HBOM per la Conformità CRA: Guida alla Distinta Base dei Componenti Hardware

Mentre l'SBOM (Software Bill of Materials) attira la maggior parte dell'attenzione, i prodotti con elementi digitali hanno spesso componenti hardware significativi, ciascuno potenzialmente contenente firmware con le proprie vulnerabilità. L'HBOM (Hardware Bill of Materials) fornisce visibilità su questi componenti fisici e sul loro software incorporato.

Questa guida spiega l'HBOM nel contesto CRA.

Cos'è l'HBOM?

Definizione

Una Distinta Base dei Componenti Hardware (HBOM) è un inventario strutturato dei componenti fisici in un prodotto, che include tipicamente:

• Identificazione componenti (codici, produttori)
• Versioni/revisioni hardware
• Versioni firmware (incorporato nei componenti)
• Attributi rilevanti per la sicurezza
• Informazioni sulla supply chain

HBOM vs. BOM Tradizionale

BOM TRADIZIONALE (Produzione):
Focus: Produzione e approvvigionamento
Contenuto: Parti, quantità, fornitori, costi
Uso: Produzione, inventario, acquisti

HBOM (Orientata alla sicurezza):
Focus: Sicurezza e trasparenza
Contenuto: Componenti, firmware, attributi di sicurezza
Uso: Gestione vulnerabilità, sicurezza supply chain

SOVRAPPOSIZIONE:
Entrambe elencano componenti fisici
L'HBOM aggiunge informazioni rilevanti per la sicurezza
L'HBOM collega al contenuto firmware/software

HBOM vs. SBOM

SBOM:
- Componenti software
- Librerie e dipendenze
- Componenti del sistema operativo
- Codice applicativo

HBOM:
- Componenti hardware
- Chip e moduli
- Firmware nei componenti
- Caratteristiche di sicurezza fisica

RELAZIONE:
┌─────────────────────────────────────────────┐
│ Trasparenza Completa del Prodotto           │
│                                             │
│  ┌─────────────┐    ┌─────────────┐        │
│  │    SBOM     │    │    HBOM     │        │
│  │             │    │             │        │
│  │ Applicazione│    │ PCB         │        │
│  │ Librerie    │◄──►│ Chip        │        │
│  │ OS          │    │ Moduli      │        │
│  │ Firmware*   │    │ Firmware*   │        │
│  └─────────────┘    └─────────────┘        │
│                                             │
│  *Il firmware appare in entrambi, è software│
│   in esecuzione su hardware                 │
└─────────────────────────────────────────────┘

Perché l'HBOM è Importante per il CRA

Requisiti CRA e Hardware

Sebbene il CRA si concentri sui "prodotti con elementi digitali", questi prodotti sono spesso dispositivi hardware:

Definizione CRA Articolo 3(1):

"'prodotto con elementi digitali' indica un prodotto software o hardware e le sue soluzioni di elaborazione dati da remoto..."

L'Hardware Contiene Software:

• I microcontrollori hanno firmware
• I chip di rete hanno codice incorporato
• I moduli di sicurezza hanno software crittografico
• I sensori possono avere firmware di elaborazione

Requisito di Tracciamento Vulnerabilità

Il CRA richiede ai fabbricanti di:

• Non avere vulnerabilità sfruttabili note
• Gestire le vulnerabilità nei componenti del prodotto
• Fornire aggiornamenti di sicurezza

Per i prodotti hardware, questo significa:

• Tracciare le vulnerabilità nel firmware dei componenti
• Sapere cosa c'è dentro il vostro hardware
• Essere in grado di aggiornare o mitigare le vulnerabilità dei componenti

Tracciabilità della Supply Chain

L'Articolo 13(5) del CRA richiede adeguata due diligence per i componenti:

"Ai fini dell'adempimento dell'obbligo di cui al paragrafo 1, i fabbricanti esercitano la dovuta diligenza quando integrano componenti provenienti da terzi affinché tali componenti non compromettano la cibersicurezza del prodotto con elementi digitali, anche quando integrano componenti di software liberi e open source che non sono stati messi a disposizione sul mercato nel corso di un'attività commerciale."

L'HBOM supporta questo documentando:

• Quali componenti sono nel vostro prodotto
• Chi li fornisce
• Quali versioni firmware sono presenti
• Quali caratteristiche di sicurezza hanno

Cosa Includere nell'HBOM

Informazioni di Base sui Componenti

STRUTTURA VOCE COMPONENTE HBOM

IDENTIFICAZIONE:
- Tipo componente (MCU, modulo radio, sensore, ecc.)
- Nome produttore
- Codice / Modello
- Revisione hardware

INFORMAZIONI FIRMWARE:
- Versione firmware
- Fornitore firmware (se diverso da HW)
- Capacità di aggiornamento
- Stato vulnerabilità note

ATTRIBUTI DI SICUREZZA:
- Supporto secure boot
- Modulo di sicurezza hardware
- Resistenza alla manomissione
- Capacità crittografiche
- ID unico / numero seriale

SUPPLY CHAIN:
- Fornitore diretto
- Paese di origine (se noto)
- Stato fine vita

Categorie di Componenti da Tracciare

CATEGORIE COMPONENTI HBOM

ELABORAZIONE:
- Processore principale / MCU
- Co-processori
- FPGA / logica programmabile
- Processori applicativi

CONNETTIVITÀ:
- Moduli WiFi
- Moduli Bluetooth
- Modem cellulari
- Controller Ethernet
- Radio LoRa / Zigbee / Thread

SICUREZZA:
- TPM / Elementi sicuri
- Moduli di sicurezza hardware
- Acceleratori crypto
- Memoria sicura

STORAGE:
- Memoria Flash
- EEPROM
- Controller schede SD

SENSORI:
- Sensori ambientali
- Sensori di movimento
- Sensori biometrici
- Sensori di imaging

ALIMENTAZIONE:
- IC gestione alimentazione
- Gestione batteria

INTERFACCIA:
- Controller display
- Controller USB
- Codec audio

Considerazioni sulla Profondità

LIVELLI DI PROFONDITÀ HBOM

LIVELLO 1: Componenti Maggiori
- Processore principale
- Moduli di connettività
- Elementi di sicurezza
- Componenti con firmware aggiornabile

LIVELLO 2: Componenti Secondari
- IC di supporto
- Sensori
- Chip di memoria
- Gestione alimentazione

LIVELLO 3: Componenti Passivi/Semplici
- Tipicamente NON nell'HBOM
- Resistori, condensatori
- Connettori semplici
- Componenti non programmabili

RACCOMANDAZIONE PER CRA:
Focus su Livello 1 (critico)
Includere Livello 2 se fattibile
Livello 3 raramente rilevante per sicurezza

Opzioni di Formato HBOM

CycloneDX HBOM

CycloneDX supporta nativamente i componenti hardware:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:...",
  "version": 1,
  "metadata": {
    "component": {
      "type": "device",
      "name": "Smart Sensor Pro",
      "version": "2.0"
    }
  },
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "version": "Rev 3",
      "manufacturer": {
        "name": "Espressif Systems"
      },
      "description": "Modulo SoC WiFi+BT",
      "properties": [
        {
          "name": "firmware-version",
          "value": "4.4.1"
        },
        {
          "name": "secure-boot",
          "value": "supported"
        }
      ]
    }
  ]
}

SBOM+HBOM Unificato

La best practice è spesso un BOM unificato che combina software e hardware con le loro dipendenze.

Creazione e Manutenzione dell'HBOM

Creazione Iniziale dell'HBOM

PROCESSO DI CREAZIONE HBOM

PASSO 1: INVENTARIARE L'HARDWARE
- Esaminare schematico / BOM dall'ingegneria
- Identificare componenti programmabili
- Annotare componenti con firmware

PASSO 2: RACCOGLIERE INFORMAZIONI
- Datasheet dei produttori
- Codici e revisioni
- Versioni firmware dai fornitori
- Informazioni caratteristiche di sicurezza

PASSO 3: VALUTARE RILEVANZA SICUREZZA
- Il componente ha firmware?
- Il firmware può essere aggiornato?
- Gestisce funzioni di sicurezza?
- È connesso alla rete?

PASSO 4: STRUTTURARE I DATI
- Scegliere formato (CycloneDX raccomandato)
- Inserire informazioni componenti
- Collegare all'SBOM firmware dove applicabile
- Documentare attributi di sicurezza

PASSO 5: VALIDARE
- Verifica incrociata con BOM ingegneria
- Verificare versioni firmware
- Confermare informazioni fornitori

Manutenzione Continua

PROCESSO DI MANUTENZIONE HBOM

TRIGGER: Revisione Hardware
- Aggiornare voci componenti
- Annotare cambi versione
- Aggiornare versioni firmware

TRIGGER: Aggiornamento Firmware
- Aggiornare versione firmware nell'HBOM
- Collegare all'SBOM aggiornato per il firmware
- Tracciare cambiamenti stato CVE

TRIGGER: Fine Vita Componente
- Marcare stato componente
- Documentare piano di sostituzione
- Valutare impatto sicurezza

TRIGGER: Vulnerabilità Scoperta
- Verificare HBOM per componenti interessati
- Valutare sfruttabilità
- Pianificare remediation

REVISIONE REGOLARE:
- Verifica trimestrale accuratezza HBOM
- Revisione annuale supply chain
- Monitoraggio EOL componenti

Checklist HBOM

CHECKLIST IMPLEMENTAZIONE HBOM

INVENTARIO:
[ ] Tutti i componenti programmabili identificati
[ ] Versioni firmware documentate
[ ] Caratteristiche sicurezza annotate
[ ] Fornitori registrati

FORMATO:
[ ] Formato standard scelto (CycloneDX raccomandato)
[ ] Schema validato
[ ] Collegato a SBOM dove applicabile
[ ] Controllato in versione

PROCESSO:
[ ] Processo di creazione documentato
[ ] Trigger di aggiornamento definiti
[ ] Responsabilità assegnata
[ ] Calendario revisione stabilito

INTEGRAZIONE:
[ ] Incluso nel fascicolo tecnico
[ ] Collegato alla gestione vulnerabilità
[ ] Parte dei requisiti fornitori
[ ] Accessibile per audit

MANUTENZIONE:
[ ] Cambi componenti tracciati
[ ] Aggiornamenti firmware riflessi
[ ] Stato EOL monitorato
[ ] Revisioni regolari accuratezza

Come CRA Evidence Aiuta

CRA Evidence supporta la gestione HBOM:

• BOM unificato: Gestite SBOM e HBOM insieme
• Tracciamento componenti: Tracciate componenti hardware attraverso i prodotti
• Collegamento firmware: Collegate hardware agli SBOM firmware
• Correlazione vulnerabilità: Associate CVE ai componenti hardware
• Integrazione fascicolo tecnico: Includete HBOM nella documentazione di conformità

Iniziate la vostra conformità CRA su craevidence.com.

Articoli Correlati

• SBOM per la Conformità CRA: Guida Completa al Software Bill of Materials -- Imparate a creare e gestire gli SBOM, il complemento obbligatorio del vostro HBOM.
• Fascicolo Tecnico CRA: Cosa Includere e Come Prepararlo -- Scoprite come l'HBOM si integra nella vostra documentazione tecnica CRA complessiva.

Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un consulente legale qualificato.