L’European Cyber Resilience Act (CRA), promulgato nel dicembre 2024, è un importante atto legislativo che stabilisce i requisiti di sicurezza per i prodotti digitali connessi.
Con l’entrata in vigore degli obblighi di segnalazione delle vulnerabilità nel settembre 2026 e l’entrata in vigore di tutte le disposizioni nel dicembre 2027, con pesanti sanzioni per le aziende non conformi, questa è una guida semplice ai requisiti chiave del CRA e a ciò che i produttori di prodotti digitali devono affrontare ora.

Vengono spiegati i requisiti principali del CRA e vengono delineate le misure specifiche che i produttori di prodotti digitali dovrebbero adottare.
Vengono illustrati i punti chiave dell’azione, dalla progettazione, sviluppo e produzione tenendo conto della sicurezza informatica, all’eliminazione delle vulnerabilità note prima del lancio sul mercato, alla segnalazione delle vulnerabilità e degli incidenti e alla fornitura di patch dopo il lancio sul mercato. Inoltre, vengono introdotti metodi di analisi del rischio e sistemi efficienti di monitoraggio delle vulnerabilità.

In genere si ritiene che il ‘reparto di controllo qualità’ sia responsabile degli audit interni basati sulla norma ISO/SAE 21434, ma in realtà la stessa ‘organizzazione sottoposta ad audit’ deve svolgere un certo ruolo per garantire l’efficacia del CSMS (Cyber Security Management System) e realizzare audit senza problemi.
Il corso spiega come procedere con gli audit interni e le conoscenze di base necessarie per gestire efficacemente un CSMS. Faccia il primo passo verso l’istituzione della sicurezza informatica nel suo complesso, apprendendo un know-how pratico.

(i) La necessità di audit interni basati sulla norma ISO/SAE 21434 e le misure da adottare in tutta l’organizzazione.
Gli audit interni basati sullo standard ISO/SAE 21434 sono essenziali per mantenere e migliorare il sistema di gestione (CSMS) per garantire la sicurezza informatica dei prodotti incorporati, comprese le automobili. In risposta all’importanza del software nell’industria automobilistica e alla crescente sofisticazione degli attacchi informatici, le vulnerabilità devono essere gestite durante l’intero ciclo di vita, dallo sviluppo allo smaltimento.
La cooperazione multisettoriale, che include non solo i dipartimenti di qualità ma anche le ‘organizzazioni non di audit’, garantisce l’individuazione precoce dei rischi e della sicurezza attraverso l’audit continuo e il miglioramento in tutta l’azienda.

(ii) Conoscenza di base delle attività del sistema di gestione come auditor.
Per le organizzazioni dell’industria automobilistica che hanno istituito un sistema di gestione della cybersecurity (CSMS), gli audit interni sono essenziali come parte delle attività di valutazione (C: Verifica nel ciclo PDCA). Per condurre questi audit in modo efficace, è essenziale avere una conoscenza di base delle attività del sistema di gestione gestite dall’organizzazione da sottoporre ad audit (organizzazione sottoposta ad audit).
Questa sezione introduce le conoscenze di base sulle attività del sistema di gestione dell’organizzazione sottoposta ad audit, che sono essenziali per un’implementazione fluida degli audit interni.