Ciò che ormai è all’ordine del giorno per le serrature intelligenti, i baby monitor Wi-Fi o i robot aspirapolvere, vale sempre più anche per la protezione solare: non appena un prodotto emette segnali radio o è controllabile tramite app, va considerato come un prodotto connesso. Negli ultimi anni, i ricercatori nel campo della sicurezza hanno ripetutamente dimostrato che i sistemi radio dei portoni dei garage, delle chiavi delle auto e dei componenti Smart Home possono essere manipolati se non sono crittografati utilizzando gli standard tecnologici più recenti.
Anche nel settore della domotica, i rischi sono reali: chiunque analizzi i modelli di presenza ricavati dai movimenti degli avvolgibili o attivi i sistemi di ombreggiamento in momenti inopportuni può causare danni: dallo spionaggio che passa inosservato a danni materiali, o addirittura all'organizzazione di furti con scasso. Il Cyber Resilience Act dell’UE rappresenta la risposta normativa a questa evoluzione, che è paragonabile a quanto introdotto dal GDPR nel 2018 in materia di protezione dei dati: uno standard europeo uniforme che tutela i consumatori, ma anche e soprattutto le infrastrutture critiche.
Il Regolamento UE sulla Resilienza Informatica (2024/2847) riguarda in particolare i sistemi radio, le app e tutte le soluzioni di controllo digitale. La sicurezza informatica diventa così un requisito indispensabile per l'omologazione e la commercializzazione dei prodotti, anche nel settore della protezione solare. In futuro, i prodotti non conformi perderanno il marchio CE e non potranno più essere commercializzati nei 30 paesi del mercato unico europeo. Il regolamento prevede inoltre sanzioni significative, tra cui il rischio di responsabilità civile e di richiamo del prodotto, nonché ammende fino a 15 milioni di euro o pari al 2,5% del fatturato annuo globale. Per i produttori e i rivenditori, il CRA rappresenta un cambiamento di paradigma fondamentale: possono avere certezza nella pianificazione solo se i sistemi che acquistano e vendono oggi rimarranno conformi alla normativa CE anche in futuro. HELLA, leader europeo nella fornitura di sistemi di protezione dal sole, dalla luce e dalle intemperie, è già oggi uno dei primi produttori a soddisfare tutti i requisiti del Cyber Resilience Act dell’UE, grazie al suo sistema di controllo wireless intelligente ONYX. «Con il Cyber Resilience Act, la sicurezza dei dati – che da anni abbiamo definito come parametro di riferimento per lo sviluppo dei nostri sistemi di controllo – diventa uno standard europeo», afferma Andreas Kraler, socio gerente del Gruppo HELLA. «Nei sistemi di protezione solare interconnessi, la sicurezza non deve essere una funzionalità aggiuntiva, ma deve essere profondamente integrata nell'impianto.»
Il nuovo regolamento obbliga i produttori a tenere conto della sicurezza informatica dei propri prodotti e delle proprie soluzioni sin dalle prime fasi di progettazione: la sicurezza deve essere parte integrante dell'architettura di sistema (Security by Design), tutte le impostazioni predefinite di fabbrica devono essere concepite in tal senso (Security by Default) e tutti i prodotti dotati di elementi digitali devono poter essere aggiornati per l'intero ciclo di vita. Dal punto di vista normativo, le soluzioni di protezione solare dotate di sistemi di comando vengono considerate prodotti digitali. In futuro non sarà determinante solo la qualità meccanica, ma anche la resistenza agli attacchi informatici.
Dal 2008, HELLA punta, per ONYX, sulla “Security by Architecture”: la sicurezza informatica è parte integrante dell'architettura di sistema sin dall'inizio e non è un componente aggiunto in un secondo momento, poiché viene considerata già in fase di sviluppo e di progettazione tecnica del sistema. Uno dei principali vantaggi di ONYX risiede nel fatto che è stato sviluppato internamente dall'azienda. HELLA produce internamente sia l'hardware che il software, che vengono costantemente perfezionati. In questo modo è possibile attuare in modo indipendente i requisiti di sicurezza, gli aggiornamenti e gli adeguamenti normativi, garantendone il rispetto per l'intero ciclo di vita del prodotto. La soluzione codifica le comunicazioni secondo gli standard tecnologici più avanzati e protegge dagli attacchi di tipo “replay”, in cui i segnali radio registrati vengono ritrasmessi per simulare un’azione legittima.
Inoltre, HELLA gestisce per ONYX una cosiddetta Software Bill of Materials (SBOM), ovvero una documentazione completa e trasparente di tutti i componenti software utilizzati e delle relative dipendenze, come richiesto in futuro dalla CRA.
A ciò si aggiunge un meccanismo di aggiornamento chiaramente definito e documentato che copre l’intero ciclo di vita del prodotto. Un ulteriore fondamento di una comunicazione professionale e completa è costituito dalla gestione integrata delle vulnerabilità, ovvero un processo volto all’individuazione, alla documentazione e alla risoluzione delle vulnerabilità nella sicurezza. Per i clienti finali, l'introduzione del CRA non comporta alcun cambiamento nell'utilizzo quotidiano: i sistemi rimangono di facile utilizzo ma, nel retroscena, soddisfano i più elevati standard di sicurezza per i prodotti connessi.
A partire dall'11 settembre 2026 le imprese dovranno segnalare le vulnerabilità individuate all'Agenzia dell'Unione europea per la Cibersicurezza (ENISA) e, a partire dall'11 dicembre 2027, nel mercato interno europeo potranno essere immessi in commercio solo prodotti conformi alla CRA. Non è previsto alcun periodo di transizione per i prodotti non conformi. In futuro, produttori, importatori, rivenditori e aziende specializzate avranno una responsabilità a tutti i livelli della catena di fornitura e dovranno dimostrare la conformità dei sistemi utilizzati. Per il settore commerciale, la scelta dei sistemi di controllo diventa quindi una decisione rilevante dal punto di vista giuridico e che comporta rischi economici. Con ONYX, HELLA offre una soluzione di sistema che soddisfa già di serie i nuovi requisiti CRA.