostro prodotto. Include...
6 minDoes the CRA apply to your product?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell’ambito del Cyber Resilience Act dell’UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.