Cyber Resilience Act:
Come puoi preparare il tuo SCADA?

Il Cyber Resilience Act segna un punto di svolta per le aziende manifatturiere: il software che controlla, supervisiona o registra le tue operation dovrà soddisfare i nuovi requisiti europei di cybersecurity.

SCADA, HMI, database storici, gateway industriali o piattaforme di dati industriali... le tue scelte software saranno presto sottoposte a un attento esame da parte dei team di cybersecurity, dei revisori, degli assicuratori e dei committenti.

Grazie al suo approccio Secure by Design e ai continui investimenti nella cybersecurity, AVEVA sta sviluppando le sue soluzioni per aiutare le aziende a prepararsi ai requisiti del Cyber Resilience Act.
Factory Software ti aiuta ad anticipare questi cambiamenti e a proteggere gli ambienti industriali a lungo termine.

Il CRA in numeri

prev next

10K miliardi

costo globale del cybercrime

26 %

attacchi mirati all'industria

200 giorni

tempo medio per rilevare le intrusioni

2,5% delle vendite

sanzione massima CRA

24 ore

tempo per dichiarare una vulnerabilità

prev next

Presentazione

Cosa significa CRA per i tuoi sistemi industriali

Il Cyber Resilience Act sta trasformando radicalmente il modo in cui le aziende devono gestire i propri sistemi digitali. D'ora in poi, la sicurezza informatica non si baserà più solo sulle operation interne, ma dipenderà direttamente dal software e dalle apparecchiature distribuite nei vari ambienti. SCADA, HMI, database storici o piattaforme di dati dovranno dimostrare la loro conformità, il loro livello di supporto e la loro capacità di gestire le vulnerabilità nel tempo.

Per i produttori di software, questo significa responsabilità totale per il ciclo di vita del prodotto: sicurezza integrata fin dalla fase di progettazione, manutenzione continua, trasparenza e documentazione accessibile per gli audit. Per chi produce, questo significa una maggiore pressione per il rinnovo dei contratti, gli audit dei clienti e i requisiti assicurativi.

In questo contesto, le soluzioni AVEVA soddisfano già questi requisiti, integrando le politiche di sicurezza e del ciclo di vita in linea con i prossimi standard europei.

Il Cyber Resilience Act mette sotto la lente d'ingrandimento i sistemi industriali

Il Cyber Resilience Act rafforza i requisiti di sicurezza informatica applicabili al software e alle apparecchiature che regolano le operation industriali. I sistemi SCADA, HMI, i database storici, i PLC e altri sistemi OT svolgono un ruolo essenziale nella produzione e nella business continuity. La loro compromissione può causare interruzioni della produzione, perdite finanziarie o rischi per la sicurezza. I produttori devono quindi garantire che le soluzioni che implementano incorporino solidi meccanismi di sicurezza informatica, una gestione rigorosa delle vulnerabilità e un ciclo di vita del software conforme ai nuovi requisiti europei.

Contattaci per discutere

Sistemi critici per la produzione

Queste soluzioni controllano direttamente le operazioni industriali. Un guasto può causare interruzioni della produzione, difetti di qualità o incidenti di sicurezza.

Interconnessione dei sistemi

SCADA, MES, ERP e cloud sono tutti interconnessi. Una vulnerabilità può diffondersi rapidamente all'intero sistema industriale.

Superficie di attacco estesa

Database storici, gateway OPC-UA, dispositivi edge: il campo di applicazione va oltre lo SCADA. Ogni componente diventa un potenziale punto di accesso.

Impatto operativo immediato

A differenza dell'IT, un attacco IoT ha conseguenze fisiche: interruzione delle linee, perdita di produzione, rischi umani.

Requisiti di audit rafforzati

I sistemi di secondo livello devono dimostrare la loro conformità attraverso audit indipendenti, con documentazione completa e tracciabilità.

AVEVA, un produttore già in linea con i requisiti del Cyber Resilience Act.

Sicurezza informatica integrata in tutta l'organizzazione

La cybersecurity è promossa ai massimi livelli dell'azienda e diffusa in tutto l'ecosistema AVEVA: team di ricerca e sviluppo, partner, distributori. È integrata nei processi decisionali, nei metodi di sviluppo e nelle pratiche operative, anziché essere aggiunta a posteriori.

Ciclo di vita controllato e trasparente

La politica del ciclo di vita di AVEVA garantisce un monitoraggio completo di ogni versione del software: periodi di supporto definiti, aggiornamenti di sicurezza, gestione delle vulnerabilità e piani di migrazione. Questa trasparenza consente ai produttori di anticipare gli audit CRA e di rendere sicure le proprie scelte tecnologiche.

La sicurezza della progettazione lungo tutta la supply chain del software

AVEVA applica un SDL sicuro e completo: analisi dei componenti di terze parti, scansioni delle vulnerabilità, protezione degli ambienti di sviluppo e integrazione dei meccanismi di protezione fin dalla fase di progettazione. Il risultato è un software sicuro di default e progettato per resistere alle minacce odierne.

FAQ

Le domande da porsi

Quali sono i rischi concreti che corro in caso di attacco informatico o di non conformità del CRA?

Un attacco informatico o l'utilizzo di un software non conforme al Cyber Resilience Act può avere conseguenze immediate e critiche per le tue attività. Potresti subire interruzioni della produzione, perdita di dati sensibili o gravi interruzioni dei sistemi industriali.

Il software non conforme può anche essere ritirato dal mercato, bloccando alcuni progetti o implementazioni in corso. Inoltre, i committenti e gli assicuratori richiedono ora garanzie di cybersecurity: senza un certificato CRA, i rinnovi potrebbero essere rifiutati e i premi aumentati in modo significativo.

Infine, in caso di incidente, l'utilizzo di un software non conforme può essere considerato una violazione della due diligence, con conseguente responsabilità diretta.

La mia versione attuale beneficia ancora di un supporto di sicurezza attivo?

Con le soluzioni AVEVA, la fase del ciclo di vita è chiaramente definita (LTS/STS) e documentata pubblicamente. È possibile identificare con precisione la durata del supporto di sicurezza, gli aggiornamenti disponibili e le condizioni di fine vita. Questo garantisce che gli ambienti rimangano protetti nel tempo.

Quali sono i tempi garantiti per la correzione di una vulnerabilità critica?

AVEVA applica un processo strutturato di gestione delle vulnerabilità con scadenze controllate: notifica rapida, pubblicazione di avvisi di sicurezza e fornitura di patch entro scadenze controllate. Questi impegni sono in linea con i requisiti del CRA.

Come vengono identificate, valutate e gestite le vulnerabilità?

Il software AVEVA si basa su un processo completo: monitoraggio continuo (CVE), valutazione del rischio (CVSS), definizione delle priorità e pubblicazione di avvisi di sicurezza. Questo sistema consente una gestione proattiva e documentata delle vulnerabilità nell'intero portafoglio.

Cosa posso presentare durante un audit dei fornitori CRA?

AVEVA fornisce artefatti completi: portale di sicurezza dedicato, certificazioni (ISO 27001, IEC 62443), documentazione SDL sicuro, policy del ciclo di vita e avvisi di sicurezza. Questi elementi possono essere utilizzati direttamente per gli audit dei fornitori.

Il produttore è impegnato nella certificazione dei prodotti di secondo livello?

Le soluzioni industriali di AVEVA fanno parte di un approccio di conformità avanzato, che comprende la preparazione per la marcatura CE e l'allineamento ai requisiti dei sistemi critici (Livello II), con valutazione da parte di enti terzi.

La policy del ciclo vita è stata aggiornata per incorporare i requisiti del CRA?

Nel 2024 AVEVA ha rivisto la sua politica del ciclo vita per incorporare i requisiti CRA: trasparenza dei periodi di supporto, gestione delle vulnerabilità e pianificazione della migrazione. Questo approccio rende più facile anticipare gli audit e garantire la conformità.

Come viene gestita e protetta la supply chain del software?

AVEVA controlla tutti i suoi componenti di terze parti (open source e commerciali), fornisce la sBOM (software bill of materials), mantiene un inventario preciso e valuta continuamente la loro esposizione alle vulnerabilità. Questo controllo della supply chain è un elemento chiave della sua strategia di cybersecurity.

Quali meccanismi di sicurezza sono integrati nelle soluzioni per impostazione predefinita?

Le soluzioni AVEVA incorporano meccanismi di sicurezza nativi: autenticazione forte, gestione degli accessi, crittografia, registrazione e hardening della configurazione. Questo approccio "secure by design" limita la dipendenza da livelli esterni, oltre ad essere prerequisito esplicito della CRA.

Come vengono protetti gli ambienti di sviluppo e delivery?

AVEVA protegge i propri ambienti attraverso pipeline di sviluppo controllate, scansioni automatiche e audit regolari. L'obiettivo è quello di garantire l'integrità del software dalla concezione alla distribuzione.

Il software AVEVA consente una tracciabilità completa delle versioni e delle patch applicate?

Le soluzioni AVEVA forniscono una tracciabilità precisa di versioni, patch e aggiornamenti. Questa visibilità è essenziale per soddisfare i requisiti di audit e garantire una gestione rigorosa degli ambienti industriali.

Qual è la strategia di migrazione per le versioni end of life?

AVEVA offre percorsi di migrazione strutturati, con una chiara visibilità delle versioni di destinazione e dei piani di transizione. Ciò consente di anticipare i cambiamenti senza interruzioni operative.

Le nostre attuali soluzioni rimarranno conformi e supportate anche dopo il 2027?

AVEVA ha adottato un approccio proattivo per l'allineamento con il CRA, compreso il mantenimento del supporto alla sicurezza e la preparazione per la marcatura CE. Le soluzioni AVEVA sono progettate per garantire standard di conformità sostenibile per gli ambienti industriali critici.

Cyber Resilience Act: Come puoi preparare il tuo SCADA?