Cyber Resilience Act

(CRA – Regolamento UE 2024/2847)

Cybersecurity & Coordinated Vulnerability Disclosure (CVD)

In CMZ Sistemi Elettronici Srl consideriamo la sicurezza e la resilienza informatica dei nostri sistemi di motion control una priorità assoluta.

In conformità con il Regolamento UE 2024/2847  (Cyber Resilience Act), adottiamo una politica di divulgazione coordinata delle vulnerabilità per identificare e risolvere tempestivamente qualsiasi difetto di sicurezza nei nostri prodotti (Hardware, Firmware, Software e Applicativi).

Invitiamo i clienti, i partner industriali e i ricercatori indipendenti a collaborare con noi segnalando qualsiasi potenziale vulnerabilità riscontrata sui nostri dispositivi.

1. Ambito di applicazione (Scope)

 

Questa policy si applica esclusivamente alle vulnerabilità di sicurezza informatica scoperte sui prodotti distribuiti da CMZ attualmente supportati:

  • Controllori Programmabili e PLC delle serie FCT (FCT641, FCT640, FCT300, FCT200).
  • Servo Azionamenti Smart Drive delle serie SBD, LBD, IBD, SSD.
  • Software di sviluppo e Tuning (SDSetUp, GEM Drive Studio).
  • Librerie Motion e Applicativi di confezionamento (HFFS, VFFS, taglio al volo).

Fuori ambito (Out of Scope): non rientrano in questa policy e non verranno prese in carico le segnalazioni riguardanti l’infrastruttura IT aziendale o il sito web principale di CMZ (es. problemi di configurazione certificati SSL del sito, record SPF/DMARC, attacchi DDoS).

2. Regole di ingaggio (Rules of engagement)

Per garantire una gestione sicura e proteggere la continuità operativa degli impianti industriali, i segnalatori devono rispettare le seguenti regole:

  • Nessun danno operativo: è vietato eseguire test che possano causare l’arresto imprevisto di macchine operative, danni fisici agli impianti o interruzioni di produzione (evitare attacchi DoS/Brute Force massivi).
  • Riservatezza (Coordinated Disclosure): il segnalatore si impegna a non divulgare pubblicamente i dettagli della vulnerabilità prima che CMZ abbia convalidato la falla e rilasciato una patch di sicurezza o una misura di mitigazione efficace.
  • Uso dei dati: non raccogliere, modificare o distruggere dati appartenenti a terzi durante l’analisi del firmware o del software.

CMZ si impegna a non intraprendere azioni legali contro i segnalatori che agiscono in buona fede nel pieno rispetto di queste regole.

3. Come inviare una segnalazione

Se avete identificato una vulnerabilità, vi preghiamo di inviare un report dettagliato esclusivamente tramite i seguenti canali:

  • 📧 Email dedicata: cybersecurity[AT]cmz.it
  • 🔐 Cifratura (Raccomandata): per proteggere le informazioni sensibili prima del rilascio della patch, si prega di cifrare il messaggio utilizzando la nostra Chiave Pubblica PGP.
    Fingerprint: B701CC79F481E0C2C15361928205143AFB53A27C

    La chiave PGP è scaricabile qui: PGP Key Download

Informazioni richieste nel Report:

  1. Modello del prodotto hardware e versione esatta del firmware/software interessata.
  2. Descrizione dettagliata della falla e passaggi chiari per riprodurla (Proof of Concept – PoC).
  3. Potenziale impatto stimato sul sistema di controllo o sul movimento assi.

4. Il nostro processo di gestione e tempistiche

CMZ gestisce le segnalazioni in conformità con i requisiti temporali imposti dalle autorità europee e dal CRA:

  1. Ricezione (entro 48 ore lavorative): invieremo una conferma di ricezione della segnalazione al mittente.
  2. Triage e Validazione (entro 10 giorni lavorativi): il nostro team di ricerca e sviluppo analizzerà il report per verificare l’effettiva presenza del bug e valutarne la gravità.
  3. Risoluzione e Patching: se la vulnerabilità è confermata, CMZ svilupperà una patch software o firmware correttiva. I clienti impattati riceveranno notifica diretta o tramite bollettino di sicurezza nell’area download.
  4. Segnalazione alle Autorità: in caso di vulnerabilità critica attivamente sfruttata sul mercato, CMZ provvederà a notificare lo CSIRT Nazionale italiano e l’ENISA entro i termini di legge (24/72 ore).