Conformità CRA per l'automazione industriale: allineamento IEC 62443 e guida alla sicurezza OT

Come si applica il CRA ai prodotti di automazione industriale e OT. Allineamento IEC 62443, classificazione Importante Classe II, conformità pratica per PLC, SCADA e IoT industriale.

CRA Evidence Team Pubblicato 8 gennaio 2026 Aggiornato 19 aprile 2026
Conformità CRA per l'automazione industriale: allineamento IEC 62443 e guida alla sicurezza OT
In questo articolo

I prodotti di automazione industriale affrontano sfide specifiche sotto il CRA, per via del loro ruolo critico in produzione, energia e infrastrutture. Molti rientrano nella categoria Importante Classe II, che richiede una valutazione della conformità di terze parti. Lo standard consolidato IEC 62443 offre una base solida per la conformità CRA.

Questa guida copre la conformità CRA per i fabbricanti di automazione industriale.

Sintesi

  • Molti prodotti di automazione industriale sono Importante Classe II (valutazione di terze parti richiesta).
  • La certificazione IEC 62443 sostiene in modo significativo la conformità CRA (nessuna equivalenza automatica).
  • Gli ambienti OT hanno sfide uniche di aggiornamento e di ciclo di vita.
  • Si applica un periodo minimo di supporto di 5 anni secondo il CRA Articolo 13, paragrafo 8. Pianifichi di conseguenza i cicli di vita dei prodotti.
  • I requisiti SBOM si applicano ai sistemi di controllo industriale.
  • L'integrazione safety-security è critica (IEC 62443 con IEC 61508 / ISO 13849).
5 anni
Periodo minimo di supporto
CRA Articolo 13, paragrafo 8
24 ore
Allerta preventivo
a CSIRT e ENISA
72 ore
Notifica di vulnerabilità
CRA Articolo 14, paragrafo 2, lettera b
14 giorni
Rapporto finale
dopo la correzione

Fonte: Regolamento (UE) 2024/2847, Articolo 13, paragrafo 8 (periodo di supporto) e Articolo 14, paragrafo 2, lettere a, b, c (cadenza di segnalazione).

Quali prodotti industriali rientrano nel CRA?

Ambito CRA per l'automazione industriale

Il CRA si applica ai «prodotti con elementi digitali» immessi sul mercato UE. Per l'automazione industriale, questo comprende:

Chiaramente in ambito:

  • PLC (controllori logici programmabili)
  • PC industriali e HMI
  • software SCADA
  • sistemi DCS
  • sensori e gateway IoT industriali
  • router e switch industriali
  • soluzioni di accesso remoto
  • stazioni di ingegneria e software

Possibili esenzioni:

  • prodotti esclusivamente per la sicurezza nazionale
  • prodotti progettati per uso militare
  • sistemi industriali personalizzati unici (possono qualificarsi come «ricambi»)

Classificazione CRA per i prodotti industriali

La maggior parte dei prodotti di automazione industriale rientra in Importante Classe I o II.

Importante Classe II

Valutazione di terze parti richiesta.

  • firewall per uso industriale
  • sistemi IDS/IPS industriali
  • microcontrollori con funzionalità di sicurezza
  • HSM per applicazioni industriali
  • smart meter (infrastruttura energetica)
  • router industriali in infrastrutture critiche
Importante Classe I

Autovalutazione possibile con norme armonizzate.

  • PLC e controllori industriali
  • software SCADA/DCS
  • gateway IoT industriali
  • soluzioni di accesso remoto e VPN
  • apparati di rete industriali
Predefinito

Autovalutazione.

  • sensori di base senza capacità di rete
  • periferiche industriali semplici
  • apparecchiature non connesse
Verifichi con la fonte primaria

La classificazione dipende dalle capacità specifiche del prodotto. Consulti gli Allegati III e IV del CRA per la classificazione definitiva.

IEC 62443 e allineamento al CRA

Cos'è IEC 62443?

IEC 62443 è la serie di norme internazionali per la sicurezza dei sistemi di automazione e controllo industriale (IACS). Comprende:

  • IEC 62443-4-1: ciclo di sviluppo sicuro.
  • IEC 62443-4-2: requisiti di sicurezza dei componenti (4 livelli di sicurezza, da SL 1 a SL 4).
  • IEC 62443-3-3: requisiti di sicurezza di sistema.
  • IEC 62443-2-4: requisiti per i fornitori di servizi.

Copertura IEC 62443 ↔ CRA in sintesi

Mappa di copertura IEC 62443 e CRA che mostra quali requisiti CRA sono coperti da IEC 62443, coperti parzialmente o non coperti.
Dove le prove IEC 62443 si mappano direttamente ai requisiti CRA, dove coprono solo una parte dell'obbligo, e dove il CRA aggiunge nuovi obblighi.

Mappatura IEC 62443 ↔ CRA

Requisito CRACopertura IEC 62443Stato
Sicuro di defaultrequisiti SL (4-2)Parziale, default CRA più rigoroso
Gestione delle vulnerabilità4-1 (SDL), 2-4 (manutenzione)Buon allineamento
Aggiornamenti di sicurezza4-1, 2-4Allineamento sul processo
Nessuna vulnerabilità nota4-1 (gestione delle vulnerabilità)Processo allineato
Protezione dei dati4-2 (riservatezza)Parziale
Controllo degli accessi4-2 (autenticazione, autorizzazione)Forte allineamento
Crittografia4-2 (requisiti di cifratura)Buon allineamento
Audit logging4-2 (log di audit)Buon allineamento
Capacità di aggiornamento4-2 (aggiornamento firmware)Allineamento
SBOMnon in IEC 62443Lacuna
Marcatura CEnon in IEC 62443Lacuna
Supporto di 5 anninon specificatoLacuna

IEC 62443 come base, non come equivalenza

Importante

La certificazione IEC 62443 NON significa automaticamente conformità CRA. Usi la norma come base e come prova, non come equivalenza.

Cosa fornisce IEC 62443:

  • base tecnica di sicurezza solida.
  • ciclo di sviluppo della sicurezza maturo.
  • capacità di sicurezza ben documentate.
  • prove per la valutazione della conformità.

Cosa aggiunge il CRA oltre IEC 62443:

  • requisiti SBOM (nuovi).
  • segnalazione specifica di vulnerabilità al CSIRT designato come coordinatore e a ENISA (entro 24 ore per l'allerta preventivo, 72 ore per la notifica di vulnerabilità e 14 giorni per il rapporto finale, secondo il CRA Articolo 14, paragrafo 2).
  • marcatura CE e dichiarazione UE di conformità.
  • impegno minimo di supporto di 5 anni secondo il CRA Articolo 13, paragrafo 8.
  • requisiti specifici di formato della documentazione.
  • coordinamento con la vigilanza del mercato.

Sfruttare IEC 62443 per il CRA

  1. Se dispone della certificazione IEC 62443-4-1. Riutilizzi la documentazione SDL per la documentazione tecnica CRA, dimostri il suo ciclo di sviluppo sicuro e la indichi come prova per l'approccio di valutazione dei rischi.
  2. Se dispone della certificazione IEC 62443-4-2. Riutilizzi la documentazione sulle capacità di sicurezza, mappi ogni livello di sicurezza raggiunto ai requisiti essenziali CRA, e la presenti come prova dell'attuazione delle funzioni di sicurezza.
  3. Aggiunga gli elementi specifici del CRA. Generi un SBOM, attui la capacità di segnalazione a ENISA, documenti l'impegno di supporto di 5 anni, prepari la dichiarazione UE di conformità e apponga la marcatura CE.

Sfide di conformità specifiche OT

Sfide di aggiornamento e patching

Gli ambienti industriali hanno vincoli unici sugli aggiornamenti.

Sfide:

  • operazioni 24/7 senza finestre di manutenzione.
  • rivalidazione dei sistemi safety dopo gli aggiornamenti.
  • integrazione di sistemi legacy.
  • ambienti air-gapped o semi-connessi.
  • cicli di qualificazione lunghi.

I requisiti CRA si applicano comunque:

  • Gli aggiornamenti di sicurezza devono essere forniti per almeno 5 anni (CRA Articolo 13, paragrafo 8).
  • Deve esistere un meccanismo di consegna degli aggiornamenti.
  • Le vulnerabilità devono essere corrette in tempo ragionevole.
  1. Rollout a fasi. Prima gli ambienti di test, poi le linee di produzione pilota, infine il rollout completo con monitoraggio.
  2. Pianificazione degli aggiornamenti. Coordini con la manutenzione pianificata, fornisca preavviso in settimane o mesi, e sostenga i cicli di aggiornamento concordati con il cliente.
  3. Consegna offline. Pacchetti di aggiornamento su USB, server di aggiornamento all'interno della rete OT, o meccanismi sicuri di trasferimento file per i siti air-gapped.
  4. Rivalidazione safety. Documenti l'impatto dell'aggiornamento sulle funzioni safety, fornisca una guida alla rivalidazione, e consideri il co-engineering safety-security.

Cicli di vita prodotto lunghi

I prodotti industriali hanno spesso cicli di vita di 15-20 anni o più, mentre il CRA richiede solo un minimo di 5 anni.

Anno 1-5

Vendita attiva e periodo di supporto CRA (minimo). Gli aggiornamenti di sicurezza e la gestione delle vulnerabilità sono in vigore.

Anno 5-10

Supporto esteso. Il fabbricante può continuare a fornire aggiornamenti di sicurezza oltre la soglia CRA, in particolare se il prodotto è ancora in uso.

Anno 10-15

Supporto legacy. Aggiornamenti limitati, gran parte del rischio operativo si sposta sul cliente.

Oltre l'anno 15

Fine vita. Responsabilità del cliente, comunichi chiaramente al punto vendita le date di fine supporto.

Regola del periodo di supporto CRA

Minimo 5 anni dalla data di vendita di ogni unità, o più a lungo se l'aspettativa di vita del prodotto supera i 5 anni. Pianifichi il periodo di supporto in base alla vita ragionevole del prodotto, non solo sulla soglia CRA.

Esigenze di documentazione:

  • comunicare chiaramente il periodo di supporto all'acquisto.
  • fornire una data di fine supporto.
  • documentare le responsabilità del cliente dopo la fine del supporto.

Integrazione safety-security

I prodotti industriali hanno spesso requisiti safety (livelli SIL ai sensi di IEC 61508 / ISO 13849). Il CRA aggiunge requisiti di security.

1 · Valutazione dei rischi

Modellazione combinata delle minacce safety e security. Tratti le minacce security alle funzioni safety come una modalità di guasto di prima classe.

2 · Requisiti

Requisiti safety (da SIL 1 a SIL 4) e requisiti security (da SL 1 a SL 4) convivono fianco a fianco. Nessuna misura di security deve compromettere la safety.

3 · Validazione

Validazione safety, test di security e test su scenari combinati vengono eseguiti tutti prima del rilascio. Ogni disciplina approva in modo indipendente.

4 · Gestione dei cambiamenti

Rivalidazione safety per le patch di security. Valutazione security per i cambiamenti safety. Entrambi i cicli sono obbligatori, non opzionali.

Principio cardine

Nessuna misura di security deve compromettere la safety. Quando le due discipline entrano in conflitto, vince la safety, e si modifica il disegno della security.

SBOM per i sistemi industriali

Sfide di identificazione dei componenti

I prodotti industriali contengono spesso:

  • sistemi operativi real-time (RTOS).
  • firmware proprietario.
  • librerie di terze parti (stack OPC UA, MQTT, Modbus).
  • componenti hardware con firmware.
  1. Componenti software. RTOS e kernel, stack di protocollo (OPC UA, Modbus, EtherNet/IP, PROFINET), librerie di sicurezza (TLS, crittografia), middleware di terze parti e software applicativo.
  2. Firmware. Bootloader, firmware del dispositivo e componenti programmabili sul campo.
  3. Profondità. I componenti primari sono controllati dal fabbricante, richieda l'SBOM ai fornitori per i componenti di terze parti, scenda il più possibile nei componenti annidati.
Formato
CycloneDX o SPDX. Entrambi sono accettabili.
Identificatori
Includa gli identificatori PURL dove disponibili.
Componenti custom
Documenti in modo esplicito i componenti custom e proprietari.

Complessità della supply chain

I prodotti industriali hanno spesso catene di fornitura complesse.

Livello 1 · Il suo prodotto

Il suo software e firmware. SBOM completo richiesto.

Livello 2 · Fornitori diretti

Componenti di terze parti. Richieda un SBOM a ciascun fornitore e lo includa nel proprio SBOM.

Livello 3 · Sub-fornitori

Componenti dei componenti. Inclusione best-effort. Documenti le limitazioni note.

Azioni:

  • aggiornare gli accordi con i fornitori per i requisiti SBOM.
  • stabilire un formato di scambio SBOM con i fornitori.
  • creare un processo per l'integrazione dell'SBOM.
  • documentare le limitazioni di supply chain.

Valutazione della conformità per i prodotti industriali

Modulo B+C (esame UE del tipo)

Per i prodotti industriali Importante Classe II:

  1. Modulo B, esame del tipo. L'organismo notificato esamina la completezza della documentazione tecnica, l'adeguatezza della valutazione dei rischi, la copertura dei requisiti di sicurezza, l'eventuale certificazione IEC 62443 presentata come prova, la qualità dell'SBOM e i risultati dei test. Esito: certificato di esame UE del tipo.
  2. Modulo C, conformità al tipo. Il fabbricante garantisce che la produzione corrisponda al tipo esaminato, mantiene il QA interno per la produzione e tiene aggiornata la documentazione. Esito: autodichiarazione di conformità al tipo.

Utilizzare la certificazione IEC 62443

Se dispone della certificazione IEC 62443-4-2:

  1. Presenti all'organismo notificato. Il certificato IEC 62443-4-2, il livello di sicurezza raggiunto (da SL 1 a SL 4), il certificato ISASecure se applicabile, e il rapporto di valutazione.
  2. Valutazione dell'organismo notificato. L'organismo riconosce IEC 62443 come prova, verifica la copertura dei requisiti CRA, identifica eventuali lacune e può ridurre l'ambito dei test.
  3. Prove aggiuntive comunque necessarie. SBOM (non coperto da IEC 62443), capacità di segnalazione a ENISA, impegno di supporto di 5 anni documentato e documentazione utente.

Guida specifica per settore

PLC e controllori

Di solito Importante Classe I o II.

Requisiti chiave. Capacità di secure boot, comunicazioni cifrate (opzionali, in transizione verso il default), autenticazione forte, audit logging, meccanismo di aggiornamento firmware, SBOM per firmware e runtime.

Allineamento IEC 62443. Usi IEC 62443-4-2 SL2+ come baseline, documenti le capacità di sicurezza, verifichi le funzioni di sicurezza.

Attenzioni. Vincoli real-time rispetto all'elaborazione di sicurezza, protezione delle funzioni safety, supporto a protocolli legacy (Modbus e simili).

Software SCADA / DCS

Di solito Importante Classe I.

Requisiti chiave. Architettura sicura, controllo degli accessi basato su ruoli, comunicazioni cifrate, audit trail, meccanismo di aggiornamento, SBOM per tutti i componenti.

Attenzioni. Sicurezza dei database, configurazione di sicurezza OPC UA, protezione dei dati historian, sicurezza dell'accesso remoto.

Gateway IoT industriali

Di solito Importante Classe I.

Requisiti chiave. Secure boot, supporto alla segmentazione di rete, protocolli cifrati (MQTT-TLS e simili), autenticazione del dispositivo, meccanismo di aggiornamento firmware, SBOM.

Attenzioni. Sicurezza dell'edge computing, sicurezza della connettività cloud, sicurezza della traduzione dei protocolli, filtraggio e validazione dei dati.

Roadmap pratica di conformità

Fase 1 · Valutazione

Inventario prodotti.

  • elencare tutti i prodotti con elementi digitali.
  • classificare secondo le categorie CRA.
  • identificare i prodotti Importante Classe II.

Certificazioni esistenti.

  • elencare le certificazioni IEC 62443.
  • mappare ai requisiti CRA.
  • identificare le lacune.

Analisi delle lacune.

  • capacità SBOM.
  • prontezza alla segnalazione di vulnerabilità.
  • pianificazione del supporto di 5 anni.
  • lacune documentali.
Fase 2 · Preparazione

Tecnica.

  • attuare la generazione di SBOM.
  • stabilire un processo di gestione delle vulnerabilità.
  • preparare la capacità di segnalazione a ENISA.
  • aggiornare le baseline di sicurezza dei prodotti.

Documentazione.

  • struttura della documentazione tecnica.
  • aggiornamenti della documentazione di sicurezza.
  • guida utente per il deployment sicuro.
  • comunicazione del periodo di supporto.

Commerciale.

  • definizione dei periodi di supporto.
  • aggiornamento dei contratti con i clienti.
  • revisione dei prezzi dove i costi di conformità sono rilevanti.
Fase 3 · Conformità

Dall'11 settembre 2026.

  • segnalazione di vulnerabilità operativa.
  • uso della piattaforma unica di segnalazione.

Nel corso del 2027.

  • completare le valutazioni della conformità.
  • coinvolgere gli organismi notificati (Importante Classe II).
  • ottenere i certificati di esame UE del tipo.
  • aggiornare tutta la documentazione di prodotto.

Entro l'11 dicembre 2027.

  • tutti i prodotti in ambito conformi al CRA.
  • marcatura CE applicata.
  • comunicazione ai clienti completata.

Risorse di settore

Enti di normazione

  • IEC (Commissione Elettrotecnica Internazionale). Serie IEC 62443. iec.ch
  • ISA (International Society of Automation). Sviluppo ISA/IEC 62443, programma di certificazione ISASecure. isa.org
  • NAMUR (associazione per l'industria di processo). Raccomandazioni NE per la sicurezza OT. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (guida alla sicurezza OT). nist.gov

Associazioni di settore

Associazione Focus Sito web
ZVEI (Germania) industria elettrica zvei.org
ORGALIM ingegneria europea orgalim.eu
VDMA (Germania) macchine vdma.org
GAMBICA (Regno Unito) automazione industriale gambica.org.uk
ODVA reti industriali odva.org

Se fabbrica macchinari con elementi digitali, veda la nostra guida per i fabbricanti di macchinari per indicazioni specifiche sulla doppia conformità con il CRA e il regolamento macchine UE.

Checklist per l'automazione industriale

Classificazione prodotto
  • classificazione determinata (Predefinito / Importante I / Importante II).
  • percorso di valutazione della conformità selezionato.
  • organismo notificato identificato, se necessario.
Certificazioni esistenti
  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (sicurezza componenti).
  • certificazione ISASecure.
  • mappate ai requisiti CRA.
Conformità tecnica
  • configurazione sicura di default.
  • meccanismo di aggiornamento sicuro.
  • capacità di generazione SBOM.
  • processo di gestione delle vulnerabilità.
  • capacità di segnalazione a ENISA.
Documentazione
  • documentazione tecnica preparata.
  • valutazione dei rischi documentata.
  • architettura di sicurezza documentata.
  • guida di sicurezza per l'utente preparata.
Ciclo di vita
  • periodo di supporto di 5 anni definito.
  • meccanismo di consegna degli aggiornamenti.
  • pianificazione di fine vita.
  • processo di rivalidazione safety per gli aggiornamenti.
Supply chain
  • requisiti SBOM per i fornitori.
  • valutazione di sicurezza dei componenti.
  • documentazione della supply chain.
Soggetti essenziali NIS 2

I prodotti di automazione industriale per i soggetti essenziali NIS 2 sono classificati come Importante Classe II, e richiedono valutazione di terze parti obbligatoria.

Vantaggio iniziale IEC 62443

L'allineamento a IEC 62443 offre un vantaggio iniziale sulla conformità CRA. Molti requisiti si sovrappongono, riducendo l'onere di conformità aggiuntivo.

Domande frequenti

La certificazione IEC 62443 equivale alla conformità CRA?

No. La certificazione IEC 62443 non implica automaticamente la conformità CRA. Fornisce una base tecnica di sicurezza solida e prove che un organismo notificato può riutilizzare, ma il CRA aggiunge obblighi che IEC 62443 non copre: requisiti SBOM, segnalazione di incidenti a ENISA secondo l'Articolo 14, marcatura CE e dichiarazione di conformità, e impegno minimo di supporto di 5 anni ai sensi dell'Articolo 13, paragrafo 8.

Quali prodotti di automazione industriale rientrano in Importante Classe II?

Firewall industriali, sistemi IDS/IPS industriali, moduli hardware di sicurezza (HSM) per applicazioni industriali, microcontrollori con funzionalità di sicurezza, smart meter per l'infrastruttura energetica e router industriali in infrastrutture critiche. I prodotti Importante Classe II richiedono valutazione della conformità di terze parti (di norma Modulo B+C o Modulo H). Veda la guida alla classificazione dei prodotti per il flusso decisionale completo.

Il periodo minimo di supporto di 5 anni del CRA si applica anche ai prodotti con cicli di vita industriali di 15-20 anni?

Sì. Cinque anni è la soglia stabilita dall'Articolo 13, paragrafo 8 del CRA. Quando si prevede ragionevolmente che il prodotto resti in uso più a lungo, il fabbricante deve determinare un periodo di supporto più lungo che rifletta tale vita utile. I prodotti industriali con cicli di vita di 15-20 anni richiedono di norma di pianificare il supporto ben oltre la soglia di 5 anni e di comunicare chiaramente la data di fine supporto al punto vendita.

Come gestire gli aggiornamenti di sicurezza CRA in ambienti OT senza finestre di manutenzione?

Usi una combinazione di rollout a fasi (test, pilota, produzione completa), finestre di aggiornamento programmate coordinate con la manutenzione pianificata, meccanismi di consegna offline come pacchetti USB o server di aggiornamento all'interno della rete OT, e rivalidazione safety documentata per ogni aggiornamento. Il CRA non richiede connettività online continua, ma richiede che esista un meccanismo di consegna degli aggiornamenti e che le vulnerabilità siano corrette in tempo ragionevole.

Quali requisiti CRA non sono coperti da IEC 62443?

Generazione e manutenzione dell'SBOM, segnalazione di vulnerabilità e incidenti gravi al CSIRT designato come coordinatore e a ENISA secondo la cadenza 24 ore / 72 ore / 14 giorni stabilita dall'Articolo 14, paragrafo 2 del CRA, marcatura CE con dichiarazione UE di conformità, impegno minimo di supporto di 5 anni e coordinamento con la vigilanza del mercato. Le prove IEC 62443 aiutano con i requisiti tecnici ma non assolvono nessuno di questi obblighi.

La certificazione IEC 62443-4-2 può ridurre l'ambito dei test dell'organismo notificato?

Sì, può. Un organismo notificato che riconosce IEC 62443-4-2 come prova verificherà la copertura dei requisiti CRA, identificherà eventuali lacune e potrà ridurre di conseguenza l'ambito dei test. Presenti il certificato, il livello di sicurezza raggiunto (da SL 1 a SL 4), l'eventuale certificato ISASecure e il rapporto di valutazione. Deve comunque fornire prove SBOM, capacità di segnalazione a ENISA, impegno di supporto di 5 anni documentato e documentazione utente. Veda la guida alla decisione sulla valutazione della conformità per il confronto completo tra moduli.

Cosa fare adesso

  1. Classifichi ogni prodotto (Predefinito / Importante I / Importante II) con la guida alla classificazione dei prodotti CRA.
  2. Mappi le sue prove IEC 62443 nella struttura della documentazione tecnica CRA descritta nella guida alla documentazione tecnica Allegato VII.
  3. Aggiunga la generazione di SBOM alla sua pipeline di build. IEC 62443 non la copre. Veda la guida alla generazione dell'SBOM.
  4. Attivi la segnalazione di incidenti a ENISA con cadenza 24 ore / 72 ore / 14 giorni prima dell'11 settembre 2026 con la guida alla segnalazione.
  5. Definisca il periodo di supporto e lo comunichi al punto vendita con la guida alla pianificazione del periodo di supporto.
  6. Se un prodotto è Importante Classe II, scelga il modulo di valutazione della conformità con la guida alla decisione Modulo A / B+C / H.

Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per indicazioni di conformità specifiche, consulti un consulente legale qualificato.

CRA Standard di Sicurezza Classi di Prodotti Industriale
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni