Regolamento (UE) 2024/2847
(Cyber Resilience Act)

Il Cyber Resilience Act (CRA) istituisce un quadro normativo uniforme in materia di cybersicurezza per tutti i prodotti con elementi digitali immessi sul mercato dell’UE.

Si applica a produttori, importatori e distributori di prodotti hardware e software connessi direttamente o indirettamente a una rete, con l’obiettivo di garantire che tali prodotti siano sicuri per l’intero ciclo di vita e che le vulnerabilità siano gestite in modo efficace.

CAPO II – OBBLIGHI DEGLI OPERATORI ECONOMICI E DISPOSIZIONI IN MATERIA DI SOFTWARE LIBERI E OPEN SOURCE

Art.13
Obblighi dei fabbricanti

L’articolo 13 impone ai fabbricanti di progettare e mantenere prodotti secure by design, basati su una valutazione del rischio documentata e aggiornata, con gestione continua delle vulnerabilità e prevenzione degli incidenti lungo l’intero ciclo di vita (progettazione → sviluppo → produzione → manutenzione)

Lucy può offrire un supporto pratico per queste attività:
il modulo Threat Tracker fornisce feed costanti di IOC e vulnerabilità (CVE) esportabili in CSV, utili a popolare e mantenere vivi risk assessment e processi di vulnerability management.
Il modulo Asset Surface scopre e monitora la superficie esposta (FQDN, IP, tecnologie), evidenziando protocolli a rischio, certificati scaduti e CVE rilevate sugli asset, così da trasformare l’intelligence in backlog di remediation tracciabile.

Art.14
Obblighi di segnalazione dei fabbricanti

Il CRA impone al fabbricante di notificare a CSIRT ed ENISA ogni vulnerabilità attivamente sfruttata nel prodotto: un preallarme entro 24 ore, una notifica entro 72 ore con dettagli e misure di mitigazione e una relazione finale entro 14 giorni dalla messa a disposizione della mitigazione

Lucy attraverso il modulo di Threat Tracker, le Notifiche e la Reportistica facilita la preparazione rapida dei contenuti da condividere: arricchisce le notifiche con IOC e contesto tecnico esportabili in CSV, avvisa i team in tempo reale via e-mail, e genera PDF/XLSX riassuntivi da allegare ai flussi ufficiali. Questo permette di ridurre notevolmente tempi operativi.

Art.19
Obbligo degli importatori

Gli importatori devono immettere sul mercato solo prodotti conformi (requisiti Allegato I, parte I/II), verificare che il fabbricante abbia svolto la valutazione di conformità, conservare la DoC e informare subito le autorità in caso di rischio di cybersecurity significativo o vulnerabilità note

Lucy può supportare nel soddisfare i requisiti dell’articolo. Il modulo Threat Tracker fornisce feed strutturati per valutare rapidamente se un prodotto/componente presenta rischi significativi prima e dopo l’immissione sul mercato. Gli IOC sono esportabili in CSV dall’interfaccia per integrazioni interne.
Il modulo Info & Data Leak monitora deep/dark web, paste site e social media per individuare precocemente leak o annunci di attacchi che coinvolgono il prodotto o il fornitore, supportando le decisioni di segnalazione e le misure correttive.
Il modulo di Asset Surface rileva tecnologie e componenti web esposte (CMS, database, librerie), utile per la due diligence tecnica sui prodotti con elementi digitali e sulle loro dipendenze.

CAPO III – CONFORMITÀ DEL PRODOTTO CON ELEMENTI DIGITALI

Art.28
Dichiarazione di conformità UE

Il fabbricante deve redigere e mantenere aggiornata la Dichiarazione che attesta la conformità ai requisiti essenziali di cybersecurity. La struttura tipo e i contenuti minimi sono stabiliti dall’Allegato V e vanno resi disponibili nelle lingue richieste dallo Stato membro

Per mezzo della Reportistica, Lucy permette l’esportazione di riepiloghi PDF/XLSX (stato rischi, eventi, vulnerabilità note/zero-day) utili come base documentale per compilare e aggiornare la Dichiarazione di Conformità.
Inoltre, il modulo Threat Tracker fornisce IOC e bollettini tecnici, esportabili in CSV, da citare come evidenze tecniche nella Dichiarazione.

Art.31
Documentazione tecnica

Il CRA richiede una documentazione tecnica aggiornata che dimostri conformità ai requisiti essenziali e includa, tra le altre cose, la valutazione dei rischi (richiamo art.13), prove delle verifiche e, su richiesta dell’autorità, la distinta base del software (SBOM).
Questo secondo l’Allegato VII

Reportistica (PDF/XLSX) e Dashboard di Lucy sintetizzano trend di rischio (Cyber Risk Status), minacce correnti (Threat Tracker) e possibili esposizioni (Asset Surface, Info & Data Leak), fornendo materiale strutturato da inserire nella documentazione tecnica. Lucy non genera direttamente un SBOM, ma nel modulo di Asset Surface, offre evidenze a supporto della valutazione dei rischi e delle verifiche richieste dall’Allegato VII (punti su risk assessment e test/report).

Art.32
Procedure di valutazione della conformità per prodotti con elementi digitali

Il fabbricante è tenuto a dimostrare la conformità ai requisiti essenziali seguendo una procedura strutturata e deve poter evidenziare controlli, processi e risultati che sostengano l’esito della valutazione dei propri prodotti

Il modulo Asset Surface inventaria domini, IP, applicativi e certificati, correlando tecnologie e CVE (con riferimenti CVSS) per documentare superfici esposte e deficit di sicurezza. Il modulo Threat Tracker fornisce feed strutturati di minacce e IOC (esportabili in CSV) da usare come input oggettivo nelle verifiche. Web Guard aggiunge evidenze sui contenuti web e liste di blocco. In ultimo, la Reportistica consolida tutto in dossier allegabili ai fascicoli di conformità.

ALLEGATO I - REQUISITI ESSENZIALI DI CIBERSICUREZZA

Allegato I, Parte II Requisiti di gestione delle vulnerabilità

I fabbricanti devono gestire in modo continuativo le vulnerabilità del prodotto lungo il ciclo di vita. Devono identificare e documentare le vulnerabilità e i componenti, test e riesami periodici di sicurezza, patch tempestive, divulgazione coordinata e pubblica delle vulnerabilità risolte, meccanismi sicuri di distribuzione degli aggiornamenti e punto di contatto per le segnalazioni

Il modulo Threat Tracker mantiene aggiornati su CVE, exploit, vulnerabilità Zero-Day e IOC, supportando l’identificazione rapida delle vulnerabilità note e la loro prioritizzazione. Gli IOC sono esportabili in CSV per l’integrazione nei flussi operativi e nella reportistica verso gli stakeholder.
Il modulo Info & Data Leak monitora web, deep/dark web, repository e paste site per tracce di dati o codice esposto, segnalando vulnerabilità o configurazioni a rischio. Aiuta a valutare l’urgenza delle correzioni e a raccogliere evidenze per note di rilascio e avvisi agli utenti.
Inoltre, Report e Notifiche facilitano il coordinamento tra team, garantendo trasparenza nella gestione delle vulnerabilità e supportando la pubblicazione tempestiva delle notifiche di sicurezza.