Glossario
Termini e concetti definiti nel Regolamento UE sulla Ciberresilienza e nelle relative linee guida.
A
- Allegato I — Requisiti essenziali di cybersicurezza
- L'allegato normativo del CRA che stabilisce i requisiti essenziali di cybersicurezza che tutti i prodotti con elementi digitali devono soddisfare. La Parte I elenca i requisiti relativi alle proprietà di sicurezza del prodotto; la Parte II elenca i requisiti di gestione delle vulnerabilità che devono essere rispettati durante il ciclo di vita del prodotto.
D
- Divulgazione coordinata delle vulnerabilità (CVD)
- Un processo in cui chi scopre vulnerabilità le segnala privatamente al fabbricante affinché possa sviluppare e pubblicare una correzione prima che la vulnerabilità venga divulgata pubblicamente. Il CRA impone ai fabbricanti di stabilire una politica di CVD come parte degli obblighi di gestione delle vulnerabilità previsti dall'Allegato I, Parte II.
- Distributore
- Una persona fisica o giuridica nella catena di fornitura, diversa dal fabbricante o dall'importatore, che mette a disposizione un prodotto con elementi digitali sul mercato dell'UE. I distributori hanno obblighi meno gravosi dei fabbricanti, ma devono verificare che il prodotto rechi la marcatura CE e che il fabbricante e l'importatore abbiano adempiuto ai propri obblighi.
- Dichiarazione UE di conformità (DoC UE)
- Un documento firmato dal fabbricante con cui dichiara sotto la propria esclusiva responsabilità che il prodotto con elementi digitali è conforme ai requisiti essenziali di cybersicurezza del CRA e a qualsiasi altra normativa di armonizzazione dell'UE applicabile. La DoC UE deve essere redatta prima dell'immissione in commercio e conservata per almeno dieci anni.
- Distinta base del software (SBOM)
- Un registro formale dei componenti, delle librerie e dei moduli contenuti in un prodotto software, redatto in un formato di uso comune e leggibile da macchina. Ai sensi dell'Allegato I, Parte II del CRA, i fabbricanti devono produrre un SBOM che copra almeno le dipendenze di primo livello del prodotto.
- Documentazione tecnica
- Un insieme esaustivo di documenti che il fabbricante deve redigere prima di immettere un prodotto in commercio e mantenere per tutta la durata del periodo di assistenza, contenente tutte le informazioni che dimostrano la conformità del prodotto e dei processi del fabbricante ai requisiti essenziali di cybersicurezza dell'Allegato I. L'Allegato VII specifica il contenuto minimo. Deve essere conservata per almeno 10 anni.
F
- Fabbricante
- Una persona fisica o giuridica che sviluppa o fabbrica prodotti con elementi digitali (o li fa progettare, sviluppare o fabbricare) e li commercializza con il proprio nome o marchio, a titolo oneroso, mediante monetizzazione o gratuitamente. È il ruolo principale che comporta obblighi ai sensi del CRA.
G
- Gestore di software open source
- Una persona giuridica, diversa da un fabbricante, il cui scopo o obiettivo è fornire sistematicamente, in modo continuativo, supporto allo sviluppo di specifici prodotti di software libero e open source destinati ad attività commerciali, e che garantisce la sostenibilità di tali prodotti. I gestori di OSS beneficiano di un regime normativo più leggero e adattato ai sensi del CRA.
I
- Importatore
- Una persona fisica o giuridica stabilita nell'Unione europea che immette sul mercato dell'UE un prodotto con elementi digitali recante il nome o il marchio di una persona stabilita al di fuori dell'UE. Gli importatori sono responsabili della verifica della conformità prima dell'immissione in commercio e hanno obblighi propri ai sensi del CRA.
- Immissione in commercio
- La prima messa a disposizione di un prodotto con elementi digitali sul mercato dell'UE. Un fabbricante immette un prodotto in commercio quando lo fornisce per la prima volta a un distributore, importatore o utente nell'UE, nell'ambito di un'attività commerciale, a titolo oneroso o gratuito. La data della prima immissione in commercio determina l'avvio degli obblighi del CRA per quel prodotto.
- Incidente grave
- Un incidente che ha un effetto negativo reale sulla sicurezza dei sistemi di rete e di informazione di un fabbricante, utilizzati per lo sviluppo, la produzione o la manutenzione di un prodotto con elementi digitali. La scoperta di tale incidente attiva l'obbligo di notifica al CSIRT competente e all'ENISA entro 24 ore.
M
- Marcatura CE
- Il marchio visibile che indica che un prodotto con elementi digitali è conforme ai requisiti essenziali di cybersicurezza del CRA, nonché ai requisiti di qualsiasi altra normativa di armonizzazione dell'UE applicabile al prodotto. La marcatura CE deve essere apposta in modo visibile, leggibile e indelebile sul prodotto o sulla sua confezione prima dell'immissione in commercio.
- Messa a disposizione sul mercato
- Qualsiasi fornitura di un prodotto con elementi digitali per la distribuzione, il consumo o l'uso sul mercato dell'UE nell'ambito di un'attività commerciale, a titolo oneroso o gratuito. A differenza dell'«immissione in commercio» (che si riferisce alla prima fornitura), la «messa a disposizione» copre ogni successiva fornitura nella catena di approvvigionamento.
- Modifica sostanziale
- Una modifica apportata a un prodotto con elementi digitali dopo la sua immissione in commercio, che incide sulla conformità del prodotto ai requisiti essenziali di cybersicurezza dell'Allegato I, Parte I, oppure che modifica la destinazione d'uso dichiarata dal fabbricante.
N
- Norma armonizzata
- Una norma tecnica adottata da un organismo europeo di normalizzazione (CEN, CENELEC o ETSI) sulla base di una richiesta della Commissione europea, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell'UE. L'applicazione di norme armonizzate che coprono i requisiti dell'Allegato I genera la presunzione di conformità a tali requisiti.
- Nell'ambito di applicazione
- Un prodotto con elementi digitali si considera nell'ambito di applicazione del CRA quando è commercializzato sul mercato dell'UE nell'ambito di un'attività commerciale e non è escluso da un'esenzione specifica. I principali fattori per determinare se un prodotto rientra nell'ambito sono: la presenza di elementi digitali, la connettività e la fornitura nel contesto di un'attività commerciale.
O
- Organismo notificato
- Un organismo di valutazione della conformità indipendente e accreditato, designato da un'autorità di uno Stato membro e notificato alla Commissione europea per svolgere le procedure di valutazione della conformità di terza parte ai sensi del CRA. Gli organismi notificati valutano se i prodotti importanti e critici soddisfino i requisiti essenziali di cybersicurezza prima dell'apposizione della marcatura CE.
P
- Prodotto critico
- Un prodotto con elementi digitali elencato nell'Allegato III del CRA che presenta il più elevato livello di rischio per la cybersicurezza. I prodotti critici sono suddivisi in classe I e classe II, con diverse condizioni di valutazione della conformità. Tali prodotti devono seguire un sistema europeo di certificazione della cybersicurezza per dimostrare la conformità.
- Prodotto importante
- Un prodotto con elementi digitali elencato nell'Allegato II del CRA, suddiviso in classe I e classe II. I prodotti importanti presentano un rischio per la cybersicurezza più elevato rispetto ai prodotti predefiniti. I prodotti importanti di classe I possono ricorrere all'autovalutazione della conformità (se applicano norme armonizzate), mentre quelli di classe II richiedono obbligatoriamente un organismo notificato.
- Prodotto con elementi digitali (PDE)
- Qualsiasi prodotto software o hardware, e le sue soluzioni di trattamento dei dati a distanza, il cui utilizzo previsto o ragionevolmente prevedibile include una connessione diretta o indiretta, logica o fisica, a un dispositivo o a una rete. Il CRA si applica ai PDE, salvo che sia applicabile un'esclusione settoriale.
- Periodo di assistenza
- Il periodo durante il quale il fabbricante è tenuto a garantire che le vulnerabilità di un prodotto con elementi digitali siano gestite efficacemente conformemente all'Allegato I, Parte II. Il periodo di assistenza deve essere di almeno cinque anni, salvo che la vita utile prevista del prodotto sia più breve.
R
- Rappresentante autorizzato
- Una persona fisica o giuridica stabilita nell'Unione europea che ha ricevuto un mandato scritto da un fabbricante stabilito al di fuori dell'UE per agire a suo nome in relazione a determinate attività specificate nel CRA. I fabbricanti non stabiliti nell'UE che immettono prodotti sul mercato dell'UE devono designare un rappresentante autorizzato prima dell'immissione in commercio.
- Requisiti essenziali di cybersicurezza
- I requisiti di sicurezza obbligatori stabiliti nell'Allegato I del CRA che ogni prodotto con elementi digitali deve soddisfare. Si articolano in due parti: la Parte I riguarda le proprietà di sicurezza del prodotto in sé, e la Parte II riguarda i processi di gestione delle vulnerabilità che il fabbricante deve mantenere durante il ciclo di vita del prodotto.
S
- Software libero e open source (FOSS)
- Software il cui codice sorgente è disponibile con una licenza che consente agli utenti di usare, studiare, modificare e distribuire il software. Il CRA stabilisce che il software libero e open source fornito al di fuori dell'ambito di un'attività commerciale è escluso dall'ambito del regolamento, anche se esistono sfumature importanti riguardanti il finanziamento e la commercializzazione.
- Sorveglianza del mercato
- Un'autorità nazionale designata da uno Stato membro per monitorare e far rispettare la conformità dei prodotti con elementi digitali al CRA sul mercato. Le autorità di sorveglianza del mercato possono richiedere la documentazione tecnica, effettuare audit e test, e ordinare misure correttive o il ritiro dal mercato per i prodotti non conformi.
- Soluzione di trattamento dei dati a distanza (STDR)
- Un servizio remoto necessario affinché un prodotto con elementi digitali svolga una delle sue funzioni. Una STDR fa parte del PDE ed è pertanto soggetta agli stessi obblighi del CRA applicabili al prodotto. Il test a tre criteri (trattamento a distanza, dipendenza funzionale, responsabilità del fabbricante) determina se un servizio remoto si qualifica come STDR.
V
- Vulnerabilità attivamente sfruttata
- Una vulnerabilità per la quale esistono prove di sfruttamento attivo in ambienti reali. Il CRA impone ai fabbricanti di notificare le vulnerabilità attivamente sfruttate nei propri prodotti al CSIRT di riferimento e all'ENISA entro 24 ore dalla relativa conoscenza, ai sensi dell'articolo 14(2)(a).
- Valutazione della conformità
- Il processo svolto dal fabbricante (e, ove applicabile, da un organismo notificato) per dimostrare che un prodotto con elementi digitali soddisfa i requisiti essenziali di cybersicurezza stabiliti nell'Allegato I. La procedura applicabile dipende dalla classificazione del prodotto: predefinito, importante (classe I o II) o critico.
- Vulnerabilità
- Una debolezza in un prodotto con elementi digitali che potrebbe essere potenzialmente sfruttata da un attore di minaccia per violare la sicurezza di tale prodotto o dei sistemi connessi. Il CRA impone numerosi obblighi ai fabbricanti per identificare, correggere e divulgare le vulnerabilità per tutta la durata del periodo di assistenza.