CRA vs ISO 27001: le lacune di conformità che il vostro ISMS non copre
ISO 27001 non copre il CRA. Questa guida mostra esattamente dove il vostro ISMS aiuta, dove manca e cosa aggiungere prima della scadenza 2027.
In questo articolo
- Sintesi
- Cosa copre ISO 27001 rispetto a cosa richiede il CRA?
- Dove ISO 27001 aiuta il CRA e dove è carente
- Come usare ISO 27001 per il CRA
- Controlli Annex A di ISO 27001 e CRA
- La certificazione ISO 27001 conta per la valutazione della conformità CRA?
- Tre scenari comuni ISO 27001 + CRA
- Come integrare il CRA nel vostro ISMS esistente
- Checklist: organizzazione ISO 27001 che aggiunge il CRA
- Risorse ufficiali ISO 27001 e CRA
- Domande frequenti
- Prossimi passi
Se la vostra azienda è certificata ISO 27001, potreste pensare di essere ben posizionati per il Cyber Resilience Act (CRA). Non lo siete. Non senza un lavoro aggiuntivo significativo.
ISO 27001 protegge le risorse informative della vostra organizzazione. Il Cyber Resilience Act (Regolamento (UE) 2024/2847) richiede che ogni prodotto con elementi digitali immesso sul mercato UE sia sicuro per progettazione, venga fornito con un software bill of materials (SBOM) e sia supportato con aggiornamenti di sicurezza per tutta la sua vita utile prevista. Si tratta di obblighi a livello di prodotto, non organizzativi. La non conformità comporta sanzioni fino a 15 milioni di EUR o il 2,5% del fatturato annuo globale (Art. 64). Consultate la guida alle sanzioni CRA.
Gli obblighi di segnalazione dell'Art. 14 iniziano l'11 settembre 2026. La piena conformità è richiesta entro l'11 dicembre 2027. Consultate la cronologia completa di implementazione del CRA.
Questa guida su ISO 27001 vs CRA mostra esattamente dove il vostro ISMS aiuta, dove è carente e cosa dovete aggiungere.
Sintesi
- ISO 27001 = gestione della sicurezza organizzativa/aziendale
- CRA = requisiti di cybersicurezza del prodotto (Annex I, Regolamento (UE) 2024/2847)
- ISO 27001 NON equivale alla conformità CRA
- ISO 27001 fornisce una base per i processi di sviluppo sicuro
- CRA richiede prove specifiche per prodotto: SBOM, gestione delle vulnerabilità, CE Marking
- Entrambi insieme = postura di sicurezza complessiva solida
Cosa copre ISO 27001 rispetto a cosa richiede il CRA?
Cosa copre ISO 27001
ISO 27001 è uno standard per i sistemi di gestione della sicurezza delle informazioni (ISMS) che comprende:
Controlli a livello organizzativo:
- Politiche di sicurezza delle informazioni
- Gestione degli asset
- Controllo degli accessi (a sistemi e dati)
- Uso della crittografia
- Sicurezza fisica
- Sicurezza operativa
- Sicurezza delle comunicazioni
- Relazioni con i fornitori
- Gestione degli incidenti
- Continuità operativa
- Gestione della conformità
Focus: Proteggere le risorse informative della vostra organizzazione
Cosa copre il CRA
Il CRA è una normativa di prodotto che comprende (Annex I):
Requisiti a livello di prodotto:
- Sicurezza by design nei prodotti
- Nessuna vulnerabilità sfruttabile nota
- Configurazione predefinita sicura
- Protezione dall'accesso non autorizzato (nel prodotto)
- Protezione dei dati (da parte del prodotto)
- Capacità di aggiornamento (del prodotto)
- Gestione delle vulnerabilità e segnalazione a ENISA (per il prodotto)
- SBOM per i componenti del prodotto (Art. 13(5))
- Politica di divulgazione coordinata delle vulnerabilità (Art. 13(6))
- Contatto pubblico per le vulnerabilità (Art. 13(7))
- CE Marking e valutazione della conformità
Focus: Garantire che i prodotti che vendete siano sicuri
Il CRA classifica i prodotti in categorie: predefinita, Importante Classe I, Importante Classe II e Critica (Annex III e IV). Ogni categoria comporta diversi requisiti di valutazione della conformità. Un prodotto Importante Classe II richiede una valutazione obbligatoria da parte di terzi tramite un organismo notificato, indipendentemente dallo stato di certificazione ISO 27001. Consultate la guida alla classificazione dei prodotti CRA.
La differenza fondamentale
ISO 27001 vs CRA: AMBITO
ISO 27001:
"Come gestisce la sicurezza la vostra ORGANIZZAZIONE?"
┌─────────────────────────────────────────────┐
│ La vostra azienda │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ Sistemi │ │ Dati │ │Persone │ │
│ └─────────┘ └─────────┘ └─────────┘ │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │Processi │ │ Rete │ │ Struttu │ │
│ └─────────┘ └─────────┘ └─────────┘ │
└─────────────────────────────────────────────┘
CRA:
"Quanto sono sicuri i PRODOTTI che vendete?"
┌─────────────────────────────────────────────┐
│ I vostri prodotti (venduti ai clienti) │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │Prodotto │ │Prodotto │ │Prodotto │ │
│ │ A │ │ B │ │ C │ │
│ └─────────┘ └─────────┘ └─────────┘ │
│ │
│ Ogni prodotto deve rispettare il CRA │
└─────────────────────────────────────────────┘
Dove ISO 27001 aiuta il CRA e dove è carente
Dove ISO 27001 aiuta il CRA
| Requisito CRA | Supporto ISO 27001 | Come aiuta |
|---|---|---|
| Sviluppo sicuro | A.8.25-28 (Sviluppo sicuro) | Base del processo |
| Gestione vulnerabilità | A.8.8 (Vulnerabilità tecniche) | Processo organizzativo |
| Risposta agli incidenti | A.5.24-26 (Gestione incidenti) | Capacità di risposta |
| Gestione fornitori | A.5.19-22 (Relazioni con fornitori) | Sicurezza della supply chain |
| Controllo accessi | A.5.15-18, A.8.2-5 | Sicurezza dell'ambiente di sviluppo |
| Crittografia | A.8.24 (Crittografia) | Base della politica crittografica |
| Documentazione | A.5.1 (Politiche), 7.5 (Info documentate) | Cultura della documentazione |
| Valutazione del rischio | 6.1 (Valutazione del rischio) | Metodologia di rischio |
Dove ISO 27001 è carente
| Requisito CRA | Lacuna ISO 27001 | Cosa manca |
|---|---|---|
| SBOM | Parziale: A.8.26/A.8.28 coprono la consapevolezza dei componenti, non il formato SBOM leggibile da macchina | SBOM standardizzato (SPDX/CycloneDX) per Art. 13(5) |
| CE Marking | Non coperto | Processo di valutazione della conformità |
| Test di sicurezza prodotto | Limitato | Prove di test specifiche per il fascicolo tecnico |
| Sicurezza per impostazione predefinita | Non orientato al prodotto | Requisiti di configurazione del prodotto |
| Periodo di supporto | Non coperto | Almeno 5 anni, o vita utile prevista del prodotto se inferiore (Art. 13(8)) |
| Segnalazione a ENISA | Non coperto | Notifica 24h/72h + rapporto finale al CSIRT nazionale tramite Piattaforma di segnalazione unica (Art. 14) |
| Politica CVD | Non coperto | Politica documentata di divulgazione coordinata delle vulnerabilità (Art. 13(6)) |
| Contatto pubblico vulnerabilità | Non coperto | Punto di contatto unico per le segnalazioni di vulnerabilità, ad es. security.txt (Art. 13(7)) |
| Documentazione utente | Limitato | Istruzioni di sicurezza del prodotto |
| Fascicolo tecnico | Non coperto | Formato di documentazione CRA per Annex VII |
Sintesi dell'analisi delle lacune
Base solida (ISO 27001 aiuta significativamente):
- Cultura e consapevolezza della sicurezza
- Metodologia di gestione del rischio
- Capacità di risposta agli incidenti
- Gestione della sicurezza dei fornitori
- Politiche del ciclo di sviluppo sicuro
- Quadro di controllo degli accessi
- Pratiche di documentazione
Copertura parziale (ISO 27001 aiuta ma non è sufficiente):
- Gestione delle vulnerabilità (ambito organizzativo vs. ambito prodotto)
- Crittografia (politica vs. implementazione nel prodotto)
- Test di sicurezza (sistemi aziendali vs. test del prodotto)
- Gestione delle modifiche (modifiche IT vs. modifiche al prodotto)
- SBOM (consapevolezza dei componenti in A.8.26/A.8.28 vs. formato SBOM leggibile da macchina)
Lacune (specifiche del CRA, non coperte da ISO 27001):
- Generazione e manutenzione di SBOM in formato standardizzato
- Valutazione della conformità del prodotto
- Processo di CE Marking
- Segnalazione delle vulnerabilità al CSIRT nazionale tramite Piattaforma di segnalazione unica (Art. 14)
- Fascicolo tecnico specifico per prodotto (Annex VII)
- Impegno sul periodo di supporto (Art. 13(8))
- Verifica della configurazione predefinita sicura
- Requisiti del meccanismo di aggiornamento del prodotto
- Politica di divulgazione coordinata delle vulnerabilità (Art. 13(6))
- Contatto pubblico per la segnalazione di vulnerabilità (Art. 13(7))
Come usare ISO 27001 per il CRA
Usate il vostro ISMS come base
Se siete certificati ISO 27001, avete basi solide su cui costruire. La chiave è estendere i processi esistenti verso gli obblighi di prodotto invece di partire da zero.
Estendere i processi esistenti:
| Processo ISO 27001 | Estensione CRA |
|---|---|
| Valutazione del rischio (6.1) | Valutazione del rischio del prodotto |
| Gestione vuln. (A.8.8) | Gestione vulnerabilità prodotto + segnalazione al CSIRT |
| Gestione fornitori (A.5.19-22) | Raccolta SBOM dai fornitori |
| Gestione incidenti (A.5.24-26) | Segnalazione al CSIRT per Art. 14 |
| Sviluppo sicuro (A.8.25-28) | Test di sicurezza prodotto e fascicolo tecnico |
Nuovi processi da aggiungere:
| Nuovo processo | Scopo |
|---|---|
| Generazione SBOM | Tracciamento componenti per Art. 13(5) |
| Valutazione della conformità | CE Marking |
| Fascicolo tecnico del prodotto | Documentazione normativa per Annex VII |
| Gestione del periodo di supporto | Impegno per Art. 13(8) |
| Procedura di segnalazione a ENISA | Notifica vulnerabilità tramite CSIRT nazionale |
| Politica CVD | Divulgazione coordinata per Art. 13(6) |
Passi pratici di integrazione
Passo 1: Estensione dell'ambito
- Aggiungere la sicurezza del prodotto all'ambito del vostro ISMS
- Includere lo sviluppo del prodotto nella valutazione del rischio
- Estendere l'inventario degli asset per includere i componenti del prodotto
Passo 2: Aggiornamenti dei processi
- Aggiornare la procedura sulle vulnerabilità per la segnalazione al CSIRT nazionale tramite la Piattaforma di segnalazione unica
- Aggiungere SBOM alla gestione delle modifiche
- Includere la cadenza delle notifiche (allerta precoce 24h, notifica iniziale 72h, rapporto finale) nel processo di risposta agli incidenti
Passo 3: Aggiunte alla documentazione
- Fascicoli tecnici del prodotto
- Registri SBOM
- Prove di valutazione della conformità
- Documentazione del periodo di supporto
Passo 4: Ruoli e responsabilità
- Assegnare la responsabilità della sicurezza del prodotto
- Definire la responsabilità per le segnalazioni al CSIRT
- Stabilire la responsabilità per la manutenzione dello SBOM
- Assegnare la responsabilità della politica CVD
Controlli Annex A di ISO 27001 e CRA
Controlli più rilevanti
A.8.25 Ciclo di sviluppo sicuro
- ISO 27001: Politiche per lo sviluppo sicuro
- Uso per CRA: Base per i requisiti di sicurezza del prodotto (Annex I, Parte I)
A.8.26 Requisiti di sicurezza delle applicazioni
- ISO 27001: Requisiti di sicurezza nello sviluppo
- Uso per CRA: Base per i requisiti essenziali del prodotto; base parziale per l'inventario dei componenti SBOM
A.8.27 Architettura sicura dei sistemi
- ISO 27001: Principi di architettura sicura
- Uso per CRA: Architettura di sicurezza del prodotto
A.8.28 Codifica sicura
- ISO 27001: Pratiche di codifica sicura incluso il tracciamento delle dipendenze
- Uso per CRA: Sicurezza del codice del prodotto; base parziale per la consapevolezza dei componenti SBOM
A.8.8 Gestione delle vulnerabilità tecniche
- ISO 27001: Gestione organizzativa delle vulnerabilità
- Uso per CRA: Estendere alle vulnerabilità del prodotto + segnalazione al CSIRT nazionale tramite Piattaforma di segnalazione unica (Art. 14)
A.5.19-22 Relazioni con i fornitori
- ISO 27001: Gestione della sicurezza dei fornitori
- Uso per CRA: Raccolta SBOM dai fornitori, sicurezza della supply chain
Implementazione dei controlli per il CRA
ESTENDERE I CONTROLLI ISO 27001 PER IL CRA
ESTENSIONE A.8.8 GESTIONE DELLE VULNERABILITÀ:
Requisito ISO 27001:
"Devono essere ottenute informazioni sulle vulnerabilità
tecniche dei sistemi informativi in uso..."
Estensione CRA (Art. 14):
- Monitorare le vulnerabilità nei VOSTRI PRODOTTI
- Mantenere un processo per la notifica ai clienti
- Segnalare al CSIRT nazionale tramite Piattaforma unica:
allerta precoce 24h, notifica iniziale 72h,
rapporto finale 14 giorni (exploit attivo) o
rapporto finale 1 mese (incidente grave)
- Tracciare lo stato delle vulnerabilità per prodotto
- Generare documenti VEX
ESTENSIONE A.8.25-28 SVILUPPO SICURO:
Requisito ISO 27001:
"Devono essere stabilite e applicate regole per lo
sviluppo di software e sistemi..."
Estensione CRA:
- Includere la generazione SBOM nel processo di build (Art. 13(5))
- Verificare la configurazione "sicura per impostazione predefinita"
- Testare i requisiti di sicurezza del prodotto
- Documentare per il fascicolo tecnico (Annex VII)
- Mantenere prove per la valutazione della conformità
La certificazione ISO 27001 conta per la valutazione della conformità CRA?
La certificazione ISO 27001 copre la conformità CRA?
Punto fondamentale:
- La certificazione ISO 27001 dimostra la maturità della sicurezza organizzativa
- La conformità CRA è un requisito normativo per singolo prodotto
- Avere ISO 27001 non esenta dal CRA
- I revisori ISO 27001 non valutano la conformità CRA
Gli obblighi di segnalazione dell'Art. 14 iniziano l'11 settembre 2026. La piena conformità è richiesta entro l'11 dicembre 2027. La non conformità comporta sanzioni fino a 15 milioni di EUR o il 2,5% del fatturato annuo globale (Art. 64).
Usare ISO 27001 nel contesto CRA
COME CITARE ISO 27001 NELLA DOCUMENTAZIONE CRA
NEL FASCICOLO TECNICO:
"[Azienda] mantiene un Sistema di Gestione della
Sicurezza delle Informazioni certificato ISO/IEC
27001:2022 (Certificato n. XXX, rilasciato da
[Organismo di certificazione]).
L'ISMS fornisce la base organizzativa per la
sicurezza del prodotto, tra cui:
- Ciclo di sviluppo sicuro (A.8.25-28)
- Processo di gestione delle vulnerabilità (A.8.8)
- Requisiti di sicurezza dei fornitori (A.5.19-22)
La conformità CRA specifica del prodotto è documentata
in questo fascicolo tecnico, basandosi su questi
controlli ISMS."
COSA DIMOSTRA:
- Maturità nella gestione della sicurezza
- Esistenza della base del processo
- Non sostituisce le prove specifiche del prodotto
Sinergie tra audit
Audit di sorveglianza ISO 27001:
- Valutazione annuale dell'ISMS
- Può includere l'ambito della sicurezza del prodotto
- Prove riutilizzabili per il CRA
Valutazione della conformità CRA:
- Valutazione specifica per prodotto
- Fa riferimento all'ISMS per le prove di processo
- Richiede prove aggiuntive specifiche del prodotto
Opportunità di sinergia:
- Allineare i calendari degli audit
- Riutilizzare le prove ove applicabile
- Approccio integrato al sistema di gestione
- Repository documentale unico
Tre scenari comuni ISO 27001 + CRA
Scenario 1: Certificato ISO 27001, inizio del percorso CRA
Vantaggi già acquisiti:
- Esiste una metodologia di rischio
- Cultura della sicurezza consolidata
- Pratiche di documentazione in atto
- Gestione dei fornitori esistente
- Capacità di risposta agli incidenti
Cosa dovete ancora aggiungere:
- [ ] Classificazione del prodotto per CRA (Annex III/IV)
- [ ] Capacità di generazione SBOM (Art. 13(5))
- [ ] Processo di segnalazione al CSIRT (Art. 14)
- [ ] Fascicoli tecnici del prodotto (Annex VII)
- [ ] Processo di valutazione della conformità
- [ ] Gestione del periodo di supporto (Art. 13(8))
- [ ] Test di sicurezza specifici del prodotto
- [ ] Politica CVD (Art. 13(6))
- [ ] Contatto pubblico per le vulnerabilità (Art. 13(7))
Approccio:
- Analisi delle lacune rispetto ai requisiti CRA
- Estendere l'ambito ISMS per includere i prodotti
- Aggiungere processi specifici CRA
- Aggiornare la documentazione
- Formare i team interessati
Scenario 2: Nessuna ISO 27001, approccio al CRA
Opzione A: Solo CRA
- Implementare direttamente i requisiti CRA
- Approccio orientato al prodotto
- Potrebbe perdere i benefici della sicurezza organizzativa
- Percorso più rapido verso la conformità CRA
Opzione B: ISO 27001 + CRA
- Implementare entrambi i framework
- Postura di sicurezza complessiva più solida
- Più lavoro iniziale
- Posizione migliore a lungo termine
Raccomandazione: Per i produttori di prodotti, iniziate con i requisiti CRA (la scadenza normativa è fissa) e costruite verso ISO 27001 nel tempo. Allineate gli approcci fin dall'inizio per non duplicare il lavoro. Consultate la guida CRA per startup per un percorso a basso overhead.
Scenario 3: Prodotti multipli, ISMS centralizzato
Centralizzato (ISMS):
- Metodologia di rischio
- Processo di gestione delle vulnerabilità
- Gestione dei fornitori
- Risposta agli incidenti
- Standard di sviluppo
Per prodotto (CRA):
- Fascicolo tecnico
- SBOM
- Valutazione della conformità
- Documentazione del prodotto
- Periodo di supporto
Vantaggi:
- Riutilizzo efficiente dei processi
- Approccio coerente alla sicurezza
- Competenze centralizzate
- Conformità specifica per prodotto
Come integrare il CRA nel vostro ISMS esistente
Modello di governance
MODELLO DI GOVERNANCE INTEGRATO
LIVELLO ORGANIZZATIVO (ISO 27001):
┌─────────────────────────────────────────────┐
│ Sistema di Gestione della Sicurezza │
│ delle Informazioni │
│ │
│ - Politiche di sicurezza │
│ - Framework di gestione del rischio │
│ - Organizzazione della sicurezza │
│ - Consapevolezza e formazione │
└─────────────────────────────────────────────┘
│
▼
LIVELLO PRODOTTO (CRA):
┌─────────────────────────────────────────────┐
│ Conformità alla sicurezza del prodotto │
│ │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │Prodotto │ │Prodotto │ │Prodotto │ │
│ │ A │ │ B │ │ C │ │
│ │- Fasc. │ │- Fasc. │ │- Fasc. │ │
│ │ tecn. │ │ tecn. │ │ tecn. │ │
│ │- SBOM │ │- SBOM │ │- SBOM │ │
│ │- DoC │ │- DoC │ │- DoC │ │
│ └─────────┘ └─────────┘ └─────────┘ │
└─────────────────────────────────────────────┘
Struttura della documentazione
DOCUMENTAZIONE INTEGRATA
DOCUMENTAZIONE ISMS (ISO 27001):
├── Politica di sicurezza delle informazioni
├── Procedura di valutazione del rischio
├── Statement of Applicability
├── Politica di sviluppo sicuro
├── Procedura di gestione delle vulnerabilità
├── Procedura di risposta agli incidenti
└── Politica di sicurezza dei fornitori
DOCUMENTAZIONE CRA (per prodotto):
├── Fascicolo tecnico del prodotto (Annex VII)
│ ├── Descrizione del prodotto
│ ├── Valutazione del rischio
│ ├── Architettura di sicurezza
│ ├── Rapporti di test
│ └── SBOM
├── Dichiarazione UE di conformità
├── Documentazione utente
└── Dichiarazione del periodo di supporto
RIFERIMENTI INCROCIATI:
- Il fascicolo tecnico fa riferimento alle procedure ISMS
- Le procedure ISMS includono i requisiti CRA
- Registri conservati per 10 anni o il periodo
di supporto, se superiore (Art. 23(2))
Checklist: organizzazione ISO 27001 che aggiunge il CRA
Valutazione:
- [ ] Esaminare l'ambito ISMS attuale
- [ ] Identificare i prodotti con elementi digitali
- [ ] Classificare i prodotti per categorie CRA (Annex III/IV)
- [ ] Analisi delle lacune: ISMS vs. requisiti CRA
Estensione dell'ambito:
- [ ] Aggiungere la sicurezza del prodotto all'ambito ISMS
- [ ] Aggiornare la valutazione del rischio per includere i prodotti
- [ ] Estendere lo Statement of Applicability
Aggiunte ai processi:
- [ ] Processo di generazione SBOM (Art. 13(5))
- [ ] Procedura di segnalazione al CSIRT (Art. 14)
- [ ] Processo di valutazione della conformità
- [ ] Gestione del periodo di supporto (Art. 13(8))
- [ ] Procedura del fascicolo tecnico del prodotto (Annex VII)
- [ ] Politica CVD (Art. 13(6))
- [ ] Configurazione del contatto pubblico per le vulnerabilità (Art. 13(7))
Documentazione:
- [ ] Template del fascicolo tecnico
- [ ] Template di valutazione del rischio del prodotto
- [ ] Formato e archiviazione SBOM
- [ ] Template della Dichiarazione di conformità
Estensioni dei controlli:
- [ ] A.8.8: aggiungere vulnerabilità del prodotto e segnalazione al CSIRT
- [ ] A.8.25-28: aggiungere test di sicurezza del prodotto
- [ ] A.5.19-22: aggiungere SBOM dai fornitori
Ruoli:
- [ ] Assegnare il responsabile della sicurezza del prodotto
- [ ] Definire la responsabilità per le segnalazioni al CSIRT
- [ ] Stabilire il ruolo per la valutazione della conformità
- [ ] Assegnare il responsabile della politica CVD
Formazione:
- [ ] Consapevolezza CRA per i team di sviluppo
- [ ] Formazione sugli strumenti SBOM
- [ ] Formazione sulla valutazione della conformità
Risorse ufficiali ISO 27001 e CRA
ISO 27001:
- ISO/IEC 27001:2022: Gestione della sicurezza delle informazioni
- ISO/IEC 27002:2022: Controlli per la sicurezza delle informazioni
CRA:
- Regolamento (UE) 2024/2847: Cyber Resilience Act
- Mappatura degli standard dei requisiti CRA di ENISA (novembre 2024)
Standard complementari:
- ISO/IEC 27034: Sicurezza delle applicazioni (collega ISMS e sicurezza del prodotto)
- IEC 62443: Sicurezza industriale (adatto per produttori OT/IoT; forte candidato per standard armonizzato CRA)
- ISO/SAE 21434: Sicurezza automotive
Attenzione: La certificazione ISO 27001 NON equivale alla conformità CRA. ISO 27001 copre la sicurezza delle informazioni organizzativa; il CRA richiede una valutazione della conformità specifica per prodotto.
Consiglio: Mappate i vostri controlli Annex A esistenti sui requisiti Annex I del CRA per identificare le lacune. Iniziate con A.8.8, A.8.25-28 e A.5.19-22.
Domande frequenti
La certificazione ISO 27001 esenta un'azienda dalla valutazione della conformità CRA?
No. La certificazione ISO 27001 dimostra la maturità della sicurezza delle informazioni a livello organizzativo, ma non costituisce una valutazione della conformità CRA. Il CRA richiede prove specifiche per prodotto: SBOM, fascicolo tecnico, Dichiarazione di conformità e, ove applicabile, una valutazione da parte di un organismo notificato. Un certificatore che verifica il vostro ISMS non valuta la conformità CRA. Vedere le route di valutazione della conformità CRA.
Quali controlli dell'Annex A di ISO 27001 sono più direttamente rilevanti per l'Annex I del CRA?
I controlli con la maggiore sovrapposizione sono A.8.25-28 (ciclo di sviluppo sicuro), A.8.8 (gestione delle vulnerabilità tecniche) e A.5.19-22 (relazioni con i fornitori). Questi corrispondono ai requisiti CRA relativi alla sicurezza by design, all'obbligo di gestione delle vulnerabilità e alle disposizioni SBOM della supply chain. A.8.8 deve essere esteso per coprire la segnalazione delle vulnerabilità del prodotto al CSIRT nazionale tramite la Piattaforma di segnalazione unica ENISA (Art. 14).
Le prove di audit ISO 27001 possono essere riutilizzate in un fascicolo tecnico CRA?
Sì, selettivamente. Le prove del vostro ISMS relative allo sviluppo sicuro (A.8.25-28), alla gestione delle vulnerabilità (A.8.8) e ai controlli dei fornitori (A.5.19-22) possono essere referenziate nel fascicolo tecnico CRA. Il fascicolo tecnico richiede tuttavia anche prove specifiche per il prodotto, inclusi architettura di sicurezza, rapporti di test, SBOM e documentazione del periodo di supporto, che gli audit ISO 27001 non generano.
ISO 27001:2022 è meglio allineato con il CRA rispetto a ISO 27001:2013?
Sì. ISO 27001:2022 ha aggiunto controlli più rilevanti per il CRA, in particolare A.8.25-28 (ciclo di sviluppo sicuro, requisiti di sicurezza delle applicazioni, architettura sicura, codifica sicura). La versione 2013 aveva una copertura più debole in queste aree. Chi utilizza ancora la versione 2013 dovrebbe eseguire un'analisi delle lacune rispetto ai controlli della versione 2022 specificamente per le finalità del CRA.
ISO 27001 copre il requisito SBOM del CRA?
Parzialmente. A.8.26 (requisiti di sicurezza delle applicazioni) e A.8.28 (codifica sicura) includono concetti di consapevolezza dei componenti e tracciamento delle dipendenze. Tuttavia, ISO 27001 non richiede un SBOM leggibile da macchina in formato CycloneDX o SPDX con gli elementi minimi NTIA, che è quanto richiede l'Art. 13(5) del CRA. La consapevolezza organizzativa è una base, non un sostituto.
Il lavoro di conformità CRA può essere integrato in un programma ISO 27001 in corso?
Sì, ed è l'approccio raccomandato per le aziende già certificate. Estendete l'ambito dell'ISMS per includere la sicurezza del prodotto, aggiungete procedure specifiche per il prodotto relative a SBOM e notifica al CSIRT, e fate riferimento alle prove ISMS nei vostri fascicoli tecnici CRA. La chiave è aggiungere senza duplicare: le prove CRA si trovano nei fascicoli tecnici, non nella Statement of Applicability dell'ISMS.
Prossimi passi
- Eseguite un'analisi delle lacune dei vostri controlli Annex A dell'ISMS rispetto all'Annex I del CRA. Iniziate da A.8.8, A.8.25-28 e A.5.19-22. Portano la maggior parte del peso.
- Classificate ciascun prodotto in base all'Annex III e IV. La rotta di valutazione della conformità dipende da questo, non dal vostro stato di certificazione ISO 27001.
- Estendete la dichiarazione di ambito dell'ISMS per includere la sicurezza del prodotto. Aggiornate lo Statement of Applicability in modo che gli obblighi di prodotto siano visibili ai revisori.
- Aggiungete la generazione dello SBOM (Art. 13(5)) al vostro processo di gestione delle modifiche. CycloneDX o SPDX, leggibile da macchina, legato a ciascuna release.
- Create o aggiornate la procedura di segnalazione al CSIRT per l'Art. 14: allerta precoce a 24h, notifica iniziale a 72h, rapporto finale entro 14 giorni o 1 mese a seconda del tipo di incidente.
- Assegnate un responsabile della sicurezza del prodotto e un responsabile della politica CVD (Art. 13(6)/(7)). Non possono essere lo stesso slot ambiguo del "team sicurezza".
- Pianificate un audit interno combinato che copra sia la sorveglianza ISO 27001 sia la prontezza del fascicolo tecnico CRA. Riutilizzate le prove dove si applicano.
Verificate le route di valutazione della conformità CRA per confermare quale modulo si applica a ciascun prodotto. Consultate la cronologia di implementazione CRA per le scadenze di settembre 2026 e dicembre 2027.
Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultate un legale qualificato.
Articoli correlati
Il CRA si applica al tuo prodotto?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.