Lumantis · Guida per costruttori

SBOM: cos'è, e perché un costruttore di macchine ne ha bisogno

Aggiornato al 12 luglio 2026

SBOM sta per Software Bill of Materials. Tradotto in una lingua che in officina si capisce meglio: è la distinta base, ma dei componenti digitali. Se la distinta di una macchina elenca cuscinetti, motori e riduttori con i loro codici, l'SBOM elenca controlli numerici, PLC, pannelli operatore, software e firmware, ognuno con la sua versione.

È un concetto semplice. Il motivo per cui improvvisamente riguarda ogni costruttore di macchine lo è altrettanto: senza, non si può rispettare l'obbligo di segnalazione che scatta l'11 settembre 2026.

Cosa dice esattamente il regolamento

Il Cyber Resilience Act la nomina esplicitamente. Nell'Allegato I, tra i requisiti di gestione delle vulnerabilità, si legge che i fabbricanti di prodotti con elementi digitali:

identificano e documentano le vulnerabilità e i componenti contenuti nel prodotto con elementi digitali, redigendo anche una distinta base del software in un formato di uso comune e leggibile da un dispositivo automatico, che includa almeno le dipendenze di primo livello del prodotto Reg. (UE) 2024/2847, Allegato I, Parte II, punto 1

Tre cose in una riga sola, e vale la pena leggerle bene. Formato di uso comune: non un foglio Excel fatto a modo vostro, ma uno standard riconosciuto. Leggibile da un dispositivo automatico: deve poterlo elaborare una macchina, non solo una persona. Almeno le dipendenze di primo livello: non basta scrivere "PLC Siemens", serve sapere cosa c'è dentro al livello immediatamente sotto.

Una precisazione sui tempi, che quasi nessuno fa

Questo requisito sta nell'Allegato I, e l'Allegato I fa parte della struttura del regolamento che si applica dall'11 dicembre 2027. Quello che scatta prima, l'11 settembre 2026, è l'Articolo 14, cioè l'obbligo di segnalare le vulnerabilità sfruttate attivamente e gli incidenti gravi.

Quindi, formalmente: a settembre 2026 non è l'SBOM in sé a diventare obbligatorio. È l'obbligo di segnalazione. Ma qui sta il punto pratico che rende la distinzione accademica.

Non si può segnalare in 24 ore una vulnerabilità in un componente che non si sa di avere. L'obbligo che scatta a settembre presuppone di sapere cosa c'è dentro alle proprie macchine. Un costruttore senza inventario, davanti a un advisory che annuncia una vulnerabilità sfruttata attivamente su un controllo numerico, non è in grado nemmeno di dire se lo riguarda. L'orologio delle 24 ore parte comunque.

Cosa deve contenere, in pratica

Per un costruttore di macchine, l'inventario utile è quello che permette di rispondere alla domanda "questa vulnerabilità mi riguarda?" in pochi minuti. Serve quindi, per ogni linea di prodotto:

Il componentecontrolli numerici, PLC, pannelli operatore, PC industriali, moduli di comunicazione
Il fornitorechi lo produce, perché è chi pubblica gli advisory di sicurezza
La versioneil dato più trascurato e il più decisivo: una vulnerabilità colpisce versioni specifiche
Il software di bordofirmware, sistemi operativi, librerie e runtime che girano sui componenti

La versione è il punto dove quasi tutti si fermano. Sapere di montare un certo PLC non basta: se l'advisory dice che sono colpite le versioni firmware fino alla 2.9.2, la domanda diventa quale versione avete montato, su quali macchine, e presso quali clienti. Senza quel dato, non c'è segnalazione possibile né rimedio possibile.

Perché non basta chiederlo al fornitore

La reazione istintiva di molti costruttori è: l'SBOM me lo dà Siemens, o chi per lui. In parte è vero, e i grandi vendor si stanno attrezzando. Ma non risolve il problema, per due motivi.

Il primo: l'obbligo ricade sul fabbricante della macchina, non sul fornitore del componente. Chi immette sul mercato il prodotto finito è il costruttore, e a lui si applica l'Articolo 14. Il fornitore fornisce informazioni, non si assume l'obbligo al posto vostro.

Il secondo, più pratico: l'SBOM di un componente non è l'SBOM della vostra macchina. La vostra macchina monta più componenti, di fornitori diversi, in versioni che avete scelto voi, magari diverse da linea a linea e da anno di produzione. La composizione è vostra, e solo voi potete ricostruirla.

Da dove si comincia

Il punto di partenza è più vicino di quanto sembri. Le informazioni ci sono già, sparse: nel fascicolo tecnico, nelle distinte di produzione, negli schemi elettrici, nei manuali, negli ordini ai fornitori. Il lavoro non è inventare da zero, è raccogliere, normalizzare e tenere aggiornato.

Poi c'è la parte che l'inventario da solo non risolve, ed è quella che conta davvero: una volta che sapete cosa montate, dovete confrontarlo ogni giorno con le vulnerabilità nuove che escono, e sapere quando una di queste diventa sfruttata attivamente. Quello è il monitoraggio, ed è il secondo dei tre presidi che l'obbligo richiede.

Siete pronti o scoperti? Verificatelo in due minuti

Cinque domande sul vostro prodotto, un verdetto sulle tre capacità che l'obbligo richiede. Gratuito, senza registrazione per vedere il risultato.

Fai la verifica

Per capire cosa richiede l'obbligo che scatta l'11 settembre, leggi la guida all'Articolo 14. Per sapere cosa si rischia, la pagina sulle sanzioni del CRA.

Fonti. Regolamento (UE) 2024/2847 (Cyber Resilience Act), Allegato I Parte II punto 1 (distinta base del software), articolo 14 (obblighi di segnalazione), articolo 71 (entrata in vigore e applicazione). Testo ufficiale su EUR-Lex.

Questa pagina è un orientamento pratico e non costituisce consulenza legale. Per la posizione della vostra azienda fa fede il testo del regolamento e il parere dei vostri consulenti.

Lumantis S.r.l. · Via Valparaiso 1, 20144 Milano · P.IVA IT12825000966 · cra@lumantis.it