Avviso ENISA sui meccanismi di aggiornamento sicuri: guida CRA

L’avviso tecnico ENISA sui meccanismi di aggiornamento sicuri: obblighi CRA, 7 minacce e i controlli che le contrastano, con riferimenti ACN per l’Italia.

CRA Evidence Team Pubblicato 2 giugno 2026 Aggiornato 3 giugno 2026
Avviso tecnico ENISA sui meccanismi di aggiornamento sicuri, una guida in bozza che mappa le minacce del ciclo di aggiornamento ai controlli per i fabbricanti CRA
In questo articolo

ENISA aspetta il suo riscontro entro il 10 luglio 2026. Il suo secondo avviso tecnico sulla sicurezza dei prodotti, Secure Update Mechanisms, è uscito in bozza e la consultazione è aperta adesso.

Ecco perché conta. L’avviso prende il requisito del Cyber Resilience Act di fornire aggiornamenti sicuri e lo scompone in sette passaggi, ciascuno legato a un caso reale di fallimento. Quattro sono stati attacchi: SolarWinds, ASUS, Notepad++ e Trivy. Uno, il disservizio CrowdStrike del 2024, è stato un rilascio difettoso, non un attacco. ENISA poi mappa ogni passaggio sui controlli che riducono la probabilità o l’impatto di quella minaccia o di quel fallimento. Questa guida estrae le parti che servono a un fabbricante micro, piccolo o medio, le lega ai suoi obblighi CRA, aggiunge la nostra posizione sugli strumenti e sulle priorità, e percorre l’esempio del termostato che ENISA usa per tenere insieme il tutto.

Sintesi

  • ENISA ha pubblicato l’avviso Secure Update Mechanisms come bozza (Version 0.1) a maggio 2026. È il secondo della sua serie sulla sicurezza dei prodotti, dopo l’avviso Secure Use of Package Managers finalizzato a marzo 2026.
  • L’avviso è agnostico rispetto alla tecnologia. È coerente con The Update Framework (TUF), Uptane e NIST SP 800-40, ma non ne richiede nessuno.
  • Modella il ciclo di vita dell’aggiornamento in 7 passaggi su 3 domini di fiducia, elenca la minaccia a ogni passaggio con un incidente reale, e mappa il tutto su 36 raccomandazioni in 4 gruppi.
  • Si lega direttamente agli obblighi di aggiornamento dell’Allegato I del CRA: aggiornamenti di sicurezza tempestivi, distribuzione sicura, diffusione tempestiva, protezione dell’integrità, e aggiornamenti automatici con controlli per l’utente.
  • Non è una consulenza legale e non è una presunzione di conformità. Non spiega nemmeno come correggere il difetto sottostante.
  • Un esempio pratico di firmware di un termostato mostra la firma a due livelli, un manifesto firmato, la scoperta su TLS, cinque verifiche lato dispositivo, e l’installazione atomica A/B con rollback.
  • Il riscontro si raccoglie tramite sondaggio, scadenza 10 luglio 2026.
7
Passaggi del ciclo
Dalla build alla registrazione
4
Modelli di consegna
In-band, piattaforma, manuale, a fasi
36
Raccomandazioni
su 4 gruppi di controlli
10 lug
Scadenza riscontro
Consultazione pubblica 2026

Fonte: ENISA Technical Advisory on Secure Update Mechanisms, bozza Version 0.1, maggio 2026.

Cosa è l’avviso, e cosa non è

L’avviso tecnico ENISA sui meccanismi di aggiornamento sicuri è una bozza datata maggio 2026, etichettata Version 0.1 nelle intestazioni di pagina. Il file pubblicato si chiama v0.6, che sembra un refuso. ENISA l’ha aperta a consultazione pubblica con un sondaggio di riscontro che chiude il 10 luglio 2026.

Si rivolge ai fabbricanti di prodotti con elementi digitali, in particolare ai team che progettano, costruiscono o gestiscono i meccanismi di aggiornamento. ENISA l’ha scritto per i fabbricanti micro, piccoli e medi che devono capire le minacce comuni agli aggiornamenti e applicare una serie di controlli senza disporre di un grande team di sicurezza.

I suoi limiti vanno chiariti. ENISA ne dichiara tre in modo diretto.

Legga il disclaimer

L’avviso non è una consulenza legale, non è un’interpretazione formale del CRA, e non è una presunzione di conformità. Non copre nemmeno come sviluppare o convalidare la patch in sé, compresa l’analisi della causa principale. La conformità al regolamento (UE) 2024/2847 resta responsabilità del fabbricante.

Quello che offre è una mappa condivisa. Lo stesso ciclo di vita a sette passaggi attraversa la sezione delle minacce e quella dei controlli, così un controllo rimanda sempre alla minaccia a cui risponde.

Il ciclo di vita dell’aggiornamento, in sette passaggi

ENISA descrive ogni aggiornamento, che sia firmware, un binario, una patch differenziale, un file di firma o una modifica di configurazione, come un percorso attraverso gli stessi sette passaggi. Cinque attori li portano avanti: il produttore (fabbricante), il servizio di pubblicazione, il repository degli aggiornamenti, il client di aggiornamento e l’endpoint.

I sette passaggi attraversano tre zone di fiducia. Il dominio di fiducia del produttore è dove l’aggiornamento viene costruito e firmato. Il dominio di distribuzione, che include repository e CDN, è trattato come meno affidabile. Il dominio di fiducia del dispositivo è dove l’aggiornamento viene verificato e installato.

Il ciclo di vita dell’aggiornamento software su tre domini di fiducia. Dominio del produttore: passaggio 1 build e firma, minacciato da compromissione della build o della chiave di firma (SolarWinds), passaggio 2 pubblicazione, minacciato da manomissione di metadati o payload (Trivy). Dominio di distribuzione, meno affidabile: passaggio 3 controllo aggiornamenti, minacciato da reindirizzamento, replay o freeze (Notepad++), passaggio 4 recupero, minacciato da sostituzione del payload (ASUS ShadowHammer). Dominio del dispositivo: passaggio 5 verifica, minacciato da verifica debole o assente, passaggio 6 installazione, minacciato da installazione difettosa o malevola (CrowdStrike), passaggio 7 registrazione dello stato, minacciato da un fallimento che passa inosservato.
I sette passaggi dell’aggiornamento, il dominio di fiducia in cui ognuno si colloca, e l’incidente reale che mostra cosa va storto in quel passaggio.

L’idea più utile del documento sta dietro quel diagramma.

Si fidi della firma, non della fonte

Il dispositivo riceve una chiave pubblica radice come ancora di fiducia. Un aggiornamento è accettato perché la verifica crittografica supera il controllo, non per la provenienza del download. Anche se una CDN o un mirror sono compromessi, un aggiornamento non autorizzato o modificato deve essere respinto sul dispositivo.

Come gli aggiornamenti raggiungono il dispositivo

Il ciclo di vita è lo stesso ovunque. Chi esegue ogni passaggio no. ENISA nomina quattro modelli di consegna, e il modello decide dove devono risiedere i suoi controlli. La matrice sotto mostra chi esegue ogni passaggio, così Lei vede quali celle deve costruire.

Una matrice di quattro modelli di consegna rispetto a quattro passaggi dell’aggiornamento: scoperta, recupero, verifica e installazione. Per un aggiornatore in-band integrato, il prodotto esegue tutti e quattro i passaggi, quindi sono tutti di sua responsabilità. Per gli aggiornamenti gestiti da piattaforma, una piattaforma esterna esegue tutti e quattro i passaggi. Per gli aggiornamenti manuali out-of-band, l’utente esegue scoperta, recupero e installazione, mentre la verifica è il controllo che Lei costruisce. Per gli aggiornamenti aziendali o a fasi, l’organizzazione cliente esegue scoperta, recupero e installazione, e la verifica è condivisa tra Lei e il cliente. In ogni modello build e firma restano sempre suoi.
Chi esegue ogni passaggio dell’aggiornamento, secondo la nostra lettura dei quattro modelli di consegna di ENISA. ENISA descrive i modelli ma non ne tabula la ripartizione. Le celle indaco sono quelle che Lei costruisce e possiede.

Gli esempi che ENISA dà: l’in-band copre gli aggiornatori delle app desktop, gli aggiornatori dei plugin in-prodotto e l’aggiornamento automatico del browser. Il modello gestito da piattaforma copre gli store di app mobili, i repository di pacchetti Linux, le piattaforme MDM e gli store di estensioni del browser. Il manuale out-of-band copre un installer da un sito del fornitore, una patch tramite un portale sicuro o un pacchetto inviato per email. L’aziendale o a fasi copre lo staging in stile WSUS, i mirror aziendali, i server di patch management e il trasferimento air-gapped.

Per i progetti semplici, ENISA descrive un dispositivo che si fida di una chiave pubblica radice più una chiave operativa di firma. I progetti più avanzati usano ruoli di firma separati, e i deployment a maggiore garanzia aggiungono le firme a soglia, dove più di un detentore di chiave deve approvare una modifica sensibile. TUF e Uptane formalizzano questa separazione dei ruoli. Non deve adottare nessuno dei due per raggiungere la base minima.

Sette modi in cui il canale di aggiornamento viene attaccato

Questa è la parte da leggere due volte. ENISA percorre ogni passaggio del ciclo di vita, indica la minaccia, l’impatto e un incidente reale. Lo schema è costante: una compromissione all’inizio della catena resta invisibile se i passaggi successivi trattano tutto come normale. La tabella sotto è la sezione 3 dell’avviso, condensata, con il controllo principale aggiunto dalla sua sezione 4.

PassaggioCosa va stortoIncidente realeControllo principale
1. Build e firmaPipeline di build o chiavi di firma compromesse, codice malevolo inserito in artefatti firmatiSolarWinds: codice malevolo inserito nell’ambiente di build e distribuito in aggiornamenti firmatiAmbiente di build affidabile, protezione delle chiavi in un HSM, provenienza
2. PubblicazioneMetadati o payload dell’aggiornamento manipolati durante la pubblicazione, file legittimi sostituiti o trattenutiTrivy: processi di rilascio e distribuzione presi di mira per spingere artefatti compromessi attraverso canali affidabiliConvalida pre-rilascio, flusso di rilascio controllato, integrità dei metadati
3. Controllo aggiornamentiReindirizzamento, dirottamento DNS, servizi di aggiornamento falsi, replay di vecchi metadati, o attacchi freeze che nascondono correzioni più recentiNotepad++: la scoperta degli aggiornamenti dirottata in modo che alcuni utenti contattassero una fonte controllata dall’attaccanteFonte di aggiornamento affidabile, convalida della freschezza dei metadati
4. RecuperoDownload manomesso, artefatti malevoli o corrotti consegnati da repository, mirror o CDNASUS Live Update (ShadowHammer, 2019): artefatti malevoli spinti attraverso il normale canale di download verso utenti specificiSicurezza del trasporto robusta (TLS), trattare le CDN come non affidabili, verifica dell’integrità
5. VerificaVerifiche deboli o assenti di firma, catena di fiducia, hash, versione o applicabilità lasciano passare aggiornamenti dannosi come validiNotepad++ ha poi rafforzato la verifica dell’installer dopo il dirottamentoVerifica della firma, applicazione dell’integrità, anti-rollback
6. InstallazioneCodice malevolo eseguito con privilegi elevati, oppure un aggiornamento difettoso che rompe il dispositivoDisservizio CrowdStrike Falcon (2024): un aggiornamento difettoso e non malevolo ha causato crash su larga scalaInstallazione atomica, test di aggiornamento sicuro, recupero e rollback
7. Registrazione dello statoRegistrazione, monitoraggio o segnalazione assenti, disattivati o soppressi, così i problemi passano inosservatiIl disservizio CrowdStrike ha mostrato perché la visibilità rapida sui fallimenti e sugli endpoint colpiti conta su larga scalaRegistrazione dello stato dell’aggiornamento, log sicuri, segnalazione dei fallimenti

Il modello di minaccia che ENISA assume è ampio. Gli attaccanti possono prendere di mira le pipeline di build, le chiavi di firma, i servizi di pubblicazione, i repository, le CDN, il DNS, il replay dei metadati, lo stato di aggiornamento lato client o il flusso di installazione. Il mix di casi malevoli (SolarWinds, ASUS) e di uno non malevolo (CrowdStrike) è voluto. Un meccanismo di aggiornamento sicuro deve sopravvivere sia a un attaccante sia a un rilascio difettoso.

STRIDE in sintesi

L’Allegato 1 dell’avviso mappa le minacce sulle categorie STRIDE di Microsoft. È una mappatura indicativa, non esaustiva, e diverse minacce coprono più di una categoria. Se quest’anno organizza una sola sessione di threat modeling, usi questa tabella come ordine del giorno: percorra il suo canale di aggiornamento passaggio per passaggio e si chieda quale categoria STRIDE morde più forte a ognuno. Per un team snello, le righe Manomissione e Falsificazione dell'identità ai passaggi Recupero e Controllo meritano il tempo maggiore, perché è lì che sono atterrati gli attacchi ASUS e Notepad++.

Fase del ciclo di vita Categorie STRIDE
Build / pacchettizzazione / istituzione della fiducia Manomissione, Falsificazione dell'identità, Elevazione dei privilegi
Pubblicazione Manomissione, Falsificazione dell'identità, Negazione del servizio
Controllo aggiornamenti Falsificazione dell'identità, Manomissione, Negazione del servizio
Recupero Manomissione, Falsificazione dell'identità, Negazione del servizio
Verifica Falsificazione dell'identità, Manomissione
Installazione Elevazione dei privilegi, Manomissione, Negazione del servizio
Registrazione dello stato Ripudio, Manomissione, Negazione del servizio

I controlli, raggruppati come li raggruppa ENISA

La sezione 4 riunisce i controlli in quattro fasi e li allinea al Playbook ENISA Secure by Design and Default. L’avviso completo elenca 36 raccomandazioni denominate. Le tabelle sotto tengono quelle a maggior valore per ogni fase. Per la serie completa, legga la fonte.

Preparazione e pubblicazione

Questa fase copre la costruzione, l’autorizzazione e la pubblicazione dell’aggiornamento e dei suoi metadati.

Raccomandazione Cosa significa
Pratiche di firma sicure Firmare i metadati dell’aggiornamento con crittografia robusta, e legare l’artefatto a quei metadati.
Protezione e gestione delle chiavi Conservare le chiavi di firma in un HSM, limitarne l’accesso, separare i ruoli delle chiavi, e ruotarle o revocarle in caso di sospetta compromissione.
Provenienza e tracciabilità Mantenere la tracciabilità dalla sorgente al rilascio. I team a maggiore garanzia usano la provenienza SLSA o le attestazioni in-toto.
Controllo delle dipendenze Verificare i componenti di terze parti ed esterni rispetto alle vulnerabilità note prima del rilascio. Il suo SBOM alimenta questo controllo.
Strutturazione degli aggiornamenti Progettare i rilasci in modo che gli aggiornamenti di sicurezza viaggino indipendentemente dalle modifiche funzionali, e si installino automaticamente per impostazione predefinita dove possibile.
Collegamento all’avviso di sicurezza Rilasciare l’aggiornamento con informazioni chiare sulla vulnerabilità, la sua gravità e la correzione, così gli utenti capiscono l’urgenza.
Test del comportamento sicuro dell’aggiornamento Verificare che gli aggiornamenti si installino senza rompere il dispositivo, e che il rollback o il recupero funzionino in caso di fallimento.

Scoperta e recupero

Questa fase decide come i client trovano e scaricano gli aggiornamenti senza essere reindirizzati o riforniti di dati obsoleti.

Raccomandazione Cosa significa
Fonte di aggiornamento affidabile Ottenere le informazioni sugli aggiornamenti solo da endpoint autorizzati e autenticati.
Sicurezza del trasporto robusta Usare TLS per scoperta e recupero, senza ripiego su protocolli insicuri.
Separazione dei domini di fiducia Trattare CDN, mirror e intermediari come non affidabili. La loro compromissione non deve bastare a spingere un aggiornamento modificato.
Convalida della freschezza dei metadati Usare scadenza, timestamp, versione o numeri di sequenza monotoni per respingere metadati obsoleti, riprodotti o congelati.
Supporto al recupero automatizzato Attivare scoperta e recupero automatici per impostazione predefinita, con controlli per posticipare ma non bloccare gli aggiornamenti di sicurezza critici.

Verifica e installazione

Questo è il punto decisivo della fiducia. Se fallisce, le compromissioni precedenti diventano aggiornamenti validi.

  1. Verifica della firma. Verificare l’autenticità dei metadati, e confermare che l’artefatto è legato a essi in modo crittografico.
  2. Convalida dell’applicabilità. Confermare che l’aggiornamento si adatta a questo prodotto, versione e configurazione prima di installarlo.
  3. Applicazione dell’integrità. Convalidare l’hash dell’artefatto e respingere ogni contenuto corrotto o modificato prima dell’installazione.
  4. Controllo della versione e anti-rollback. Bloccare l’installazione di versioni più vecchie o non autorizzate con contatori di rollback o numeri di sequenza monotoni.
  5. Contesto di installazione autorizzato. Solo componenti affidabili e autorizzati possono avviare ed eseguire l’installazione, con restrizioni a privilegio minimo. È il controllo per la minaccia del privilegio elevato al passaggio di installazione.
  6. Comportamento di aggiornamento atomico. Il sistema passa interamente alla nuova versione o resta in sicurezza sulla precedente, con recupero in caso di fallimento.

Osservabilità e recupero

Questa fase registra gli esiti, fa emergere i fallimenti e permette al dispositivo di recuperare.

Raccomandazione Cosa significa
Registrazione dello stato dell’aggiornamento Registrare l’esito di ogni operazione: successo, fallimento, rollback o installazione parziale.
Log sicuri Proteggere i log degli aggiornamenti da manomissioni e accessi non autorizzati.
Segnalazione dei fallimenti di integrità Rilevare e segnalare i fallimenti nella convalida di firma, integrità o metadati.
Recupero e rollback Recuperare dagli aggiornamenti falliti, compreso il ritorno a una versione nota e funzionante.
Recupero dell’ancora di fiducia e delle chiavi Sostenere la rotazione o la sostituzione sicura delle chiavi di firma in caso di compromissione.

Come i team costruiscono questo con strumenti open source

ENISA mantiene l’avviso agnostico rispetto alla tecnologia e nomina framework e indicazioni come TUF, Uptane, SLSA, in-toto e NIST SP 800-40, senza raccomandare strumenti specifici. Per un regolatore è la scelta giusta, ma lascia aperta la questione pratica. La mappatura sotto è nostra, non di ENISA. Nessuno di questi strumenti è un certificato di conformità. Implementano l’ingegneria. La prova resta sua.

Gruppo di controllo Strumenti e framework open source Cosa Le danno
Build, provenienza, controllo dipendenze Syft, Grype, Trivy e OSV-Scanner, più il framework SLSA con le attestazioni in-toto (prodotte da strumenti come Tekton Chains o i generatori SLSA) Generano un SBOM, scansionano le dipendenze per vulnerabilità note, e producono una provenienza di build firmata dalla sorgente all’artefatto.
Firmare metadati e artefatti Sigstore (cosign), The Update Framework (python-tuf, go-tuf), Notary / Notation Firmano i metadati dell’aggiornamento e vi legano l’artefatto. Sigstore aggiunge un log pubblico di trasparenza. TUF aggiunge ruoli di firma e metadati di freschezza.
Proteggere le chiavi di firma SoftHSM per i test, e Sigstore Fulcio e Rekor per la firma keyless, sostenuti da un HSM PKCS#11 o da un cloud KMS per le chiavi di produzione Tengono le chiavi di firma fuori dalle macchine di build e conservano un registro di cosa è stato firmato e quando.
Client di aggiornamento sul dispositivo Mender, RAUC, SWUpdate, OSTree Verificano un aggiornamento firmato sul dispositivo, lo installano in uno slot o deployment ridondante, e fanno rollback in caso di fallimento. Come l’aggiornamento raggiunge il dispositivo dipende da come Lei li integra.
Orchestrazione del rollout e framework Eclipse hawkBit (rollout lato server verso una flotta), Uptane (framework di aggiornamento sicuro automotive) Gestiscono e scaglionano la consegna a molti dispositivi. Non sono installer sul dispositivo.
Collegamento all’avviso di sicurezza e alla correzione OpenVEX, CSAF, CycloneDX VEX Pubblicano dichiarazioni di vulnerabilità e sfruttabilità leggibili dalla macchina accanto all’aggiornamento.
La nostra posizione: non costruisca l’aggiornatore da zero

Per un prodotto embedded, un framework A/B mantenuto come Mender, RAUC, SWUpdate o OSTree Le può dare immagini firmate, verifica sul dispositivo, installazione atomica e rollback, una volta configurato per il suo modello di aggiornamento. Copre la maggior parte dei passaggi da 4 a 7 in una dipendenza che non deve mantenere Lei. L’esempio del termostato qui sotto si legge come una versione fatta a mano di ciò che questi strumenti offrono una volta impostati. Concentri il suo sforzo sulla protezione delle chiavi e sulla provenienza della build, le parti che nessun aggiornatore Le consegna gratis.

Costruisca l’aggiornatore in ordine di dipendenza

Questa parte è la nostra guida, non quella di ENISA. Prima un’avvertenza: non è una lista breve a cui fermarsi. Il CRA richiede ogni requisito essenziale di cibersicurezza che si applica al suo prodotto, in base alla sua valutazione dei rischi a norma dell’Allegato I, quindi l’obiettivo è la serie completa di controlli. Quello che segue è l’ordine in cui li costruiremmo noi, perché un piccolo team non resti paralizzato di fronte a 36 raccomandazioni. La base rende significativi i controlli successivi, quindi la sequenza conta.

  1. Firmi i metadati e verifichi sul dispositivo. Provveda un’ancora di fiducia radice e controlli la firma prima di qualsiasi installazione. Lo faccia per primo, perché ogni altro controllo presuppone che il dispositivo accetti solo aggiornamenti autentici. Senza, il resto è decorazione.
  2. Blindi il trasporto. TLS per scoperta e recupero, e tratti ogni CDN o mirror come non affidabile. È quasi tutta configurazione, quindi costa poco, e chiude l’attacco al recupero in stile ASUS.
  3. Aggiunga i controlli di hash e applicabilità. Piccole aggiunte al passaggio di verifica: confermi che l’hash dell’artefatto corrisponde al manifesto firmato, e che l’aggiornamento si adatta a questo modello e versione. Sforzo ridotto una volta che la firma è in atto.
  4. Pianifichi l’anti-rollback per tempo. È il controllo più difficile da aggiungere dopo, perché ha bisogno di uno stato del contatore protetto e della cooperazione del bootloader, quindi lo pianifichi adesso anche se arriva più avanti. È la difesa contro freeze e downgrade su cui ENISA insiste di più.
  5. Renda atomiche le installazioni, con rollback. Slot A/B o ridondanti, così un rilascio difettoso (la modalità di fallimento CrowdStrike) non manda in blocco il dispositivo. È un lavoro grosso se fatto a mano, ed è il motivo per cui qui di solito vince un framework mantenuto.
  6. Registri e segnali gli esiti. Un log degli aggiornamenti a prova di manomissione e una segnalazione dei fallimenti, così può rilevare un problema e dimostrare cosa è successo. È anche ciò da cui attinge la sua prova CRA.

Un esempio pratico: distribuire una patch per un termostato

ENISA chiude con un esempio concreto, ed è la parte più chiara del documento. Un termostato IoT embedded alla versione 1.0.0 ha bisogno di un aggiornamento di sicurezza che corregge EUVDB-202X-Y, una falla di validazione dell’input. Il dispositivo usa un aggiornatore in-band. L’esempio è illustrativo, non un modello universale.

Il fabbricante gestisce due livelli di firma. Un’autorità di firma radice resta offline e autorizza una chiave operativa di firma del fornitore usata per i rilasci di routine. Quella separazione permette di ruotare la chiave del fornitore senza cambiare l’ancora di fiducia radice del dispositivo.

Il dispositivo viene fornito con le parti mostrate sotto.

Schizzo del termostato a sinistra, che mostra il quadrante al firmware corrente v1.0.0, due slot di firmware slot_a e slot_b, un’area di staging per i download non verificati, e un aggiornamento in arrivo su TLS. A destra, sei componenti. root_public.pem è l’ancora di fiducia impostata in fabbrica che verifica le chiavi di firma. vendor_public.pem verifica i metadati firmati dell’aggiornamento ed è ruotabile tramite un aggiornamento. slot_a e slot_b sono due slot di firmware per gli aggiornamenti A/B. staging è l’area di attesa per i download non verificati. rollback_counter è lo stato anti-rollback protetto nella memoria non volatile. ca.pem è il trust store TLS che convalida il certificato del server di aggiornamento.
Cosa viene fornito dentro il dispositivo, e come arriva un aggiornamento prima di essere verificato.

Preparazione. La build gira in un ambiente controllato con solo codice e dipendenze autorizzati. Viene generato un SBOM e controllato rispetto alle vulnerabilità. Il fabbricante produce un manifest.json firmato che porta l’hash SHA-256 e la dimensione del file, il prodotto e la versione applicabili, i campi di freschezza e anti-rollback (timestamp, scadenza, contatore di rollback), e le informazioni dell’avviso di sicurezza (gravità, URL dell’avviso di sicurezza). Una modifica a livello di byte del pacchetto produce un hash diverso, rilevato sul dispositivo.

openssl dgst -sha256 -sign keys/vendor_private.pem \
  -out repo/manifest.json.sig repo/manifest.json

Scoperta. Il termostato controlla gli aggiornamenti su TLS, convalidando il certificato del server rispetto a ca.pem. I campi update_type e severity gli permettono di distinguere un aggiornamento di sicurezza da un rilascio di routine e di avvisare l’utente di conseguenza. I download atterrano in staging, così una perdita di alimentazione a metà download non tocca mai il firmware in esecuzione.

curl --tlsv1.2 --cacert /etc/ssl/certs/ca.pem \
  https://updates.acme.com/device/manifest.json -o manifest.json

Verifica e installazione. Prima di installare, il dispositivo esegue cinque verifiche in ordine. Se una sola fallisce, interrompe.

Cinque verifiche eseguite in ordine prima che un aggiornamento si installi, e qualsiasi fallimento interrompe e mantiene il firmware corrente. Verifica 1 fiducia nella chiave di firma: la chiave radice conferma che la chiave del fornitore è autorizzata. Verifica 2 firma: la chiave del fornitore verifica la firma del manifesto. Verifica 3 hash: lo SHA-256 dell’artefatto corrisponde al manifesto. Verifica 4 anti-rollback: il contatore di rollback del manifesto è almeno pari a quello del dispositivo. Verifica 5 applicabilità: modello, versione, timestamp e configurazione corrispondono. Se tutte e cinque superano, il firmware viene scritto nello slot inattivo e attivato con uno switch atomico A/B. Se una verifica fallisce, l’aggiornamento si interrompe e il firmware in esecuzione resta intatto.
Un aggiornamento deve superare tutte e cinque le verifiche prima di toccare il firmware attivo.

La verifica anti-rollback pesa di più. Il contatore di rollback del dispositivo sale solo dopo che il nuovo firmware si avvia e supera i suoi controlli di salute, così un aggiornamento fallito o malevolo non può alzare di nascosto la soglia e bloccare una correzione futura. In caso di successo, il firmware viene scritto nello slot inattivo e attivato con uno switch di slot atomico, così resta sempre una versione nota e funzionante. L’osservabilità registra ogni tentativo in un update.log ad accesso ristretto con timestamp e stato. Se la chiave del fornitore viene mai compromessa, il fabbricante firma e distribuisce una nuova chiave del fornitore che la chiave radice autorizza. La chiave radice non viene mai aggiornata tramite questo canale. La compromissione della radice richiede un processo sicuro separato come il ripristino di fabbrica.

Cosa significa per il suo fascicolo CRA

La tabella finale dell’avviso abbina ogni dichiarazione di sicurezza a esempi di prove e artefatti. Quella mappatura è il ponte verso la sua documentazione tecnica. La documentazione tecnica del CRA chiede entrambe le cose: una descrizione della sua soluzione di aggiornamento sicuro (Allegato VII) e la prova che la sostiene, compresi una distinta base del software (SBOM) e relazioni di prova. Una descrizione senza nulla a sostegno è il punto debole.

Il nostro punto di vista: parta dalla prova, non dai controlli

Questa è la nostra posizione, non quella di ENISA. Per una PMI con tempo limitato, questa tabella è la parte dell’avviso su cui agire per prima. La documentazione tecnica del CRA (Articolo 31 e Allegato VII) vuole una descrizione della sua soluzione di aggiornamento più la prova che la sostiene: relazioni di prova, un SBOM e artefatti. La maggior parte dei team sa scrivere la descrizione. La domanda più difficile è se Lei oggi sa produrre la prova per ogni dichiarazione. È lì che metteremmo la prima ora.

Le dichiarazioni di sicurezza dell’esempio, e la prova che sostiene ciascuna, si presentano così.

Cosa può dichiarare Prova da conservare
L’aggiornamento è affidabile (origine e composizione) Log di build, SBOM, risultati SCA, registri CI/CD
Protetto da rilascio non autorizzato o impersonazione Manifesto firmato, chiavi pubbliche radice e del fornitore, log di firma
Le correzioni di sicurezza vengono distribuite senza ritardo operativo Note di rilascio solo di sicurezza, campi del manifesto
Il canale di aggiornamento è autenticato e privato ca.pem, impostazioni TLS
Protetto contro il blocco su una versione vulnerabile Controlli di freschezza, scadenza, log di convalida della versione
Verificato prima dell’attivazione, protetto contro il downgrade Chiavi pubbliche, file di firma, stato anti-rollback
I fallimenti vengono rilevati e sono recuperabili update.log, log dei controlli di salute, registri di rollback

Ogni riga sostiene uno o più requisiti dell’Allegato I del CRA, dall’integrità e dalla distribuzione sicura al monitoraggio e alla disponibilità. Per il dettaglio a livello di articolo, veda i requisiti CRA per gli aggiornamenti di sicurezza.

Se oggi non sa produrre la colonna di destra, quel divario è il suo compito da svolgere. Un record VEX e un controllo delle dipendenze guidato dall’SBOM coprono direttamente due di queste righe. La sua verifica dei fornitori copre la riga della fiducia nella build per i componenti che non ha scritto Lei.

Domande frequenti

L’avviso ENISA sui meccanismi di aggiornamento sicuri è obbligatorio?

No. È un avviso tecnico in bozza, non una consulenza legale, e ENISA dichiara che non è una presunzione di conformità. Gli obblighi vincolanti stanno nel CRA, principalmente nei requisiti di aggiornamento dell’Allegato I. L’avviso aiuta a soddisfarli in pratica, ma un’autorità di vigilanza del mercato La valuta rispetto al regolamento (UE) 2024/2847, non rispetto a questo documento. In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità nazionale italiana per la cibersicurezza, ma gli obblighi che deve soddisfare restano quelli fissati dal CRA.

In cosa si distingue dal Playbook ENISA Secure by Design?

Il Playbook Secure by Design and Default copre l’intero prodotto su 22 principi e l’intero ciclo di vita. Questo avviso si concentra su un sottosistema, il canale di aggiornamento, e approfondisce i suoi sette passaggi, le minacce e i controlli. Legga il playbook per i principi a livello di prodotto e questo avviso quando progetta o verifica l’aggiornatore in sé.

Quali requisiti CRA soddisfa un meccanismo di aggiornamento sicuro?

Un meccanismo di aggiornamento sicuro è il modo in cui Lei soddisfa gli obblighi di aggiornamento del CRA nell’Allegato I. In parole semplici, Le permette di mostrare che sa distribuire le correzioni di sicurezza rapidamente, consegnarle su un canale che non può essere manomesso, proteggerle dalla corruzione, far sì che gli utenti le ricevano automaticamente mantenendo un certo controllo, e avvisare gli utenti quando un aggiornamento conta. I controlli di build, distribuzione, verifica e recupero di questo avviso si allineano a ciascuno di questi punti. Per il dettaglio a livello di articolo, veda i requisiti CRA per gli aggiornamenti di sicurezza.

Devo implementare TUF o Uptane?

No. L’avviso è agnostico rispetto alla tecnologia e dice solo che le sue raccomandazioni sono coerenti con TUF, Uptane e NIST SP 800-40. La base minima è un’ancora di fiducia sul dispositivo, metadati firmati, verifica sul dispositivo e anti-rollback. TUF e Uptane formalizzano più ruoli di firma e metadati di freschezza per progetti a maggiore garanzia, quindi li adotti se il suo profilo di rischio lo richiede.

Cos’è l’anti-rollback e perché l’avviso vi insiste?

L’anti-rollback impedisce a un attaccante di riportare un dispositivo a una versione più vecchia, vulnerabile, ma ancora firmata in modo valido. È un attacco freeze o downgrade, e compare ai passaggi di controllo, verifica e installazione. L’esempio del termostato usa un contatore di rollback tenuto in memoria protetta e aumentato solo dopo che il nuovo firmware si avvia e supera i controlli di salute. Senza, un aggiornamento firmato ma vecchio passa la verifica della firma senza ostacoli.

Come invio il mio riscontro a ENISA?

ENISA raccoglie il riscontro tramite un sondaggio pubblico, con scadenza il 10 luglio 2026. Può leggere il PDF della bozza sul sito di ENISA, dove è pubblicato anche il link al sondaggio. Se distribuisce aggiornamenti a prodotti con elementi digitali, il suo modello di consegna reale è proprio ciò su cui ENISA ha chiesto ai fabbricanti di esprimersi.

Prossimi passi

Cosa fare prima della scadenza del 10 luglio

  1. Disegni la sua versione del diagramma a sette passaggi per un prodotto reale. Segni quale dei quattro modelli di consegna usa e quali passaggi controlla davvero.
  2. Applichi la tabella delle sette minacce a quel prodotto. Per ogni riga, annoti il controllo che ha oggi e la prova che potrebbe mostrare, usando i requisiti CRA per gli aggiornamenti di sicurezza come lista di controllo.
  3. Chiuda per primi i due divari di prova più facili: generi un SBOM nella sua pipeline di build e predisponga i record VEX per il collegamento all’avviso di sicurezza.
  4. Se il suo progetto manca di anti-rollback o di installazione atomica, valuti un framework di aggiornamento mantenuto (Mender, RAUC, SWUpdate, OSTree) prima di costruirlo Lei. È il controllo più difficile da aggiungere dopo e quello su cui ENISA insiste di più.

Questo articolo ha solo scopo informativo e non costituisce una consulenza legale. Per indicazioni specifiche sulla conformità, consulti un legale qualificato.

CRA Sicurezza ENISA Catena di Fornitura Secure by Design
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Guide sempreverdi su requisiti, processi e ruoli definiti dal Regolamento sulla cibersicurezza (CRA).

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
Vedi la guida completa alla conformità CRA