Glossario · Cybersicurezza UE Cyber Resilience Act (CRA)
Il regolamento UE del 2024 che stabilisce requisiti di cybersicurezza per i prodotti con elementi digitali lungo tutto il loro ciclo di vita, con piena applicabilità entro il 2027.
## Cosa fa concretamente il Cyber Resilience Act
Il Cyber Resilience Act (Regolamento (UE) 2024/2847) è il regolamento UE che stabilisce requisiti di cybersicurezza per i **prodotti con elementi digitali**. Adottato a ottobre 2024, con piena applicabilità da dicembre 2027, impone obblighi ai produttori lungo tutto il ciclo di vita dei prodotti.
Mentre la NIS2 affronta la cybersicurezza per le organizzazioni che gestiscono servizi critici, il CRA affronta la cybersicurezza dei prodotti stessi — software, hardware, dispositivi IoT e qualsiasi prodotto contenente componenti digitali.
## Cosa significa 'prodotti con elementi digitali'
Il CRA copre un ambito estremamente ampio. I 'prodotti con elementi digitali' includono:
- **Prodotti software** — sistemi operativi, applicazioni, librerie software
- **Hardware con software integrato** — dispositivi IoT, router, elettrodomestici smart
- **Prodotti connessi** — qualsiasi cosa con connettività di rete
- **Componenti e software integrato** — sia elementi digitali standalone sia integrati
L'ambito è volutamente ampio. Il ragionamento della Commissione: i fallimenti di cybersicurezza in qualsiasi prodotto connesso possono influenzare la sicurezza dell'ecosistema più ampio.
Si applicano alcune esclusioni ristrette: i prodotti coperti da regolamenti settoriali di cybersicurezza (dispositivi medici sotto MDR, automotive sotto quadri specifici) hanno percorsi di conformità alternativi. Il software open-source sviluppato in contesto non commerciale ha obblighi più leggeri.
## Obblighi fondamentali
Il CRA impone obblighi lungo il ciclo di vita del prodotto:
### Obblighi pre-mercato
Prima di immettere prodotti sul mercato UE:
- **Valutazione del rischio** — identificare rischi di cybersicurezza lungo il ciclo di vita del prodotto
- **Sicurezza by design** — implementare misure tecniche e organizzative di sicurezza appropriate
- **Gestione delle vulnerabilità** — stabilire processi per l'identificazione e correzione delle vulnerabilità
- **Valutazione di conformità** — verificare che il prodotto soddisfi i requisiti CRA (può richiedere valutazione di terze parti per prodotti a rischio più elevato)
- **Documentazione** — documentazione tecnica completa inclusa l'architettura di sicurezza
- **Marcatura CE** — i prodotti devono recare la marcatura CE che indica conformità
### Obblighi post-mercato
Dopo che i prodotti sono venduti:
- **Aggiornamenti di sicurezza** — fornire aggiornamenti per il periodo di supporto (predefinito 5 anni, più lungo per alcune categorie)
- **Segnalazione vulnerabilità** — segnalare vulnerabilità attivamente sfruttate a ENISA entro 24 ore
- **Segnalazione incidenti** — segnalare incidenti di sicurezza gravi alle autorità
- **Divulgazione coordinata delle vulnerabilità** — collaborare con i ricercatori di sicurezza
- **Informazioni per operatori e utenti** — informazioni di sicurezza chiare per gli utenti
### Obblighi continui
Lungo tutto il ciclo di vita del prodotto:
- **Configurazione sicura by default** — baseline minima di sicurezza
- **Meccanismi di autenticazione** — autenticazione forte richiesta dove applicabile
- **Supporto crittografia** — per prodotti che gestiscono dati sensibili
- **Controlli degli accessi** — meccanismi di autorizzazione appropriati
- **Logging e monitoraggio** — registrazione di eventi rilevanti per la sicurezza
## Classificazione dei prodotti basata sul rischio
Il CRA classifica i prodotti in categorie con diversi requisiti di valutazione di conformità:
### Categoria predefinita
La maggior parte dei prodotti rientra nella categoria predefinita che richiede autovalutazione di conformità. I produttori completano la valutazione e applicano la marcatura CE.
### Categoria importante (Classe I e Classe II)
I prodotti con maggiori implicazioni di cybersicurezza affrontano requisiti più stringenti:
**Classe I** — prodotti inclusi sistemi di gestione dell'identità, password manager, antivirus, strumenti di sicurezza di rete, hypervisor generici e soluzioni VPN. Autovalutazione con verifica facoltativa di terze parti.
**Classe II** — sistemi operativi per server e workstation, smart card e bootloader certificati, sistemi di gestione delle chiavi per infrastrutture critiche. Valutazione di conformità di terze parti obbligatoria.
### Categoria critica
I prodotti con le più alte implicazioni di cybersicurezza richiedono la valutazione più rigorosa, inclusi prodotti che supportano infrastrutture critiche e applicazioni chiave di sovranità.
## Struttura sanzionatoria
Le sanzioni del CRA sono sostanziose:
- **Fino a 15 milioni di euro o il 2,5% del fatturato annuo globale** (a seconda di quale sia maggiore) per non conformità a requisiti chiave
- **Fino a 10 milioni di euro o il 2% del fatturato** per non conformità ad altri obblighi
- **Fino a 5 milioni di euro o l'1% del fatturato** per fornitura di informazioni errate o fuorvianti
Per le PMI, le multe sono limitate a soglie proporzionalmente inferiori.
## Perché il CRA è importante per la tecnologia europea
Il CRA crea implicazioni significative:
### I prodotti software sono ora prodotti regolamentati
Storicamente, il software è stato meno rigorosamente regolamentato dei prodotti fisici con elementi digitali. Il CRA cambia questo — i prodotti software affrontano requisiti di cybersicurezza di base simili all'hardware.
Per le aziende software europee, ciò crea onere di conformità ma anche opportunità competitiva. Le aziende software EU-native che integrano la conformità CRA nell'architettura del prodotto sin dall'inizio hanno vantaggi rispetto alla conformità retrofit.
### Trattamento dell'open-source
Il CRA include disposizioni che riducono l'onere sul software open-source sviluppato in contesto non commerciale. Le distribuzioni open-source commerciali e le aziende software che usano componenti open-source affrontano gli obblighi pieni.
Ciò è stato controverso. Sostenitori della community open-source hanno sostenuto un trattamento più leggero; sostenitori della sicurezza hanno sostenuto la copertura piena. Il quadro finale richiede ai produttori che usano componenti open-source di garantire che tali componenti soddisfino i requisiti CRA come integrati.
### Rimodellamento del mercato dei prodotti IoT
I mercati dei prodotti connessi affrontano sostanzioso onere di conformità CRA. I dispositivi IoT economici di produttori che non possono o non vogliono conformarsi usciranno dal mercato UE. Questo:
- Aumenta i prezzi dei prodotti connessi
- Riduce la varietà nella fascia bassa del mercato
- Crea opportunità competitiva per produttori con sede UE che costruiscono prodotti conformi al CRA
### Implicazioni per la catena di approvvigionamento software
I produttori che usano componenti software di terze parti devono garantire che tali componenti soddisfino i requisiti CRA. Ciò crea pressione sulla catena di approvvigionamento:
- I fornitori software affrontano obblighi di conformità verso i loro clienti produttori
- I componenti open-source usati in prodotti commerciali affrontano controllo più severo
- Le software bill of materials (SBOM) diventano più importanti
## Tempistiche e stato attuale
Attuazione del CRA scaglionata:
- **Dicembre 2024**: il regolamento entra in vigore
- **Settembre 2026**: si applicano gli obblighi di segnalazione delle vulnerabilità
- **Dicembre 2027**: piena applicabilità per tutti gli obblighi
Siamo attualmente in fase di transizione. I produttori si stanno preparando per la segnalazione delle vulnerabilità di settembre 2026 e la piena conformità di dicembre 2027.
## Relazione con altri regolamenti UE
Il CRA si inserisce nel più ampio quadro UE di cybersicurezza e regolamentazione digitale:
**vs. NIS2** — la NIS2 si occupa delle organizzazioni che gestiscono servizi critici. Il CRA si occupa dei prodotti. Insieme coprono sia la cybersicurezza organizzativa sia quella dei prodotti.
**vs. Data Act** — il Data Act si occupa di accesso e portabilità dei dati. Il CRA si occupa della cybersicurezza dei prodotti che generano tali dati. Quadri complementari.
**vs. AI Act** — l'AI Act si occupa dei rischi dei sistemi IA (sicurezza, equità, diritti fondamentali). Il CRA si occupa della cybersicurezza dei prodotti inclusi i sistemi IA. Entrambi si applicano ai prodotti IA.
**vs. GDPR** — il GDPR si occupa della protezione dei dati personali. Il CRA si occupa della cybersicurezza dei prodotti in senso ampio. Complementari nel contesto dei dati personali.
Per i prodotti coperti da più regolamenti, la conformità richiede mappatura esplicita.
## Cosa porta il 2026-2027
- **Scadenza di settembre 2026 per la segnalazione delle vulnerabilità** — primo grande traguardo operativo
- **Piena applicabilità di dicembre 2027** — inizia l'applicazione completa
- **Le prime grandi azioni applicative** probabilmente nel 2027-2028
- **Atti di esecuzione e standard armonizzati** in continuo sviluppo
- **Linee guida settoriali** per varie categorie di prodotti
Il CRA è la regolamentazione di cybersicurezza più ambiziosa dell'UE per ambito. L'attuazione plasmerà sostanzialmente i mercati software e hardware europei fino al 2028 e oltre.
## Cosa significa per le aziende europee
Per le aziende software e hardware europee:
### 1. La conformità al CRA è una caratteristica competitiva
I prodotti costruiti in UE con una solida postura di conformità CRA si posizionano favorevolmente rispetto ad alternative più economiche e non conformi. Documenta il lavoro di conformità.
### 2. L'uso dell'open-source richiede attenzione
L'uso di componenti open-source in prodotti commerciali richiede di garantire che tali componenti soddisfino i requisiti CRA. Verifica la tua catena di approvvigionamento software.
### 3. Sicurezza by design come predefinito
Costruire prodotti senza un'architettura di sicurezza allineata al CRA crea debito tecnico che dovrà essere ripagato prima di dicembre 2027. Lo sviluppo di nuovi prodotti dovrebbe incorporare i requisiti CRA sin dall'inizio.
### 4. SBOM e gestione delle vulnerabilità sono requisiti operativi
Software bill of materials, processi di gestione delle vulnerabilità e programmi di divulgazione coordinata non sono più opzionali per i prodotti nel mercato UE.
### 5. Periodi di supporto agli aggiornamenti contano
I prodotti devono essere supportati con aggiornamenti di sicurezza per periodi predefiniti di 5 anni. Ciò influisce sull'economia del ciclo di vita del prodotto — particolarmente per i produttori IoT che vendono dispositivi economici con periodi di supporto storicamente brevi.
Per gli acquirenti tecnologici europei, il CRA crea miglioramenti strutturali della qualità nei prodotti disponibili nei mercati UE. I prodotti connessi economici-ma-insicuri diventeranno meno disponibili; le alternative correttamente progettate diventeranno più competitive.
Ti è stato utile?
Grazie per il tuo feedback!