15 Settembre 2025

Cyber Resilience Act: obblighi e prodotti coinvolti

Il Cyber Resilience Act (CRA), ufficialmente Regolamento (UE) 2024/2847, è la prima legislazione a livello di tutta l’Unione Europea che introduce norme comuni di cibersicurezza per i produttori e gli sviluppatori di prodotti con elementi digitali e copre sia la parte hardware, sia la parte software.

L’obiettivo del Cyber Resilience Act è affrontare il problema del basso livello di sicurezza informatica nei “prodotti con elementi digitali” e aumentare la consapevolezza degli utenti riguardo alla cyber security dei prodotti. Gli obiettivi principali sono:

  • Garantire la cibersicurezza dei prodotti e prevenire lo sfruttamento delle vulnerabilità.
  • Imporre obblighi specifici ai fabbricanti, importatori e distributori.
  • Assicurare che i prodotti siano “sicuri fin dalla progettazione e per impostazione predefinita” (“secure by design and by default”) e che siano mantenuti sicuri durante l’intero ciclo di vita.

La legge si applica a tutti i “prodotti con elementi digitali” immessi sul mercato dell’UE, con poche eccezioni. Un prodotto con elementi digitali è definito in modo ampio come:

“qualsiasi prodotto software o hardware e le sue soluzioni di elaborazione dati a distanza, inclusi componenti software o hardware da immettere sul mercato separatamente”.

Questo significa, tra le altre cose, che quasi tutti i tipi di dispositivi IoT sono inclusi nel suo ambito. In questo articolo troverai una panoramica delle questioni e delle soluzioni principali del Cyber Resilience Act, con un’attenzione particolare alla categorizzazione dei prodotti e al quadro normativo.

Il panorama normativo europeo sulla sicurezza informatica

Il Cyber Resilience Act (CRA) si integra in un quadro normativo europeo già avanzato su dati personali e cybersicurezza, rafforzando sinergie con le principali normative:

  • Cybersecurity Act (Reg. UE 2019/881): introduce un sistema europeo di certificazione volontaria della cibersicurezza con ruolo centrale per l’ENISA. I prodotti certificati secondo questo regolamento sono presunti conformi ai requisiti del CRA.
  • Direttiva NIS2 (Dir. UE 2022/2555): definisce obblighi di sicurezza e segnalazione per entità essenziali e importanti. Il CRA la integra specificando requisiti per i prodotti digitali e favorendo la segnalazione volontaria di vulnerabilità a CSIRT ed ENISA.
  • GDPR (Reg. UE 2016/679): privacy e cibersicurezza sono principi comuni; i requisiti del CRA rafforzano la protezione dei dati personali senza pregiudicare il GDPR.
  • AI Act (Reg. UE 2024/1689): i sistemi di IA ad alto rischio devono rispettare anche i requisiti di cibersicurezza del CRA, che valgono come conformità all’AI Act.

Timeline di implementazione del Cyber Resilience Act

Di seguito si presenta la timeline di implementazione del Cyber Resilience Act

  • 10 dicembre 2024: il Regolamento (UE) 2024/2847 (Cyber Resilience Act) è entrato in vigore il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell’Unione europea.
  • Dicembre 2025: entro questa data, la Commissione adotterà atti delegati per specificare i termini e le condizioni per l’applicazione dei motivi connessi alla cibersicurezza, che giustificano il ritardo nella diffusione delle notifiche.
  • Giugno 2026: le disposizioni relative alla notifica degli organismi di valutazione della conformità diventeranno applicabili.
  • Settembre 2026: diventano applicabili gli obblighi di segnalazione per i fabbricanti relativi alle vulnerabilità attivamente sfruttate e agli incidenti gravi che hanno un impatto sulla sicurezza dei prodotti con elementi digitali.
  • Dicembre 2027: la maggior parte degli obblighi introdotti dalla legge si applicherà a partire da questa data, concedendo alle aziende un periodo di tre anni per adattarsi ai nuovi requisiti.
  • Settembre 2028: la Commissione presenterà al Parlamento europeo e al Consiglio una relazione per valutare l’efficacia della piattaforma unica di segnalazione e l’impatto dell’applicazione dei motivi legati alla cibersicurezza da parte dei CSIRT.
  • Dicembre 2030 e successivamente ogni quattro anni: la Commissione trasmetterà al Parlamento europeo e al Consiglio una relazione di valutazione e riesame del presente regolamento.

Sebbene la timeline stabilita sia piuttosto precisa, i settori coinvolti hanno sollevato preoccupazioni riguardo alla chiarezza e alla tempistica, specialmente per quanto riguarda lo sviluppo degli standard tecnici. Proprio la necessità di sviluppare standard e certificazioni e il rischio che gli organismi di valutazione della conformità siano sovraccarichi sono stati evidenziati come sfide.

Il cyber resilience act impatta soprattutto i dispositivi IoT

I prodotti coinvolti nel Cyber Resilience Act

Il CRA adotta un approccio basato sul rischio, secondo cui classifica i prodotti in tre categorie principali, che determinano il livello degli obblighi e delle procedure di valutazione della conformità.

Prodotti “Standard” (Non Critici)

Questa è la categoria predefinita e si stima che comprenda la vasta maggioranza (circa il 90%) dei prodotti con elementi digitali. Esempi includono:

  • Software di fotoritocco
  • Videogiochi
  • Altoparlanti intelligenti
  • Hard disk

La conformità di questi prodotti può essere valutata dal fabbricante sotto la propria responsabilità tramite una procedura di controllo interno.

Prodotti “Importanti”

Questi prodotti sono elencati nell’Allegato III del regolamento e presentano un rischio maggiore per la sicurezza informatica. La loro classificazione dipende da criteri come la funzionalità legata alla cibersicurezza, l’uso in ambienti sensibili o la capacità di causare un impatto negativo significativo.

Classe I (Allegato III)

Alcuni esempi includono:

  • Sistemi di sicurezza informatica e gestione degli accessi
  • Hardware e infrastruttura di rete
  • Sistemi operativi e software di base
  • Dispositivi intelligenti e IoT

Se il fabbricante non applica (o applica solo parzialmente) norme armonizzate, specifiche comuni o EUCC (sistema europeo di certificazione della cibersicurezza basato sui criteri comuni) con un livello di affidabilità “sostanziale”, deve ricorrere a una valutazione di conformità da parte di terzi. Se invece applica le norme armonizzate o specifiche comuni/EUCC, può fare ricorso al controllo interno.

Classe II (Allegato III)

Questi richiedono sempre una valutazione della conformità da parte di terzi.

  • Hypervisor e sistemi di runtime container
  • Firewall, sistemi di rilevamento e prevenzione delle intrusioni
  • Microprocessori e microcontrollori a prova di manomissione

Per questi prodotti, la valutazione della conformità deve sempre coinvolgere terzi.

Prodotti “Critici”

Questi prodotti sono elencati nell’Allegato IV del regolamento. Questi sono considerati dipendenze critiche per i soggetti essenziali ai sensi della Direttiva NIS2 e il loro sfruttamento potrebbe causare gravi interruzioni delle catene di approvvigionamento critiche in tutta l’UE. Esempi includono:

  • Dispositivi hardware con cassette di sicurezza
  • Gateway per contatori intelligenti (smart meter gateways)
  • Carte intelligenti o dispositivi analoghi (inclusi elementi sicuri)

Questi prodotti possono essere soggetti a certificazione europea obbligatoria della cibersicurezza con un livello di affidabilità almeno “sostanziale”, tramite atti delegati della Commissione. In assenza di tale certificazione obbligatoria, si applicano le procedure di valutazione da parte di terzi previste per i prodotti importanti di Classe II.

È possibile consultare l’elenco completo e le classificazioni dei prodotti a questo link (pg 71, link esterno)

I Software Liberi e Open Source (OSS)

Sono esclusi dal campo di applicazione se forniti senza intento di monetizzazione. Tuttavia, il CRA si applica ai progetti Open Source che sono “destinati in ultima istanza ad attività commerciali”, ad esempio se integrati in servizi commerciali o prodotti monetizzati, o se i fabbricanti contribuiscono regolarmente al loro sviluppo o forniscono assistenza finanziaria. I “gestori di software open source” sono comunque  soggetti a un regime normativo semplificato e personalizzato.

Esclusioni Specifiche

Il CRA non si applica a:

  • Prodotti già disciplinati da altre legislazioni specifiche dell’UE che raggiungono un livello di protezione equivalente o superiore.
  • Prodotti sviluppati o modificati esclusivamente per scopi di sicurezza nazionale o di difesa o per il trattamento di informazioni classificate.
  • Pezzi di ricambio destinati a sostituire componenti identici in prodotti preesistenti o già conformi al CRA.
  • Servizi cloud la cui progettazione e sviluppo esulano dalla responsabilità del fabbricante di un prodotto con elementi digitali.

I requisiti di conformità del Cyber Resilience Act

Il Cyber Resilience Act agisce sia normando i requisiti minimi di sicurezza informatica, sia richiedendo ai principali attori economici che gestiscono il prodotto una gestione tracciata e strutturata delle vulnerabilità.

Requisiti Essenziali di Cibersicurezza
  1. Requisiti di sicurezza informatica relativi alle proprietà dei prodotti con elementi digitali. I prodotti devono essere progettati, sviluppati e fabbricati in modo tale da garantire un livello adeguato di cyber security commisurato ai rischi. Devono essere immessi sul mercato “senza vulnerabilità note sfruttabili”. I requisiti specifici includono, ad esempio:
  2.  Requisiti di gestione delle vulnerabilità. Il CRA richiede ai fabbricanti una gestione strutturata delle vulnerabilità per l’intero periodo di assistenza del prodotto (almeno 5 anni o la durata d’uso prevista, se inferiore). Gli obblighi principali includono:
    • Creare e mantenere una SBOM (distinta base software) con le dipendenze di primo livello.
    • Adottare una politica di divulgazione coordinata delle vulnerabilità (CVD), eventualmente con bug bounty.
    • Segnalare rapidamente vulnerabilità attivamente sfruttate e incidenti gravi a CSIRT ed ENISA (entro 24 ore per incidenti).
    • Eseguire test e revisioni di sicurezza regolari.
    • Rilasciare aggiornamenti di sicurezza tempestivi per l’intero periodo di assistenza.
    • Fornire un indirizzo di contatto pubblico per le segnalazioni di vulnerabilità.
Obblighi degli Operatori Economici

Il CRA impone obblighi specifici ai diversi operatori economici lungo la catena di approvvigionamento: fabbricanti, rappresentanti autorizzati, importatori, distributori e gestori di software open source.

  • I fabbricanti hanno gli obblighi più ampi: devono progettare e produrre i prodotti in linea con i requisiti di cibersicurezza, effettuare e aggiornare valutazioni dei rischi, garantire la gestione delle vulnerabilità (anche di componenti di terze parti) e adottare misure correttive in caso di non conformità. Devono inoltre documentare la conformità, redigere la Dichiarazione UE, apporre la marcatura CE e fornire agli utenti istruzioni chiare su assistenza e aggiornamenti. La documentazione tecnica e la dichiarazione di conformità vanno conservate e rese disponibili alle autorità per almeno dieci anni o per l’intero periodo di assistenza del prodotto.
  • Rappresentanti Autorizzati: agiscono per conto del fabbricante per specifici compiti come la conservazione della documentazione e la cooperazione con le autorità, ma non per gli obblighi principali di progettazione e produzione.
  • Importatori: si assicurano che i prodotti da paesi terzi rispettino i requisiti essenziali di cibersicurezza e che il fabbricante abbia eseguito le procedure di valutazione della conformità, redatto la documentazione tecnica, apposto la marcatura CE e fornito le istruzioni per l’utente, prima di immetterli sul mercato UE. Devono informare il fabbricante e le autorità di vigilanza del mercato in caso di non conformità o rischi significativi.
  • Distributori: verificano che il prodotto rechi la marcatura CE e che il fabbricante e l’importatore abbiano adempiuto ai loro obblighi prima di rendere il prodotto disponibile sul mercato. In caso di sospetta non conformità o rischio, devono informare il fabbricante e le autorità di vigilanza del mercato.
  • Gestori di Software Open Source: sono soggetti a un regime semplificato e su misura, che include obblighi di sviluppare e pubblicare politiche di cyber security (in particolare per la coordinazione delle vulnerabilità), cooperare con le autorità di vigilanza del mercato e segnalare le vulnerabilità attivamente sfruttate e gli incidenti gravi che incidono sui sistemi di sviluppo. Sono esclusi dalle sanzioni amministrative pecuniarie.

Sanzioni previste dal Cyber Resilience Act

Gli Stati membri nomineranno autorità di vigilanza del mercato responsabili dell’applicazione del CRA. In caso di non conformità, queste autorità possono richiedere misure correttive, proibire o limitare l’immissione del prodotto sul mercato, o ordinarne il ritiro. Il CRA prevede sanzioni amministrative pecuniarie massime per le violazioni, che gli Stati membri dovranno recepire nelle loro leggi nazionali:

  • Fino a 15 milioni di Euro o 2,5% del fatturato mondiale annuo per la non conformità ai requisiti essenziali di Allegato I e agli obblighi degli articoli 13 e 14 del Cyber Resilience Act.
  • Fino a 10 milioni di Euro o 2% del fatturato mondiale annuo per la non conformità ad altri obblighi del regolamento.
  • Fino a 5 milioni di Euro o 1% del fatturato mondiale annuo per la fornitura di informazioni inesatte, incomplete o fuorvianti.

Il Cyber Resilience Act impone sfide significative in termini di costi di conformità, possibili ambiguità normative e tempistiche stringenti, con il rischio concreto che gli oneri maggiori vengano trasferiti dai grandi produttori alle PMI. Il regolamento riconosce queste criticità e integra un solido pacchetto di misure di sostegno che include moduli tecnici semplificati, tariffe ridotte, supporto formativo e finanziario, e l’accesso a sandboxes regolatorie.

Sebbene l’adeguamento iniziale rappresenti un ostacolo, la conformità può (e dovrebbe) tradursi in un vantaggio competitivo, aumentando la fiducia dei consumatori e garantendo parità di condizioni in un mercato armonizzato. L’efficacia di questa transizione dipenderà dall’implementazione pratica delle misure di sostegno e dalla capacità delle PMI di sfruttare appieno gli strumenti messi a loro disposizione.

Fonti

Chiara, P. G. (2022). The Cyber Resilience Act: the EU Commission’s proposal for a horizontal regulation on cybersecurity for products with digital elements: An introduction. International Cybersecurity Law Review3(2), 255-272.

Legge sulla ciberresilienza. (2024). Plasmare Il Futuro Digitale Dell’Europa. https://digital-strategy.ec.europa.eu/it/policies/cyber-resilience-act

Press corner. (2023). European Commission – European Commission. https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_5375.

REGOLAMENTO (UE) 2024/2847 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO, (2024). https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L_202402847

Ruohonen, J., & Timmers, P. (2024). Vulnerability coordination under the cyber resilience act. arXiv preprint arXiv:2412.06261.

Sana, S. (2025, May 16). Cyber Resilience Act: cosa devono sapere le software house. Cyber Security 360. https://www.cybersecurity360.it/legal/cyber-resilience-act-cosa-devono-sapere-davvero-le-software-house-italiane/

Shaffique, M. R. (2024). Cyber Resilience Act 2022: A silver bullet for cybersecurity of IoT devices or a shot in the dark?. Computer Law & Security Review54, 106009.