Il mondo dei prodotti digitali si confronta con una svolta normativa che cambierà profondamente come hardware e software devono essere progettati, realizzati, mantenuti e venduti all’interno dell’Unione Europea. Con il Cyber Resilience Act, per la prima volta Bruxelles introduce una normativa orizzontale che lega in modo diretto la sicurezza informatica alla conformità dei prodotti tecnologici, un passo che avrà impatti su migliaia di imprese, startup, fornitori e distributori, grandi e piccoli. La spinta è quella di ridurre il numero di vulnerabilità sfruttate negli attacchi informatici, proteggere consumatori e imprese e favorire un mercato digitale più sicuro e affidabile su scala europea.
Indice dei contenuti
Cos’è il cyber resilience act (cra) e a chi si rivolge
Il Cyber Resilience Act (Regolamento (UE) 2024/2847) è una norma europea che introduce requisiti obbligatori di sicurezza informatica per tutti i prodotti con elementi digitali (software e hardware) messi a disposizione nel mercato unico europeo. La finalità è garantire che questi prodotti soddisfino un livello minimo di cibersicurezza fin dalla progettazione, riducendo così vulnerabilità e rischi per utenti e sistemi interconnessi.
Si rivolge a produttori, importatori e distributori di prodotti digitali che operano o intendono operare all’interno dell’UE, indipendentemente dal luogo in cui sono basati, includendo i produttori non UE che vendono nell’Unione. Il regolamento disciplina l’intero ciclo di vita del prodotto: dalla progettazione alla vendita, fino alla manutenzione e aggiornamento post-vendita.
Il concetto di “security by design” per hardware e software
Principio cardine del CRA è il concetto di “security by design” e “security by default”, ovvero la necessità di incorporare la sicurezza informatica fin dalle fasi iniziali di progettazione e sviluppo di prodotti digitali. Questo significa che:
- i prodotti devono essere privati di vulnerabilità note prima dell’immissione sul mercato;
- devono avere configurazioni sicure di default (senza richieste di configurazioni aggiuntive per essere sicuri dall’inizio);
- devono essere predisposti per la gestione delle vulnerabilità e l’aggiornamento continuo durante tutto il loro ciclo di vita.
Questi requisiti si applicano tanto all’hardware (es. dispositivi IoT, router, apparecchi connessi) quanto al software (applicazioni, sistemi integrati, firmware).
Obblighi per produttori, importatori e distributori
Produttori
I produttori devono assicurare che i prodotti con elementi digitali siano conformi ai requisiti essenziali di cyber-security definiti dal regolamento. Devono inoltre generare e conservare documentazione tecnica esaustiva che dimostri la conformità (incluse valutazioni di rischio, analisi delle vulnerabilità e piani di aggiornamento), gestire le vulnerabilità emerse durante il ciclo di vita e fornire aggiornamenti regolari ai prodotti.
Importatori
Gli importatori devono verificare che i prodotti che introducono sul mercato UE siano correttamente conformi al regolamento, siano accompagnati dalla dichiarazione UE di conformità e siano forniti di tutte le informazioni e la documentazione tecnica richiesta.
Distributori
I distributori devono accertarsi che i prodotti venduti siano conformi, che la marcatura CE sia presente e che la documentazione sia completa. Devono inoltre collaborare con le autorità in caso di controlli e segnalare eventuali prodotti non conformi.
La marcatura ce di conformità cybersecurity
La marcatura CE, già obbligatoria per molti prodotti in altri settori, diventa un elemento chiave del CRA anche per la cyber-security. Con il CRA, il marchio CE attesta non solo che un prodotto soddisfa i requisiti tecnici tradizionali, ma anche che è stato progettato, realizzato e aggiornato per soddisfare gli obblighi di sicurezza informatica previsti dal regolamento.
Per molti prodotti, la conformità potrà essere dimostrata dal produttore stesso. Per prodotti considerati “importanti” o “critici” (a causa della loro complessità o impatto potenziale), sarà necessario un assessment da parte di un organismo notificato indipendente prima che il prodotto possa essere immesso sul mercato.
Tabella: fasi del ciclo di vita del prodotto e requisiti di sicurezza
La tabella sintetizza i principali obblighi che devono essere rispettati in ciascuna fase del ciclo di vita di un prodotto digitale, come previsto dall’articolato del regolamento e dalla sua applicazione pratica.
| Fase del ciclo di vita | Requisito di cybersecurity obbligatorio | Principale adempimento |
| Progettazione | Security by design, analisi dei rischi | Valutazioni di rischio documentate |
| Sviluppo | Eliminazione di vulnerabilità note | Test di sicurezza e hardening |
| Prima dell’immissione sul mercato | Conformità CE, documentazione tecnica completa | Dichiarazione UE di conformità |
| Post-mercato / manutenzione | Gestione delle vulnerabilità e aggiornamenti | Patch periodiche, rapporti vulnerabilità |
| Fine vita prodotto | Gestione delle ultime vulnerabilità | Comunicazione di fine supporto |
Sanzioni e tempistiche di entrata in vigore in italia
Il Cyber Resilience Act è entrato formalmente in vigore il 10 dicembre 2024 con la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea.
Le principali scadenze di applicazione sono:
- 11 giugno 2026: applicazione di alcune disposizioni legate alla notifica degli organismi di valutazione della conformità.
- 11 settembre 2026: entrata in vigore degli obblighi di segnalazione e reporting di vulnerabilità attivamente sfruttate.
- 11 dicembre 2027: applicazione obbligatoria di tutti i requisiti principali del regolamento per la maggior parte dei prodotti.
Queste tempistiche si applicano in tutti gli Stati membri, compresa l’Italia, in quanto regolamento direttamente applicabile senza necessità di recepimento nazionale.
Il regolamento prevede un sistema di sanzioni amministrative proporzionate e dissuasive. I livelli base di multa, che gli Stati membri devono prevedere nei loro ordinamenti nazionali, sono:
- Fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo per violazioni gravi dei requisiti essenziali di cybersecurity, inclusa la mancata conformità CE.
- Fino a 10 milioni di euro o al 2% del fatturato annuo globale per violazioni di altri obblighi normativi.
- Fino a 5 milioni di euro o all’1% del fatturato globale per omissioni o informazioni fuorvianti fornite alle autorità.
In aggiunta alle multe, le autorità nazionali di vigilanza possono imporre ritiri dal mercato, richiami dei prodotti o altre misure correttive.