Marzo 2025

CYBER RESILIENT ACT

Normativa europea sulla sicurezza dei prodotti con elementi digitali

Il Cyber Resilience Act (CRA) è una normativa dell’Unione Europea che introduce requisiti di sicurezza informatica per i prodotti con elementi digitali immessi sul mercato dell’UE. L’obiettivo è aumentare la resilienza informatica e proteggere utenti e imprese da vulnerabilità di sicurezza. Il CRA impone standard di sicurezza lungo l’intero ciclo di vita del prodotto, richiedendo aggiornamenti tempestivi e una gestione attiva delle minacce.

Proponiamo in seguito un breve vademecum dei punti salienti della normativa.

Principali finalità

  • Ridurre il numero di prodotti con vulnerabilità sfruttabili.
  • Aumentare la trasparenza sulle misure di sicurezza adottate.
  • Stabilire obblighi chiari per fabbricanti, importatori e distributori.

Ambito di applicazione

Il CRA si applica a tutti i prodotti con elementi digitali, sia hardware che software, venduti o messi in servizio nell’UE.

Esclusioni:

  • Prodotti già coperti da regolamenti di sicurezza specifici (dispositivi medici, auto connesse, macchinari industriali regolamentati), prodotti per scopi di sicurezza nazionale o di difesa ,prodotti specificamente progettati per trattare informazioni classificate.
  • Software sviluppato e usato a scopo personale senza fini commerciali.

Requisiti per i prodotti con elementi digitali

Sono tutti quei prodotti che non rientrano nella categoria “importanti” o “critici” descritta in seguito.Per garantire la sicurezza informatica, i prodotti con elementi digitali devono:

  • Essere progettati e sviluppati secondo il principio “security by design”.
  • Ricevere aggiornamenti di sicurezza regolari per risolvere vulnerabilità.
  • Avere configurazioni predefinite sicure e impostazioni utente chiare.
  • Fornire documentazione che descriva i rischi di sicurezza e le misure adottate.
  • Implementare sistemi di gestione delle vulnerabilità per rilevare e mitigare minacce.

I Prodotti con elementi digitali importanti devono:

  • Essere progettati e sviluppati secondo il principio “security by design”.
  • Ricevere aggiornamenti di sicurezza regolari per risolvere vulnerabilità.
  • Avere configurazioni predefinite sicure e impostazioni utente chiare.
  • Fornire documentazione che descriva i rischi di sicurezza e le misure adottate.
  • Implementare sistemi di gestione delle vulnerabilità per rilevare e mitigare minacce.

 

Obblighi aggiuntivi:

  • Maggiori controlli di conformità prima dell’immissione sul mercato.
  • Procedure di autovalutazione della sicurezza più stringenti.
  • Rilascio di aggiornamenti di sicurezza tempestivi.

Prodotti con elementi digitali importanti

  • Sistemi di gestione dell’identità e software e hardware per la gestione degli accessi privilegiati
  • Browser autonomi e incorporati
  • Sistemi di gestione delle password
  • Software che cercano, rimuovono o mettono in quarantena i software maligni
  • Prodotti con elementi digitali con funzione di rete privata virtuale (VPN)
  • Sistemi di gestione della rete
  • Sistemi di gestione delle informazioni e degli eventi di sicurezza (sistemi SIEM)
  • Boot manager
  • Infrastrutture a chiave pubblica e software per il rilascio di certificati digitali
  • Interfacce di rete fisiche e virtuali
  • Sistemi operativi
  • Router, modem per la connessione a Internet e switch
  • Microprocessori con funzionalità legate alla sicurezza
  • Microcontrollori con funzionalità legate alla sicurezza
  • Circuiti integrati per applicazioni specifiche (ASIC) e reti di porte programmabili dall’utilizzatore (FPGA) con funzionalità legate alla sicurezza
  • Assistenti virtuali di uso generale per case intelligenti
  • Prodotti per case intelligenti con funzionalità di sicurezza, tra cui serrature intelligenti, telecamere di sicurezza, sistemi di monitoraggio dei neonati e sistemi di allarme
  • Giocattoli connessi a Internet disciplinati dalla direttiva 2009/48/CE che presentano funzionalità sociali interattive o di geolocalizzazione
  • Prodotti indossabili personali da indossare o collocare sul corpo umano a fini di monitoraggio della salute o destinati all’uso da parte dei bambini
  • Ipervisori e sistemi di runtime container che supportano l’esecuzione virtualizzata di sistemi operativi e ambienti simili
  • Firewall, sistemi di rilevamento e prevenzione delle intrusioni
  • Microprocessori a prova di manomissione
  • Microcontrollori a prova di manomissione

Prodotti con elementi digitali critici

Questa categoria include prodotti con implicazioni di sicurezza particolarmente gravi. Esempi:

  • Software di sicurezza avanzato (antivirus, SIEM, EDR).
  • Sistemi di identificazione elettronica e autenticazione biometrica.
  • Servizi di crittografia avanzata.

Questi prodotti richiedono:

  • Certificazione obbligatoria da un organismo notificato.
  • Controlli periodici e audit di sicurezza.
  • Procedure di gestione delle vulnerabilità più stringenti.

Sistemi di AI ad alto rischio

Il CRA si applica anche a sistemi di Intelligenza Artificiale se impiegati in ambiti critici, come:

  • AI per la cybersecurity.
  • Sistemi biometrici di autenticazione.
  • AI per infrastrutture critiche.

Questi prodotti devono rispettare sia il Cyber Resilience Act che il regolamento AI Act.

Obblighi dei fabbricanti

I fabbricanti devono:

  • Assicurare che i prodotti siano sicuri per tutto il loro ciclo di vita.
  • Identificare e mitigare vulnerabilità di sicurezza.
  • Fornire documentazione tecnica dettagliata sulla sicurezza.
  • Implementare sistemi di gestione del rischio in base alla categoria del prodotto.

Obblighi di segnalazione dei fabbricanti

I produttori sono tenuti a segnalare:

  • Entro 24 ore eventuali vulnerabilità sfruttate attivamente o qualsiasi incidente grave che abbia impatto sulla sicurezza del prodotto.
  • Una relazione finale, entro 14 giorni dalla messa a disposizione di una misura correttiva o di attenuazione

Istituzione della piattaforma unica di segnalazione

L’UE creerà una piattaforma centralizzata gestita da ENISA per:

  • Raccogliere segnalazioni di vulnerabilità.
  • Facilitare lo scambio di informazioni tra aziende e autorità.
  • Migliorare la risposta alle minacce emergenti.

Obblighi degli importatori

Gli importatori devono:

  • Verificare che i prodotti rispettino il CRA prima della commercializzazione.
  • Assicurarsi che la documentazione tecnica sia disponibile.
  • Collaborare con le autorità per richiami e aggiornamenti di sicurezza.

Obblighi dei distributori

I distributori devono:

  • Assicurarsi che i prodotti commercializzati rispettino le normative del CRA.
  • Segnalare eventuali prodotti non conformi alle autorità.
  • Ritirare prodotti pericolosi dal mercato.

Obblighi dei gestori di software open source

Il CRA non si applica direttamente agli sviluppatori di software open source senza fini commerciali, ma riguarda chi fornisce supporto commerciale.

Attestazione di sicurezza dei software liberi e open source

Si prevedono framework volontari di certificazione per attestare la sicurezza degli OSS.

Presunzione di conformità

I prodotti che rispettano norme armonizzate dell’UE sono automaticamente conformi al CRA, semplificando la certificazione.

Marcatura CE

Tutti i prodotti coperti dal CRA devono avere la marcatura CE, che certifica la conformità agli standard di sicurezza informatica dell’UE.

Regole per la marcatura CE

  • Deve essere apposta in modo visibile, leggibile e indelebile.
  • Può essere accompagnata da informazioni aggiuntive sulla sicurezza.

Procedure di valutazione della conformità

Prevede tre livelli:

  • Autovalutazione (per prodotti a basso rischio).
  • Valutazione da organismi notificati (per prodotti critici o importanti).
  • Certificazione obbligatoria per prodotti ad alto impatto.

Sanzioni

Le violazioni comportano sanzioni fino a:

  • 2,5% del fatturato annuo globale.
  • 15 milioni di euro per violazioni gravi.
  • Possibile ritiro dei prodotti non conformi.

Entrata in vigore e applicazione

  • Il CRA è entrato in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell’UE.
  • Periodo di transizione: 24 mesi per adeguarsi. Si applica dall’11 dicembre 2027. Tuttavia, L’obbligo di segnalazione delle vulnerabilità si applica a decorrere dall’11 settembre 2026

 

Contattaci a  oppure al 327 028 3651

Articoli correlati

Recepimento della Direttiva NIS 2 Il nuovo regolamento europeo sulla sicurezza dei prodotti (GPSR) IL RISK MANAGEMENT NELLE GARE DI APPALTO ISO 31000 -2018 COMPLIANCE & INTEGRAZIONE