CRA per l'automazione industriale: IEC 62443 e sicurezza OT

Come il CRA si applica all'automazione industriale e all'OT: IEC 62443, perché PLC e SCADA sono di norma categoria predefinita e cosa alza la classe.

CRA Evidence Team Pubblicato 8 gennaio 2026 Aggiornato 13 giugno 2026
CRA per l'automazione industriale: IEC 62443 e sicurezza OT
In questo articolo

La maggior parte dei PLC, dei sistemi SCADA e dei prodotti DCS sono prodotti standard in ambito. Non sono automaticamente Importante o Critico. La classificazione segue la funzione principale del prodotto, non il settore in cui opera. Un PLC per il controllo di produzione rimane Predefinito. Un PLC commercializzato con un firewall industriale integrato passa alla Classe II. IEC 62443 offre una base tecnica solida per il CRA. La lacuna da colmare è l'SBOM: IEC 62443 non lo ha mai richiesto.

Questa guida copre la conformità CRA per i fabbricanti di automazione industriale.

Sintesi

  • La maggior parte dei PLC, dei sistemi SCADA e dei prodotti DCS sono prodotti standard in ambito (categoria Predefinita). I prodotti con VPN, firewall, IDS/IPS, funzione di routing o chip di sicurezza come funzione principale commercializzata passano alle categorie Importante.
  • La certificazione IEC 62443 sostiene in modo significativo la conformità CRA (nessuna equivalenza automatica).
  • Gli ambienti OT hanno sfide uniche di aggiornamento e di ciclo di vita.
  • Il periodo di supporto deve riflettere la vita utile prevista del prodotto (Articolo 13, paragrafo 8). Cinque anni è il minimo, non un'ipotesi di pianificazione predefinita.
  • I requisiti SBOM si applicano ai sistemi di controllo industriale. IEC 62443 non ha un requisito equivalente.
  • L'integrazione safety-security è critica (IEC 62443 con IEC 61508 / ISO 13849).
5 anni
Periodo minimo di supporto
CRA Articolo 13, paragrafo 8
24 ore
Allerta preventivo
a CSIRT e ENISA
72 ore
Notifica di vulnerabilità
CRA Articolo 14, paragrafo 2, lettera b
14 giorni
Rapporto finale vulnerabilità
dopo la disponibilità della correzione

Fonte: Regolamento (UE) 2024/2847, Articolo 13, paragrafo 8 (periodo di supporto) e Articolo 14, paragrafo 2, lettere a, b, c (percorso vulnerabilità attivamente sfruttate). L'Articolo 14 prevede due percorsi di segnalazione paralleli: il percorso vulnerabilità riportato sopra, e un percorso incidenti gravi con cadenza 24 ore / 72 ore / 1 mese (rapporto finale entro un mese dalla notifica dell'incidente a 72 ore, ai sensi dell'Articolo 14, paragrafo 4, lettera c).

Quali prodotti industriali rientrano nel CRA?

Ambito CRA per l'automazione industriale

Il CRA si applica ai «prodotti con elementi digitali» immessi sul mercato UE. Per l'automazione industriale, questo comprende:

Chiaramente in ambito:

  • PLC (controllori logici programmabili)
  • PC industriali e HMI
  • software SCADA
  • sistemi DCS
  • sensori e gateway IoT industriali
  • router e switch industriali
  • soluzioni di accesso remoto
  • stazioni di ingegneria e software

Possibili esenzioni:

  • prodotti esclusivamente per la sicurezza nazionale
  • prodotti progettati per uso militare
  • sistemi industriali personalizzati unici (possono qualificarsi come «ricambi»)

Classificazione CRA per i prodotti industriali

La classificazione dipende dalla funzione principale commercializzata, non da dove il prodotto è installato (Articolo 7, paragrafo 1). Un PLC in una centrale nucleare è Predefinito se la sua funzione principale è il controllo industriale. Un router in un ufficio è Importante Classe I se si connette a internet. Il settore non determina la classe. La funzione sì.

Classe Cosa la attiva Percorso di conformità Esempi industriali
Critico La funzione principale corrisponde all'Allegato IV: dispositivi hardware con contenitori di sicurezza; gateway per contatori intelligenti o altri dispositivi per scopi avanzati di sicurezza incluso il criptoprocessing sicuro; smartcard ed elementi sicuri Schema europeo di certificazione; o Modulo B+C / Modulo H dove non si applica nessuno schema (Articolo 32, paragrafo 4) Un'appliance hardware in un contenitore di sicurezza a prova di manomissione; gateway per contatori intelligenti ai sensi della Direttiva (UE) 2019/944; elemento sicuro industriale o smartcard
Importante Classe II La funzione principale è: firewall o IDS/IPS (Allegato III Classe II, voce 2); microprocessore resistente alle manomissioni (voce 3); microcontrollore resistente alle manomissioni (voce 4) Modulo B+C o Modulo H. Organismo notificato richiesto. Oppure uno schema di certificazione al livello di garanzia «sostanziale» (Articolo 32, paragrafo 3) Firewall industriali, IDS/IPS industriali; microprocessori e microcontrollori resistenti alle manomissioni quando il dispositivo stesso è il prodotto di sicurezza
Importante Classe I La funzione principale è: VPN (voce 5); gestione di rete (voce 6); SIEM (voce 7); router, modem destinato a internet o switch (voce 12); microprocessore correlato alla sicurezza (voce 13) o microcontrollore (voce 14) Modulo A (autovalutazione) solo se norme armonizzate o specifiche comuni sono integralmente applicate. Altrimenti Modulo B+C o Modulo H (Articolo 32, paragrafo 2) Prodotti con VPN come funzione principale; router e switch industriali che si connettono a internet; prodotti basati su un microcontrollore correlato alla sicurezza
Predefinito (standard in ambito) Qualsiasi prodotto con elemento digitale che non corrisponde a una categoria superiore. La maggior parte dei PLC, dei sistemi SCADA e dei prodotti DCS rientra qui. Modulo A: controllo interno, autovalutazione PLC, software SCADA, DCS, la maggior parte dei gateway IIoT, PC industriali, HMI, stazioni di ingegneria
L'integrazione di un componente dell'Allegato III non classifica il prodotto ospitante

Un PLC che contiene un microcontrollore con funzionalità correlate alla sicurezza non diventa di per sé Importante Classe I per via di quel componente. L'Articolo 7, paragrafo 1, è esplicito: «L'integrazione di un prodotto con elementi digitali avente la funzionalità principale di una categoria di prodotto di cui all'Allegato III non sottopone di per sé il prodotto in cui è integrato alle procedure di valutazione della conformità» applicabili alla categoria Importante. Verifichi cosa il prodotto stesso è commercializzato e progettato per fare. Consulti la guida alla classificazione dei prodotti per il flusso decisionale completo.

IEC 62443 e allineamento al CRA

Cos'è IEC 62443?

IEC 62443 è la serie di norme internazionali per la sicurezza dei sistemi di automazione e controllo industriale (IACS). Comprende:

  • IEC 62443-4-1: ciclo di sviluppo sicuro.
  • IEC 62443-4-2: requisiti di sicurezza dei componenti (4 livelli di sicurezza, da SL 1 a SL 4).
  • IEC 62443-3-3: requisiti di sicurezza di sistema.
  • IEC 62443-2-4: requisiti per i fornitori di servizi.

Copertura IEC 62443 ↔ CRA in sintesi

Ben coperto da IEC 62443
  • Processo di gestione delle vulnerabilità
  • Controllo degli accessi
  • Crittografia
  • Log di audit
  • Capacità di aggiornamento
Coperto parzialmente
  • Sicurezza di default
  • Protezione dei dati
  • Prova di assenza di vulnerabilità note
Aggiunte solo CRA
  • SBOM
  • Marcatura CE / Dichiarazione UE di Conformità
  • Segnalazione Articolo 14
  • Dichiarazione del periodo di supporto

Dove le evidenze IEC 62443 si mappano direttamente ai requisiti CRA, dove coprono solo parte dell'obbligo e dove il CRA aggiunge nuovi obblighi.

Mappatura IEC 62443 ↔ CRA

Requisito CRACopertura IEC 62443Stato
Sicuro di defaultrequisiti SL (4-2)Parziale, default CRA più rigoroso
Gestione delle vulnerabilità4-1 (SDL), 2-4 (manutenzione)Buon allineamento
Aggiornamenti di sicurezza4-1, 2-4Allineamento sul processo
Nessuna vulnerabilità nota4-1 (gestione delle vulnerabilità)Processo allineato
Protezione dei dati4-2 (riservatezza)Parziale
Controllo degli accessi4-2 (autenticazione, autorizzazione)Forte allineamento
Crittografia4-2 (requisiti di cifratura)Buon allineamento
Audit logging4-2 (log di audit)Buon allineamento
Capacità di aggiornamento4-2 (aggiornamento firmware)Allineamento
SBOMnon in IEC 62443Lacuna
Marcatura CEnon in IEC 62443Lacuna
Supporto di 5 anninon specificatoLacuna

IEC 62443 come base, non come equivalenza

Importante

La certificazione IEC 62443 NON significa automaticamente conformità CRA. Usi la norma come base e come prova, non come equivalenza.

Cosa fornisce IEC 62443:

  • base tecnica di sicurezza solida.
  • ciclo di sviluppo della sicurezza maturo.
  • capacità di sicurezza ben documentate.
  • prove per la valutazione della conformità.

Cosa aggiunge il CRA oltre IEC 62443:

  • requisiti SBOM. IEC 62443 non ha un requisito equivalente.
  • Segnalazione di vulnerabilità attivamente sfruttate: allerta preventivo a 24 ore, notifica a 72 ore, rapporto finale entro 14 giorni dalla disponibilità di una misura correttiva o di mitigazione. Il CSIRT designato come coordinatore e ENISA ricevono le notifiche simultaneamente tramite la Piattaforma Unica di Segnalazione ENISA.
  • Segnalazione di incidenti gravi: stessi percorsi iniziali a 24 ore e 72 ore, ma il rapporto finale è dovuto entro un mese dalla notifica dell'incidente a 72 ore, non entro 14 giorni. Un incidente è grave quando influisce negativamente su disponibilità, autenticità, integrità o riservatezza di funzioni importanti, o comporta l'esecuzione di codice malevolo (Articolo 14, paragrafo 5).
  • Notifica agli utenti: dopo essere venuti a conoscenza di una vulnerabilità attivamente sfruttata o di un incidente grave, i fabbricanti devono informare gli utenti interessati e, ove opportuno, tutti gli utenti della vulnerabilità o dell'incidente e delle misure di mitigazione o correttive che possono adottare.
  • Marcatura CE e dichiarazione UE di conformità.
  • Periodo di supporto che riflette la vita utile prevista del prodotto, con cinque anni come minimo ai sensi dell'Articolo 13, paragrafo 8 del CRA.
  • Requisiti specifici di formato della documentazione (Allegato VII).
  • Coordinamento con la vigilanza del mercato.

Sfruttare IEC 62443 per il CRA

Se dispone della certificazione IEC 62443-4-1 o 4-2, non parte da zero. Dispone di qualcosa che la maggior parte dei fabbricanti di software non ha: un SDL documentato e capacità di sicurezza testate. La questione pratica è se IEC 62443 diventerà in futuro una norma armonizzata CRA nell'ambito del Mandato M/606. In tal caso, i fabbricanti di Importante Classe I potrebbero usare il Modulo A senza un organismo notificato. Non è ancora definito. Verifichi il tracker sullo stato delle norme armonizzate prima di pianificare il percorso di conformità.

  1. Se dispone della certificazione IEC 62443-4-1. Riutilizzi la documentazione SDL per la documentazione tecnica CRA, dimostri il suo ciclo di sviluppo sicuro e la indichi come prova per l'approccio di valutazione dei rischi.
  2. Se dispone della certificazione IEC 62443-4-2. Riutilizzi la documentazione sulle capacità di sicurezza, mappi ogni livello di sicurezza raggiunto ai requisiti essenziali CRA, e la presenti come prova dell'attuazione delle funzioni di sicurezza.
  3. Aggiunga gli elementi specifici del CRA. Generi un SBOM, attui la capacità di segnalazione a ENISA per entrambi i percorsi di segnalazione, prepari la dichiarazione UE di conformità e apponga la marcatura CE.

Sfide di conformità specifiche OT

Sfide di aggiornamento e patching

Gli ambienti industriali hanno vincoli unici sugli aggiornamenti.

Sfide:

  • operazioni 24/7 senza finestre di manutenzione.
  • rivalidazione dei sistemi safety dopo gli aggiornamenti.
  • integrazione di sistemi legacy.
  • ambienti air-gapped o semi-connessi.
  • cicli di qualificazione lunghi.

I requisiti CRA si applicano comunque:

  • Gli aggiornamenti di sicurezza devono essere forniti per tutto il periodo di supporto. Il minimo è cinque anni, e più a lungo quando il prodotto è previsto in uso per un periodo superiore (CRA Articolo 13, paragrafo 8).
  • Deve esistere un meccanismo di consegna degli aggiornamenti. La connettività online continua non è richiesta, ma la capacità deve essere presente.
  • Le vulnerabilità devono essere corrette in tempo ragionevole.

Gli obblighi di aggiornamento sono reali, ma il CRA non prescrive un canale di consegna specifico. La sfida è progettare il canale in modo che funzioni nei vincoli OT. Veda la guida agli aggiornamenti di sicurezza per la meccanica di consegna nei contesti embedded, standalone e air-gapped.

  1. Rollout a fasi. Prima gli ambienti di test, poi le linee di produzione pilota, infine il rollout completo con monitoraggio.
  2. Pianificazione degli aggiornamenti. Coordini con la manutenzione pianificata, fornisca preavviso in settimane o mesi, e sostenga i cicli di aggiornamento concordati con il cliente.
  3. Consegna offline. Pacchetti di aggiornamento su USB, server di aggiornamento all'interno della rete OT, o meccanismi sicuri di trasferimento file per i siti air-gapped.
  4. Rivalidazione safety. Documenti l'impatto dell'aggiornamento sulle funzioni safety, fornisca una guida alla rivalidazione, e consideri il co-engineering safety-security.

Cicli di vita prodotto lunghi

I prodotti industriali hanno spesso cicli di vita di 15-20 anni o più, ma il CRA richiede solo un minimo di 5 anni.

Anno 1-5
Vendita attiva e periodo di supporto CRA

Gli aggiornamenti di sicurezza e la gestione delle vulnerabilità sono in vigore per il periodo di supporto minimo.

Anno 5-10
Supporto esteso

Il fabbricante può continuare a fornire aggiornamenti di sicurezza oltre il minimo CRA, in particolare se il prodotto è ancora in uso.

Anno 10-15
Supporto legacy

Aggiornamenti limitati. Gran parte del rischio operativo si sposta sul cliente.

Oltre l'anno 15
Fine vita

Responsabilità del cliente. Comunichi chiaramente le date di fine supporto al punto vendita.

Regola del periodo di supporto CRA

Il periodo di supporto deve riflettere la durata prevista di utilizzo del prodotto, tenendo conto delle ragionevoli aspettative degli utenti, della natura e della finalità prevista del prodotto e del pertinente diritto dell'Unione. Cinque anni è il minimo assoluto. Per i prodotti industriali con cicli di vita operativi di 15-20 anni, cinque anni è il punto di partenza, non il piano. Pianifichi il periodo di supporto dalla prospettiva del cliente, non dal minimo CRA.

Esigenze di documentazione:

  • comunicare chiaramente il periodo di supporto all'acquisto.
  • fornire una data di fine supporto.
  • documentare le responsabilità del cliente dopo la fine del supporto.

Integrazione safety-security

I prodotti industriali hanno spesso requisiti safety (livelli SIL ai sensi di IEC 61508 / ISO 13849). Il CRA aggiunge requisiti di security.

1
Valutazione dei rischi

Modellazione combinata delle minacce safety e security. Tratti le minacce security alle funzioni safety come una modalità di guasto di prima classe.

2
Requisiti

Requisiti safety (da SIL 1 a SIL 4) e requisiti security (da SL 1 a SL 4) convivono fianco a fianco. Nessuna misura di security deve compromettere la safety.

3
Validazione

Validazione safety, test di security e test su scenari combinati vengono eseguiti tutti prima del rilascio. Ogni disciplina approva in modo indipendente.

4
Gestione dei cambiamenti

Rivalidazione safety per le patch di security. Valutazione security per i cambiamenti safety. Entrambi i cicli sono obbligatori, non opzionali.

Principio cardine

Nessuna misura di security deve compromettere la safety. Quando le due discipline entrano in conflitto, vince la safety, e si modifica il disegno della security.

SBOM per i sistemi industriali

Sfide di identificazione dei componenti

I prodotti industriali contengono spesso:

  • sistemi operativi real-time (RTOS).
  • firmware proprietario.
  • librerie di terze parti (stack OPC UA, MQTT, Modbus).
  • componenti hardware con firmware.
  1. Componenti software. RTOS e kernel, stack di protocollo (OPC UA, Modbus, EtherNet/IP, PROFINET), librerie di sicurezza (TLS, crittografia), middleware di terze parti e software applicativo.
  2. Firmware e componenti hardware. Bootloader, firmware del dispositivo e componenti programmabili sul campo. I prodotti industriali hanno spesso componenti hardware con firmware integrato che appartengono all'SBOM. Un HBOM (Hardware Bill of Materials) documenta i componenti hardware e il firmware associato. Valuti se il suo prodotto ne richieda uno accanto all'SBOM software.
  3. Profondità. I componenti primari sono controllati dal fabbricante; richieda l'SBOM ai fornitori per i componenti di terze parti; scenda il più possibile nei componenti annidati.
Formato
CycloneDX o SPDX. Entrambi sono accettabili ai sensi del CRA.
Identificatori
Includa gli identificatori PURL dove disponibili.
Componenti custom
Documenti in modo esplicito i componenti custom e proprietari.

Complessità della supply chain

I prodotti industriali hanno spesso catene di fornitura complesse.

Livello 1
Il suo prodotto

Il suo software e firmware. SBOM completo richiesto.

Livello 2
Fornitori diretti

Componenti di terze parti. Richieda un SBOM a ciascun fornitore e lo includa nel proprio SBOM.

Livello 3
Sub-fornitori

Componenti dei componenti. Inclusione best-effort. Documenti le limitazioni note.

Azioni:

  • aggiornare gli accordi con i fornitori per i requisiti SBOM.
  • stabilire un formato di scambio SBOM con i fornitori.
  • creare un processo per l'integrazione dell'SBOM.
  • documentare le limitazioni di supply chain.

Valutazione della conformità per i prodotti industriali

Modulo B+C o Modulo H (o schema di certificazione disponibile e applicabile)

Per i prodotti industriali Importante Classe II:

  1. Modulo B, esame del tipo. L'organismo notificato esamina la completezza della documentazione tecnica, l'adeguatezza della valutazione dei rischi, la copertura dei requisiti di sicurezza, l'eventuale certificazione IEC 62443 presentata come prova, la qualità dell'SBOM e i risultati dei test. Esito: certificato di esame UE del tipo.
  2. Modulo C, conformità al tipo. Il fabbricante garantisce che la produzione corrisponda al tipo esaminato, mantiene il QA interno per la produzione e tiene aggiornata la documentazione. Esito: autodichiarazione di conformità al tipo.

Utilizzare la certificazione IEC 62443

Se dispone della certificazione IEC 62443-4-2:

  1. Presenti all'organismo notificato. Il certificato IEC 62443-4-2, il livello di sicurezza raggiunto (da SL 1 a SL 4), il certificato ISASecure se applicabile, e il rapporto di valutazione.
  2. Valutazione dell'organismo notificato. L'organismo riconosce IEC 62443 come prova, verifica la copertura dei requisiti CRA, identifica eventuali lacune e può ridurre l'ambito dei test.
  3. Prove aggiuntive comunque necessarie. SBOM (non coperto da IEC 62443), capacità di segnalazione a ENISA per entrambi i percorsi, impegno di supporto documentato che rifletta la vita utile prevista del prodotto (minimo cinque anni ai sensi dell'Articolo 13, paragrafo 8) e documentazione utente.

Guida specifica per settore

Tipo di prodottoClasse CRA tipicaRequisiti chiaveAllineamento IEC 62443Attenzioni
Tipo di prodottoPLC e controllori Classe CRA tipicaPredefinito (standard in ambito) nella maggior parte dei casi. Un PLC con VPN, firewall o IDS/IPS integrato come funzione principale commercializzata passa alla categoria Importante. Requisiti chiaveCapacità di secure boot, comunicazioni cifrate, autenticazione forte, audit logging, meccanismo di aggiornamento firmware, SBOM per firmware e runtime. Allineamento IEC 62443IEC 62443-4-2 SL2+ si mappa bene ai requisiti essenziali; documentare le capacità di sicurezza e testare le funzioni di sicurezza come prova. AttenzioniVincoli real-time rispetto all'elaborazione di sicurezza; protezione delle funzioni safety; supporto a protocolli legacy (Modbus e simili); non confondere la classe del PLC con quella di eventuali componenti dell'Allegato III al suo interno.
Tipo di prodottoSoftware SCADA / DCS Classe CRA tipicaPredefinito (standard in ambito) nella maggior parte dei casi. SCADA e DCS non sono elencati nell'Allegato III. Se la funzione principale del prodotto è un sistema di gestione di rete o un monitoraggio di sicurezza simile a un SIEM, è opportuna un'analisi Importante Classe I. Requisiti chiaveArchitettura sicura, controllo degli accessi basato su ruoli, comunicazioni cifrate, audit trail, meccanismo di aggiornamento, SBOM per tutti i componenti. Allineamento IEC 62443Mappare il controllo degli accessi basato su ruoli, audit, aggiornamento e controlli delle comunicazioni ai requisiti IEC 62443 di sistema e componente. AttenzioniSicurezza dei database, configurazione di sicurezza OPC UA, protezione dei dati historian, sicurezza dell'accesso remoto.
Tipo di prodottoGateway IoT industriali Classe CRA tipicaDipende dal caso specifico. Un gateway la cui funzione principale commercializzata è VPN, routing connesso a internet o gestione di rete può essere Importante Classe I. Un gateway che raccoglie e trasmette principalmente dati di sensori è probabilmente Predefinito. Requisiti chiaveSecure boot, supporto alla segmentazione di rete, protocolli cifrati (MQTT-TLS e simili), autenticazione del dispositivo, meccanismo di aggiornamento firmware, SBOM. Allineamento IEC 62443Usare IEC 62443-4-2 per le funzioni di sicurezza dei componenti e documentare le ipotesi di segmentazione del gateway. AttenzioniSicurezza dell'edge computing, sicurezza della connettività cloud, sicurezza della traduzione dei protocolli, filtraggio e validazione dei dati.

Roadmap pratica di conformità

Fase 1: Valutazione

Inventario prodotti.

  • elencare tutti i prodotti con elementi digitali.
  • classificare secondo le categorie CRA.
  • identificare i prodotti Importante Classe II.

Certificazioni esistenti.

  • elencare le certificazioni IEC 62443.
  • mappare ai requisiti CRA.
  • identificare le lacune.

Analisi delle lacune.

  • capacità SBOM.
  • prontezza alla segnalazione di vulnerabilità.
  • pianificazione del supporto di 5 anni.
  • lacune documentali.

Fase 2: Preparazione

Tecnica.

Documentazione.

  • struttura della documentazione tecnica.
  • aggiornamenti della documentazione di sicurezza.
  • guida utente per il deployment sicuro.
  • comunicazione del periodo di supporto.

Commerciale.

  • definizione dei periodi di supporto.
  • aggiornamento dei contratti con i clienti.
  • revisione dei prezzi dove i costi di conformità sono rilevanti.

Fase 3: Conformità

Dall'11 settembre 2026.

  • segnalazione di vulnerabilità operativa.
  • uso della piattaforma unica di segnalazione.

Nel corso del 2027.

  • completare le valutazioni della conformità.
  • coinvolgere gli organismi notificati (Importante Classe II).
  • ottenere i certificati di esame UE del tipo.
  • aggiornare tutta la documentazione di prodotto.

Entro l'11 dicembre 2027.

  • tutti i prodotti in ambito conformi al CRA.
  • marcatura CE applicata.
  • comunicazione ai clienti completata.

Cosa si applica e quando

Prodotti già sul mercato

Se il suo prodotto è stato immesso sul mercato UE prima dell'11 dicembre 2027, non è necessario adeguarlo con una valutazione della conformità, un fascicolo tecnico o la marcatura CE. Il limite di riferimento è la data di immissione sul mercato, non quella di fabbricazione. Un'unità di una linea di prodotti esistente che Lei immette sul mercato UE dall'11 dicembre 2027 in poi deve essere pienamente conforme al CRA al momento della vendita.

La segnalazione si applica all'intero portafoglio da settembre 2026

L'esenzione transitoria non riguarda la segnalazione delle vulnerabilità. Dall'11 settembre 2026, deve segnalare le vulnerabilità attivamente sfruttate e gli incidenti gravi per ogni prodotto in ambito di cui viene a conoscenza, compresi i prodotti già sul mercato. Deve anche notificare agli utenti interessati le vulnerabilità e le misure correttive che possono adottare. Una base installata ampia non costituisce un'esenzione.

Modifica di un prodotto esistente

Una modifica è sostanziale se incide sulla conformità ai requisiti essenziali di cibersicurezza o cambia la finalità prevista per cui il prodotto è stato valutato. Un prodotto sostanzialmente modificato rientra nel pieno regime di conformità CRA dal momento in cui viene rimesso sul mercato. Chi effettua la modifica e rimette il prodotto sul mercato diventa il fabbricante ai fini del CRA. Questo è rilevante per gli integratori di sistemi OT che modificano e rivendono prodotti di terze parti.

La definizione esiste nel regolamento. Come si applica a specifiche modifiche OT richiede ancora orientamenti della Commissione.

Prodotti Classe II e Critici: trovare subito un organismo notificato

Gli Stati membri devono disporre di una capacità sufficiente di organismi notificati entro dicembre 2026. La capacità potrebbe essere ancora limitata nel primo periodo di transizione. Un ritardo nell'ottenere un organismo notificato rinvierà la marcatura CE. Non rimandi al 2027.

Risorse di settore

Enti di normazione

  • IEC (Commissione Elettrotecnica Internazionale). Serie IEC 62443. iec.ch
  • ISA (International Society of Automation). Sviluppo ISA/IEC 62443, programma di certificazione ISASecure. isa.org
  • NAMUR (associazione per l'industria di processo). Raccomandazioni NE per la sicurezza OT. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (guida alla sicurezza OT). nist.gov

Associazioni di settore

Associazione Focus Sito web
ZVEI (Germania) industria elettrica zvei.org
ORGALIM ingegneria europea orgalim.eu
VDMA (Germania) macchine vdma.org
GAMBICA (Regno Unito) automazione industriale gambica.org.uk
ODVA reti industriali odva.org

Se fabbrica macchinari con elementi digitali, veda la nostra guida per i fabbricanti di macchinari per indicazioni specifiche sulla doppia conformità con il CRA e il regolamento macchine UE.

Checklist per l'automazione industriale

Classificazione prodotto

  • classificazione determinata (Predefinito / Importante I / Importante II).
  • percorso di valutazione della conformità selezionato.
  • organismo notificato identificato, se necessario.

Certificazioni esistenti

  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (sicurezza componenti).
  • certificazione ISASecure.
  • mappate ai requisiti CRA.

Conformità tecnica

Documentazione

  • documentazione tecnica preparata.
  • valutazione dei rischi documentata.
  • architettura di sicurezza documentata.
  • guida di sicurezza per l'utente preparata.

Ciclo di vita

  • periodo di supporto di 5 anni definito.
  • meccanismo di consegna degli aggiornamenti.
  • pianificazione di fine vita.
  • processo di rivalidazione safety per gli aggiornamenti.

Supply chain

  • requisiti SBOM per i fornitori.
  • valutazione di sicurezza dei componenti.
  • documentazione della supply chain.
NIS2 e classificazione CRA

La classe CRA dipende dalla funzionalità principale del prodotto ai sensi degli Allegati III/IV del CRA, non dal settore dell'acquirente. Vendere prodotti di automazione industriale a soggetti essenziali NIS2 può aumentare le aspettative di rischio e di prova, ma di per sé non modifica la classe CRA del prodotto.

Vantaggio iniziale IEC 62443

Chi dispone già della certificazione IEC 62443 è avanti rispetto alla maggior parte dei fabbricanti di software che si avvicinano al CRA. SDL, controllo degli accessi, audit logging e processo di gestione delle vulnerabilità si trasferiscono direttamente. Il lavoro reale riguarda tre aspetti che IEC 62443 non ha mai richiesto: un SBOM, un canale formale di segnalazione a ENISA e un impegno di supporto pubblicato. Queste lacune sono reali, ma gestibili.

Domande frequenti

La certificazione IEC 62443 equivale alla conformità CRA?

No. La certificazione IEC 62443 non implica automaticamente la conformità CRA. Fornisce una base tecnica di sicurezza solida e prove che un organismo notificato può riutilizzare, ma il CRA aggiunge obblighi che IEC 62443 non copre: requisiti SBOM, segnalazione di incidenti a ENISA secondo l'Articolo 14, marcatura CE e dichiarazione di conformità, e impegno minimo di supporto di 5 anni ai sensi dell'Articolo 13, paragrafo 8.

Quali prodotti di automazione industriale rientrano in Importante Classe II?

Firewall industriali, sistemi IDS/IPS industriali e microprocessori e microcontrollori resistenti alle manomissioni rientrano in Importante Classe II, che richiede un organismo notificato (Modulo B+C o Modulo H) oppure uno schema di certificazione disponibile e applicabile. I microcontrollori e microprocessori con funzionalità correlate alla sicurezza e i router e switch industriali destinati alla connessione a internet rientrano di norma in Importante Classe I. Per i prodotti Critici, l'Allegato IV comprende tre categorie: dispositivi hardware con contenitori di sicurezza (voce 1), gateway per contatori intelligenti e altri dispositivi per scopi avanzati di sicurezza incluso il criptoprocessing sicuro (voce 2), e smartcard ed elementi sicuri (voce 3). Ogni categoria richiede una propria analisi dell'Allegato IV. Veda la guida alla classificazione dei prodotti per il flusso decisionale completo.

Il periodo minimo di supporto di 5 anni del CRA si applica anche ai prodotti con cicli di vita industriali di 15-20 anni?

Sì. Cinque anni è il minimo. Quando si prevede ragionevolmente che il prodotto resti in uso più a lungo, il fabbricante deve determinare un periodo di supporto più lungo che rifletta tale vita utile. I prodotti industriali con cicli di vita di 15-20 anni richiedono di norma di pianificare il supporto ben oltre la soglia di 5 anni e di comunicare chiaramente la data di fine supporto al punto vendita.

Come gestire gli aggiornamenti di sicurezza CRA in ambienti OT senza finestre di manutenzione?

Usi una combinazione di rollout a fasi (test, pilota, produzione completa), finestre di aggiornamento programmate coordinate con la manutenzione pianificata, meccanismi di consegna offline come pacchetti USB o server di aggiornamento all'interno della rete OT, e rivalidazione safety documentata per ogni aggiornamento. Il CRA non richiede connettività online continua, ma richiede che esista un meccanismo di consegna degli aggiornamenti e che le vulnerabilità siano corrette in tempo ragionevole.

Quali requisiti CRA non sono coperti da IEC 62443?

IEC 62443 non richiede un SBOM. Il CRA sì. Non copre nemmeno i due percorsi di segnalazione dell'Articolo 14 del CRA: il percorso vulnerabilità attivamente sfruttate (allerta preventivo a 24 ore, notifica a 72 ore, rapporto finale entro 14 giorni dalla disponibilità di una correzione) e il percorso incidenti gravi (allerta preventivo a 24 ore, notifica a 72 ore, rapporto finale entro un mese dalla notifica a 72 ore). Dopo essere venuti a conoscenza di uno dei due, è necessario notificare agli utenti interessati e, ove opportuno, a tutti gli utenti la vulnerabilità o l'incidente e le misure correttive adottabili. Sono richiesti anche la marcatura CE con dichiarazione UE di conformità e un periodo di supporto documentato che rifletta la vita utile prevista del prodotto. Le prove IEC 62443 possono sostenere il fascicolo tecnico, ma nessuno di questi obblighi è coperto dalla norma.

La certificazione IEC 62443-4-2 può ridurre l'ambito dei test dell'organismo notificato?

Sì, può. Un organismo notificato che riconosce IEC 62443-4-2 come prova verificherà la copertura dei requisiti CRA, identificherà eventuali lacune e potrà ridurre di conseguenza l'ambito dei test. Presenti il certificato, il livello di sicurezza raggiunto (da SL 1 a SL 4), l'eventuale certificato ISASecure e il rapporto di valutazione. Deve comunque fornire prove SBOM, capacità di segnalazione a ENISA per entrambi i percorsi, impegno di supporto documentato che rifletta la vita utile prevista del prodotto e documentazione utente. Veda la guida alla decisione sulla valutazione della conformità per il confronto completo tra moduli.

Il nostro PLC non ha connessione a internet. Rientra comunque nell'ambito?

La maggior parte dei PLC air-gapped rientra comunque nell'ambito. Il test di ambito del CRA si basa sulla finalità prevista del prodotto o sul suo uso ragionevolmente prevedibile, non su come è connesso in esercizio. Un PLC con una porta di programmazione Ethernet o un'interfaccia USB rientra nell'ambito anche se non tocca mai una rete attiva in produzione. Pochissimi prodotti industriali sono privi di qualsiasi capacità di connessione.

Essere air-gapped è una misura di riduzione del rischio. Appartiene alla valutazione dei rischi di sicurezza. Non elimina l'obbligo CRA.

La questione della connettività a internet rileva solo per la classificazione. Che un router o modem sia Importante Classe I dipende da se è destinato a connettersi a internet. Questa è una regola di classificazione. Non ha alcuna incidenza sul fatto che il suo PLC rientri nell'ambito.

Cosa fare adesso

  1. Classifichi ogni prodotto (Predefinito / Importante I / Importante II) con la guida alla classificazione dei prodotti CRA.
  2. Mappi le sue prove IEC 62443 nella struttura della documentazione tecnica CRA descritta nella guida alla documentazione tecnica Allegato VII.
  3. Aggiunga la generazione di SBOM alla sua pipeline di build. IEC 62443 non la copre. Veda la guida alla generazione dell'SBOM.
  4. Attivi entrambi i percorsi di segnalazione CRA prima dell'11 settembre 2026: il percorso vulnerabilità (24 ore / 72 ore / 14 giorni dalla disponibilità della correzione) e il percorso incidenti gravi (24 ore / 72 ore / 1 mese). Si registri sulla Piattaforma Unica di Segnalazione ENISA e testi il flusso di invio prima della scadenza.
  5. Definisca il periodo di supporto e lo comunichi al punto vendita con la guida alla pianificazione del periodo di supporto.
  6. Se un prodotto è Importante Classe II, scelga il modulo di valutazione della conformità con la guida alla decisione Modulo A / B+C / H.

Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per indicazioni di conformità specifiche, consulti un consulente legale qualificato.

CRA Standard di Sicurezza Classi di Prodotti Industriale
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Guide sempreverdi su requisiti, processi e ruoli definiti dal Regolamento sulla cibersicurezza (CRA).

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Certificazione europea di cibersicurezza (EUCC)

Come funziona lo schema di certificazione EUCC e quando può supportare la conformità al CRA.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
Vedi la guida completa alla conformità CRA