Intervista con Luca Cedric Biggiogera

Luca Cedric Biggiogera ha un’esperienza in politica digitale e affari europei. Dall’inizio del 2025 ricopre il ruolo di Technical Affairs Manager IT & Cybersecurity presso UNIFE, l’associazione europea dell’industria ferroviaria. In questa posizione coordina il gruppo di lavoro UNIFE sulla cybersicurezza, il gruppo di lavoro UNIFE Safety Assurance and ECM e l’iniziativa interassociativa Cybersecurity Rail Sector Group, in cui UNIFE collabora con CER, EIM e UITP sul Cyber Resilience Act.

Il Cyber Resilience Act (CRA) è un nuovo importante regolamento dell’UE sulla cybersicurezza. Può spiegare brevemente i suoi obiettivi principali e perché è rilevante per le imprese ferroviarie?

Il CRA è stato un impegno complesso e singolare per il settore ferroviario: pur applicandosi a noi a vari livelli, non è stato redatto pensando al settore. Interpretarlo e capire come attuarlo per il ferroviario è stata una priorità assoluta per noi negli ultimi mesi. L’obiettivo del CRA è aumentare il livello di cybersicurezza per tutti i prodotti digitali, dai più semplici ai più complessi. Fa parte di uno sforzo generale dell’UE per mettere in sicurezza l’infrastruttura digitale europea da cui la nostra società dipende sempre di più. Si pensi agli assistenti domestici connessi o ai giocattoli. Questi vengono spesso venduti con poca o nessuna sicurezza e senza la possibilità di ricevere aggiornamenti di sicurezza. In un contesto sbagliato possono diventare un facile punto d’ingresso per attori ostili. Il CRA introduce requisiti essenziali di cybersicurezza per tutti questi prodotti digitali. Poiché il settore ferroviario – a differenza dell’aviazione e della navigazione – non aveva finora una legislazione settoriale specifica dell’UE sulla cybersicurezza, rientra ora nell’ambito del CRA.

Quali tipi di prodotti, sistemi o imprese legati al ferroviario rientrano nel campo di applicazione del CRA? Come si decide quali prodotti sono considerati critici o regolamentati?

Proprio questa domanda ha dato origine al nostro sforzo a livello di settore per formare il Cybersecurity Rail Sector Group, il cui obiettivo è analizzare il CRA e fornire indicazioni esperte sul tema sotto forma di un documento dettagliato. L’ambito del CRA è molto ampio, poiché si applica a qualsiasi prodotto software o hardware. La definizione, in particolare «prodotto con elementi digitali», non è facile da applicare al settore ferroviario e inizialmente ha causato molta incertezza. Analizzando la legge e la prassi europea esistente, i nostri esperti hanno concluso che il CRA si applicherà a tutti i prodotti ferroviari che contengono elementi digitali (software o hardware) immessi sul mercato dell’UE come un’unità. Dai sensori al materiale rotabile fino ai treni completi, l’intera catena di fornitura ferroviaria dovrà prestare attenzione ai requisiti del CRA. «Critici» e «Importanti» sono categorie di prodotti che richiedono procedure di valutazione particolari. Solo i prodotti menzionati nel CRA appartengono a queste categorie, e generalmente non si tratta di prodotti ferroviari. Anche se in futuro l’elenco potrebbe essere ampliato, per ora la maggior parte dei prodotti ferroviari rientra nella categoria standard di autovalutazione.

Il CRA introduce requisiti come aggiornamenti di sicurezza continui per tutto il ciclo di vita di un prodotto. Nel settore ferroviario i prodotti sono spesso in uso per 30 anni o più. Come possono le aziende gestire realisticamente obblighi così a lungo termine?

Il CRA impone aggiornamenti di sicurezza per un minimo di cinque anni, o per l’intera durata del prodotto se questa è inferiore a cinque anni. Per i prodotti durevoli, comuni nel ferroviario, il periodo di supporto dovrebbe coprire invece una parte ragionevole del ciclo di vita previsto del prodotto. Nel determinare questo periodo, i produttori dovrebbero considerare lo scopo del prodotto, le aspettative degli utenti e altri fattori, come i periodi di supporto dei componenti integrati di terze parti e dell’ambiente operativo. I requisiti del CRA porteranno sicuramente a un ampio cambiamento nel modo in cui il settore ferroviario gestisce la cybersicurezza e in particolare gli aggiornamenti. Tuttavia, il regolamento offre anche una certa flessibilità ai produttori per definire insieme ai loro clienti la durata dei periodi di supporto per prodotti così durevoli.

Per molte aziende, la conformità alla cybersicurezza è ancora un terreno sconosciuto. Quali primi passi pratici raccomanda?

Il primo passo per ogni azienda è prepararsi per tempo: prima della data di applicazione del regolamento, a dicembre 2027, le aziende dovrebbero familiarizzare con il CRA e verificare in quale misura esso si applica ai loro prodotti. L’adattamento dei processi può richiedere tempo ed è essenziale che il settore arrivi ben preparato e con una comprensione comune del regolamento per evitare incertezze e inefficienze. A tal fine, UNIFE e il settore stanno sviluppando un documento esplicativo risultante da una comprensione comune del testo tra operatori, produttori e gestori di infrastrutture. Questo sarà una risorsa chiave per l’intero settore, costituendo la base di un’applicazione coerente del CRA e fornendo una risorsa più gestibile per le aziende che non possono affrontare direttamente il testo legale.

UNIFE svolge un ruolo centrale nel processo normativo dell’UE. Come interagite con la Commissione europea sul CRA e quali priorità o preoccupazioni sollevate a nome del settore ferroviario?

Il CRA è stato uno dei temi più importanti per UNIFE nell’ultimo anno e anche prima, e abbiamo sviluppato un approccio a due vie con la Commissione europea per ottenere maggiore chiarezza sulla legislazione e consentire un’attuazione più fluida. Da un lato, UNIFE è molto attiva nel contribuire a linee guida e indicazioni per l’attuazione. Partecipiamo attivamente al gruppo di esperti CRA della Commissione e coordiniamo anche il lavoro del Cybersecurity Rail Sector Group per fornire al settore orientamenti per un’attuazione efficace e ragionata del CRA. Dall’altro lato, UNIFE ha recentemente pubblicato un position paper che richiede l’inclusione del CRA, del Data Act e dell’AI Act nel prossimo Digital Omnibus for Simplification, un’iniziativa della Commissione volta a rendere più leggibile il panorama digitale dell’UE. In particolare, il documento chiede l’esclusione dei progetti in corso dagli obblighi del CRA. Le discussioni sono in corso e il risultato è incerto, ma un’inclusione positiva del CRA nell’Omnibus potrebbe portare ad adattamenti tanto necessari del testo per riflettere meglio i vincoli dei settori industriali.

Grazie per questa intervista!