Sì. Ed è il punto del Cyber Resilience Act che sorprende praticamente tutti i costruttori con cui ne parliamo. La convinzione diffusa è che una norma nuova riguardi i prodotti nuovi, quelli che si immetteranno sul mercato d'ora in avanti. Per l'obbligo di segnalazione, non è così.
L'articolo 69 del Regolamento UE 2024/2847 stabilisce che gli obblighi di segnalazione dell'articolo 14 si applicano anche ai prodotti con elementi digitali immessi sul mercato prima dell'11 dicembre 2027, cioè prima della data in cui il regolamento entra pienamente in applicazione.
Tradotto per un costruttore di macchine: il parco macchine che avete consegnato negli anni scorsi, quello che oggi sta lavorando negli stabilimenti dei vostri clienti, è dentro il perimetro dell'obbligo. Ogni controllo numerico, ogni PLC, ogni pannello operatore montato su quelle macchine.
La logica è semplice, e da un punto di vista tecnico è difficile darle torto. Un attaccante che sfrutta una vulnerabilità in un controllo numerico non guarda l'anno di produzione della macchina. Se il componente è vulnerabile ed è raggiungibile, la macchina è un bersaglio, che sia stata venduta l'anno scorso o cinque anni fa.
Anzi: le macchine più vecchie sono spesso quelle più esposte, perché montano versioni di firmware più datate, che hanno accumulato più vulnerabilità note e che magari non ricevono più aggiornamenti dal fornitore del componente. Escludere il parco installato avrebbe reso l'obbligo quasi inutile.
Il perimetro non è il catalogo, è la storia. Non basta sapere cosa montate oggi sulle linee in produzione. Serve sapere cosa avete montato negli anni, su quali macchine, in quali versioni, e presso quali clienti sono finite. È il salto di difficoltà più grosso di tutta la scadenza, e il motivo per cui molti costruttori scoprono di non avere quell'informazione da nessuna parte in forma utilizzabile.
Le versioni cambiano nel tempo, e questo complica tutto. La stessa linea di prodotto, prodotta in anni diversi, monta con ogni probabilità versioni firmware diverse. Una vulnerabilità che colpisce una certa versione può riguardare le macchine del 2021 e non quelle del 2023, o viceversa. Senza uno storico, l'unica risposta possibile a un advisory è "non lo sappiamo".
E c'è l'obbligo verso i clienti. L'articolo 14 non impone solo di segnalare alle autorità. Impone anche di informare gli utilizzatori interessati della vulnerabilità o dell'incidente e delle misure che possono adottare. Gli utilizzatori interessati, per un costruttore, sono i clienti che hanno le macchine installate. E se il fabbricante non li informa tempestivamente, il regolamento prevede che possa farlo il CSIRT nazionale al posto suo.
È una sola, e vale la pena porsela adesso invece che quando l'orologio sarà già partito. Se domani mattina esce un advisory su un componente che avete montato per anni, sapete su quali macchine si trova, in quale versione, e presso quali clienti?
Se la risposta è no, non è una colpa: quell'informazione non è mai stata richiesta prima, e nessun sistema di produzione è stato costruito per fornirla. Ma dall'11 settembre 2026 la domanda ha una scadenza di 24 ore.
Cinque domande sul vostro prodotto, un verdetto sulle tre capacità che l'obbligo richiede. Gratuito, senza registrazione per vedere il risultato.
Fai la verificaPer il quadro completo dell'obbligo che scatta l'11 settembre, leggi la guida all'Articolo 14. Per capire da dove si comincia, la pagina sull'inventario dei componenti digitali.