Requisiti essenziali di cybersicurezza
I requisiti di sicurezza obbligatori stabiliti nell'Allegato I del CRA che ogni prodotto con elementi digitali deve soddisfare. Si articolano in due parti: la Parte I riguarda le proprietà di sicurezza del prodotto in sé, e la Parte II riguarda i processi di gestione delle vulnerabilità che il fabbricante deve mantenere durante il ciclo di vita del prodotto.
Citazioni fonti
Vedi anche
Testo normativo
L'articolo 10 del Regolamento (UE) 2024/2847 impone ai fabbricanti di assicurare che i prodotti con elementi digitali soddisfino i requisiti essenziali di cybersicurezza dell'Allegato I al momento della loro immissione in commercio e per tutta la vita utile prevista o il periodo di assistenza, se più lungo.
Sintesi dell'Allegato I, Parte I
I prodotti devono:
- Non contenere vulnerabilità sfruttabili note (al momento dell'immissione in commercio)
- Avere configurazioni sicure per impostazione predefinita
- Proteggere i dati memorizzati, trasmessi ed elaborati
- Ridurre al minimo la superficie di attacco
- Impedire l'accesso non autorizzato
- Mantenere la disponibilità delle funzioni essenziali
- Registrare e monitorare gli eventi di sicurezza rilevanti
- Fornire aggiornamenti di sicurezza
Sintesi dell'Allegato I, Parte II
I fabbricanti devono:
- Identificare e documentare le vulnerabilità e i componenti dei prodotti
- Correggere le vulnerabilità tempestivamente e senza costi aggiuntivi
- Applicare una politica di CVD
- Elaborare e mantenere un SBOM
- Notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi