In breve
Questo glossario copre la terminologia essenziale del Cyber Resilience Act dell'UE (CRA): SBOM (Software Bill of Materials), CycloneDX, SPDX, VEX (Vulnerability Exploitability eXchange), CSAF, CVE, EPSS, KEV, TR-03183, segnalazioni ENISA, marcatura CE, norme armonizzate, organismi notificati, valutazione del rischio, requisiti del fascicolo tecnico e valutazione di conformità. Usa questo riferimento quando ti prepari alla conformità CRA prima della scadenza di dicembre 2027.
Glossario di Conformità CRA
Terminologia essenziale per comprendere il Cyber Resilience Act dell'UE, gli standard di sicurezza della catena di fornitura software e i requisiti di conformità.
A
Allegato VII
L'Allegato VII del CRA specifica il contenuto minimo della Dichiarazione UE di Conformità che i produttori devono redigere per i prodotti con elementi digitali. Include l'identificazione del prodotto, i dettagli del produttore, gli standard applicati e la firma di un rappresentante autorizzato.
Articolo 13 - Obblighi dei Produttori
L'Articolo 13 del CRA definisce gli obblighi principali del produttore: sicurezza fin dalla progettazione, manutenzione degli SBOM, gestione delle vulnerabilità, fornitura di aggiornamenti di sicurezza per tutto il ciclo di vita del prodotto e conservazione della documentazione tecnica per almeno 10 anni.
Articolo 14 - Obblighi di Segnalazione
L'Articolo 14 del CRA richiede ai produttori di segnalare all'ENISA le vulnerabilità attivamente sfruttate entro 24 ore (avviso preventivo), 72 ore (report dettagliato) e 14 giorni (report finale). Gli incidenti gravi seguono lo stesso schema ma con una scadenza di 30 giorni per il report finale.
C
Marcatura CE
Marchio di conformità europeo che indica la conformità alla legislazione UE. Ai sensi del CRA, i prodotti con elementi digitali devono recare il marchio CE per essere legalmente venduti nel mercato UE. Richiede il completamento della valutazione di conformità e la Dichiarazione UE di Conformità.
Valutazione della conformità
Processo che verifica che un prodotto soddisfi i requisiti essenziali di cibersicurezza del CRA. Prodotti predefiniti possono utilizzare l’autovalutazione (Modulo A), mentre Importante Classe I, Classe II e Prodotti critici richiedono una valutazione da parte di terzi presso organismi notificati.
CRA - Regolamento sulla ciberresilienza
Regolamento UE 2024/2847 che stabilisce requisiti obbligatori di cybersicurezza per i prodotti con elementi digitali (PDE) venduti nell'Unione Europea. Entrato in vigore il 10 dicembre 2024. Gli obblighi principali si applicano dall'11 dicembre 2027. Copre prodotti hardware e software con connettività di rete.
CSAF - Quadro Comune per gli Avvisi di Sicurezza
Standard OASIS per avvisi di sicurezza leggibili da macchina. Consente l'elaborazione automatizzata delle divulgazioni di vulnerabilità. Utilizzato per la divulgazione coordinata delle vulnerabilità (CVD) e la segnalazione ENISA ai sensi dei requisiti CRA.
CVD - Divulgazione Coordinata delle Vulnerabilità
Processo per divulgare responsabilmente le vulnerabilità di sicurezza ai fornitori prima dell'annuncio pubblico. L'Articolo 13(8) del CRA richiede ai produttori di stabilire e pubblicare politiche CVD, incluse le informazioni di contatto per la sicurezza.
CVE - Vulnerabilità ed Esposizioni Comuni
Identificatore standardizzato per le vulnerabilità di cybersicurezza note pubblicamente (es., CVE-2024-12345). Gestito da MITRE Corporation. Utilizzato globalmente per il tracciamento delle vulnerabilità, la divulgazione e il coordinamento della remediation.
CVSS - Sistema Comune di Valutazione delle Vulnerabilità
Standard di settore per valutare la gravità delle vulnerabilità su una scala 0-10. CVSS 4.0 è l'ultima versione. Fornisce metriche base, temporali e ambientali. Critico (9.0-10.0), Alto (7.0-8.9), Medio (4.0-6.9), Basso (0.1-3.9).
CycloneDX
Standard OWASP per creare Distinte Base Software (SBOM) e artefatti correlati. Supporta SBOM, VEX, HBOM, SaaSBOM e altro. Versione 1.5+ raccomandata. Referenziato da BSI TR-03183 come formato preferito per la conformità CRA.
Prodotto critico — CRA Allegato IV
Prodotti con elementi digitali che svolgono funzioni essenziali di cibersicurezza per altri prodotti, reti o servizi. Elencati nell’Allegato IV del CRA, comprendono moduli di sicurezza hardware (HSM), lettori di smart card, elementi sicuri e dispositivi hardware con box di sicurezza. I prodotti critici richiedono una certificazione europea di cibersicurezza nell’ambito di uno schema applicabile oppure, in assenza di tale schema, una valutazione della conformità da parte di terzi presso un organismo notificato.
D
Categoria di prodotto predefinita
Prodotti con elementi digitali che non rientrano nelle categorie Importante o Critico definite negli Allegati III e IV del CRA. I prodotti predefiniti possono essere sottoposti alla valutazione della conformità mediante controllo interno (autovalutazione) da parte del fabbricante ai sensi dell’Allegato VIII del CRA, senza il coinvolgimento di terzi. Questo copre la grande maggioranza del software e dell’hardware commerciale e di consumo.
Distributore
Qualsiasi soggetto nella catena di fornitura, diverso dal fabbricante o dall'importatore, che rende disponibile un prodotto con elementi digitali sul mercato dell'UE. I distributori devono verificare che il prodotto rechi la marcatura CE e sia accompagnato dalla dichiarazione di conformità UE prima della messa a disposizione. Se un distributore modifica il prodotto, diventa fabbricante ai sensi del CRA.
E
ENISA - Agenzia dell'Unione Europea per la Cybersicurezza
Agenzia UE responsabile della politica di cybersicurezza e del coordinamento degli incidenti. Ai sensi del CRA, i produttori devono segnalare all'ENISA le vulnerabilità attivamente sfruttate entro 24 ore e gli incidenti gravi entro 72 ore. L'obbligo di segnalazione inizia l'11 settembre 2026.
EPSS - Sistema di Previsione della Probabilità di Sfruttamento
Modello FIRST.org che stima la probabilità (0-100%) che una vulnerabilità venga sfruttata in natura nei prossimi 30 giorni. Utilizzato per la prioritizzazione delle vulnerabilità basata sul rischio insieme a CVSS. EPSS più alto = priorità più alta per la remediation.
Dichiarazione UE di conformità
Documento formale che dichiara che un prodotto è conforme alla legislazione UE applicabile, incluso il CRA. Deve essere firmato dal produttore o dal rappresentante autorizzato. Richiesto per il marchio CE. Deve fare riferimento alle norme armonizzate applicabili.
H
HBOM - Distinta dei Componenti Hardware
Inventario leggibile da macchina dei componenti hardware in un prodotto, inclusi processori, memoria, circuiti integrati e firmware. Complementa l'SBOM per una trasparenza completa del prodotto. CycloneDX supporta il formato HBOM.
Norme Armonizzate
Standard europei adottati da organismi di normazione riconosciuti (CEN, CENELEC, ETSI) e referenziati nella Gazzetta ufficiale dell'UE. I prodotti conformi alle norme armonizzate beneficiano di una presunzione di conformità con i corrispondenti requisiti essenziali del CRA, semplificando la valutazione di conformità.
I
Importatore
Un soggetto stabilito nell'UE che immette sul mercato europeo un prodotto con elementi digitali proveniente da un fabbricante al di fuori dell'UE. Gli importatori devono verificare che il fabbricante abbia effettuato la valutazione della conformità, che la marcatura CE sia applicata e che la documentazione tecnica sia disponibile. Condividono la responsabilità per i prodotti non conformi.
Prodotto importante (Classe I) — CRA Allegato III, Parte I
Prodotti con elementi digitali che svolgono una funzione rilevante per la cibersicurezza o comportano un rischio elevato. La Classe I comprende sistemi di gestione dell’identità, VPN, strumenti di gestione della rete, sistemi SIEM, gestori di avvio e altre categorie elencate nell’Allegato III Parte I del CRA. I fabbricanti devono applicare norme armonizzate che coprono tutti i requisiti essenziali (consentendo l’autovalutazione) oppure sottoporsi a una valutazione della conformità da parte di terzi presso un organismo notificato.
Prodotto importante (Classe II) — CRA Allegato III, Parte II
Prodotti con elementi digitali che svolgono funzioni critiche di cibersicurezza e comportano un rischio significativo. La Classe II comprende sistemi operativi, hypervisor, firewall, sistemi di rilevamento delle intrusioni, microcontrollori, sistemi di automazione industriale e altre categorie elencate nell’Allegato III Parte II del CRA. Questi prodotti richiedono sempre una valutazione della conformità da parte di terzi presso un organismo notificato, indipendentemente dall’esistenza di norme armonizzate.
K
KEV - Vulnerabilità Attivamente Sfruttate
Catalogo ufficiale CISA delle vulnerabilità attivamente sfruttate in natura. Massima priorità per la remediation in quanto rappresentano minacce reali confermate. Le agenzie federali devono rimediare alle vulnerabilità KEV entro i tempi specificati.
M
Fabbricante
Il soggetto che sviluppa o fabbrica un prodotto con elementi digitali e lo immette sul mercato dell'UE con il proprio nome o marchio. I fabbricanti assumono gli obblighi principali del CRA: condurre valutazioni dei rischi, mantenere gli SBOM, gestire le vulnerabilità, fornire aggiornamenti di sicurezza per almeno cinque anni e segnalare le vulnerabilità sfruttate all'ENISA.
N
NVD - Database Nazionale delle Vulnerabilità
Repository governativo statunitense di dati sulle vulnerabilità gestito dal NIST. Basato su identificatori CVE. Fornisce punteggi CVSS, informazioni CPE (prodotto interessato), classificazioni CWE e indicazioni per la remediation.
Organismo Notificato
Organismo indipendente di valutazione della conformità designato da uno Stato membro dell’UE per valutare se i prodotti soddisfano i requisiti normativi. Richiesto per la valutazione della conformità da parte di terzi di Importante Classe I, Classe II e Prodotti critici ai sensi degli Allegati III e IV del CRA.
O
OSV.dev - Database di vulnerabilità open source
Database di vulnerabilità open source mantenuto da Google. Aggrega gli avvisi di sicurezza da GitHub (GHSA), Go, Rust, PyPI e oltre 15 ecosistemi in un'unica API interrogabile. CRA Evidence usa OSV.dev come fonte secondaria di vulnerabilità insieme a NVD per intercettare gli avvisi che i database specifici dell'ecosistema tracciano prima che ricevano identificatori CVE.
P
PDE - Prodotto con Elementi Digitali
Qualsiasi prodotto software o hardware con connessione (diretta o indiretta) a un altro dispositivo o rete. L'ambito principale del regolamento CRA. Include dispositivi IoT, apparecchiature industriali, elettronica di consumo e software standalone.
PURL - URL del Pacchetto
Formato standardizzato per identificare i pacchetti software attraverso gli ecosistemi (es., pkg:npm/lodash@4.17.21). Utilizzato negli SBOM per identificare univocamente i componenti. Consente la corrispondenza automatizzata delle vulnerabilità e la conformità delle licenze.
R
Valutazione dei rischi
Processo sistematico di identificazione, analisi e valutazione dei rischi di cybersicurezza associati a un prodotto con elementi digitali. Richiesto dall'Articolo 13(2) del CRA e deve essere documentato nel fascicolo tecnico. Copre minacce, vulnerabilità, impatto potenziale e misure di mitigazione del rischio durante tutto il ciclo di vita del prodotto.
S
SBOM - Distinta dei Componenti Software
Inventario formale e leggibile da macchina dei componenti software e delle dipendenze, incluse versioni, licenze e relazioni. Richiesto dall'Articolo 13(4) del CRA per la gestione delle vulnerabilità e la trasparenza della catena di fornitura. Può essere in formato CycloneDX o SPDX.
SPDX - Scambio di Dati sui Pacchetti Software
Standard ISO/IEC 5962:2021 per comunicare le informazioni della distinta base software. Sviluppato dalla Linux Foundation. Ampiamente utilizzato per la conformità delle licenze e il tracciamento delle vulnerabilità. Versione 2.2.1+ raccomandata per la conformità CRA.
T
Fascicolo Tecnico
Pacchetto documentale completo che dimostra la conformità CRA. Include valutazione del rischio, SBOM, documentazione di progettazione della sicurezza, procedure di gestione delle vulnerabilità, risultati dei test e Dichiarazione UE di Conformità. Deve essere conservato per 10 anni o per la durata del prodotto (il periodo più lungo).
TR-03183
Linea Guida Tecnica del BSI tedesco (Ufficio Federale per la Sicurezza Informatica) che fornisce requisiti dettagliati per la creazione e gestione degli SBOM. Ampiamente referenziata come best practice per la conformità all'Articolo 13 del CRA. Specifica i campi SBOM minimi, i formati e i requisiti di aggiornamento.
V
VEX - Scambio sull'Exploitabilità delle Vulnerabilità
Documento che comunica lo stato di sfruttabilità delle vulnerabilità in un prodotto specifico. Indica se un CVE interessa il tuo prodotto (interessato, non interessato, risolto, in indagine). Aiuta gli utenti a valle a ridurre l'affaticamento da alert dovuto a falsi positivi.
Pronto per la conformità CRA?
CRA Evidence ti aiuta a gestire gli SBOM, tracciare le vulnerabilità e generare documentazione pronta per l'audit.