CRA Cyber Resilience Act.

Il Cyber Resilience Act è il regolamento UE che impone obblighi minimi di sicurezza ai prodotti hardware e software con elementi digitali commercializzati in Europa. Obblighi del fornitore lungo l'intero ciclo di vita: secure-by-design, gestione delle vulnerabilità, SBOM, cinque anni di patch. Adottato alla fine del 2024, si applica dal dicembre 2027. Da integrare con NIS 2 (prospettiva organizzativa) e AI Act (prospettiva dei modelli).

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

Il punto di vista di Cyber Academy

Il Cyber Resilience Act è il regolamento UE che impone obblighi minimi di sicurezza ai prodotti hardware e software con elementi digitali commercializzati in Europa. Obblighi del fornitore lungo l'intero ciclo di vita: secure-by-design, gestione delle vulnerabilità, SBOM, cinque anni di patch. Adottato alla fine del 2024, si applica dal dicembre 2027. Da integrare con NIS 2 (prospettiva organizzativa) e AI Act (prospettiva dei modelli).

Che cosa regolamenta davvero il Cyber Resilience Act

Il Cyber Resilience Act impone obblighi di sicurezza al prodotto, non solo all'organizzazione che lo gestisce. Tutto ciò che viene venduto nell'UE e contiene elementi digitali, ossia hardware o software con una connessione dati, rientra nell'ambito di applicazione: dispositivi di consumo connessi, controllori industriali, sistemi operativi, librerie, app mobili e persino il firmware integrato in un componente.

La parte regolamentata è l'operatore economico che immette il prodotto sul mercato, perciò i fabbricanti sostengono il carico principale, mentre gli importatori e i distributori sono soggetti a obblighi di verifica. Si tratta di uno spostamento della responsabilità. Per anni l'acquirente ereditava il rischio del software non sicuro; il CRA riporta una base definita di responsabilità su chi costruisce e vende il prodotto.

Poiché regolamenta i prodotti anziché le entità, il CRA raggiunge piccoli fornitori e componenti aperti che nessuna legge di sicurezza organizzativa toccherebbe mai. Un produttore di firmware privo di sede nell'UE deve comunque conformarsi se il dispositivo arriva su uno scaffale europeo. Questo inquadramento per prodotto è la cosa più importante da cogliere prima di leggere qualsiasi altra cosa al riguardo.

Gli obblighi che vincolano un fabbricante

Il CRA è costruito attorno a un ciclo di vita. Un prodotto deve essere sicuro al momento della consegna e restare manutenibile per tutto il tempo in cui si prevede ragionevolmente che sia in uso, periodo che il regolamento fissa in un periodo di supporto di base di circa cinque anni per la gestione delle vulnerabilità. Gli obblighi concreti si raggruppano in due insiemi.

  • Sicurezza fin dalla progettazione e per impostazione predefinita: consegnare senza vulnerabilità sfruttabili note, ridurre al minimo la superficie di attacco, proteggere la riservatezza e l'integrità dei dati e fornire una configurazione predefinita sicura, in modo che il prodotto non sia insicuro appena estratto dalla confezione.
  • Gestione delle vulnerabilità lungo il periodo di supporto: mantenere un processo di divulgazione coordinata, fornire un Software Bill of Materials affinché i componenti presenti nel prodotto siano documentati, distribuire tempestivamente gli aggiornamenti di sicurezza e, ove possibile, in modo automatico, e segnalare le vulnerabilità sfruttate attivamente e gli incidenti gravi all'ENISA entro i termini previsti dal regolamento.

La conformità si dimostra nel modo in cui l'UE tratta le altre normative sulla sicurezza dei prodotti: una valutazione proporzionata alla classe di rischio del prodotto, una documentazione tecnica e la marcatura CE che segnala il raggiungimento della base di sicurezza. Le categorie di prodotti a rischio più elevato, dette importanti o critiche, sono soggette a una valutazione più rigorosa, talvolta da parte di terzi, anziché a un'autodichiarazione.

Come si colloca rispetto a NIS 2 e all'AI Act

Questi tre strumenti dell'UE sono volutamente complementari e i professionisti non dovrebbero confonderne gli ambiti. Il CRA è l'angolo del prodotto: rende sicuro ciò che vendi. NIS 2 è l'angolo organizzativo: obbliga le entità essenziali e importanti a gestire il rischio cibernetico, governare la sicurezza e segnalare gli incidenti a livello aziendale. L'AI Act è l'angolo del modello: disciplina come i sistemi di IA, in particolare quelli ad alto rischio, vengono costruiti e immessi sul mercato. Un dispositivo industriale connesso venduto da un operatore regolamentato che incorpora un componente di IA può riguardare tutti e tre contemporaneamente, ciascuno da una direzione diversa.

Confronto tra gli strumenti europei di sicurezza digitale
StrumentoChe cosa regolamentaChi vincola
Cyber Resilience ActSicurezza dei prodotti con elementi digitaliFabbricanti, importatori, distributori
NIS 2Gestione e segnalazione del rischio cibernetico a livello organizzativoEntità essenziali e importanti
AI ActSviluppo e immissione sul mercato di sistemi di IAFornitori e deployer di IA

La conseguenza pratica è che la preparazione al CRA è in larga misura un programma di ingegneria e di governance del prodotto, non un adempimento documentale agganciato a un ISMS esistente. I team che già praticano la divulgazione coordinata delle vulnerabilità, mantengono inventari delle dipendenze e applicano le patch con una cadenza prevedibile hanno già percorso gran parte della strada.

I team che consegnano e dimenticano hanno il maggior carico di lavoro davanti, perché l'obbligo di supportare e applicare patch per anni è esattamente ciò che una cultura del consegnare e passare ad altro cerca di evitare. Il regolamento è stato adottato alla fine del 2024 e i suoi obblighi principali si applicano a partire da dicembre 2027, il che lascia un margine definito per predisporre i processi di gestione delle vulnerabilità e di SBOM prima che diventino vincolanti.

Frequently asked questions

01Chi deve conformarsi al Cyber Resilience Act?

Qualsiasi operatore economico che immette sul mercato dell'UE un prodotto con elementi digitali. I fabbricanti hanno gli obblighi principali, mentre gli importatori e i distributori hanno obblighi di verifica. Si applica indipendentemente da dove abbia sede il fabbricante, perciò un fornitore extra-UE il cui dispositivo raggiunge un acquirente dell'UE rientra nell'ambito.

02Che cos'è un prodotto con elementi digitali?

Hardware o software in grado di connettersi a un dispositivo o a una rete, oltre ai componenti consegnati con esso. Ciò comprende beni di consumo connessi, sistemi operativi, applicazioni, librerie e firmware. I servizi esclusivamente cloud disciplinati altrove e talune categorie già regolamentate si collocano al di fuori dell'ambito principale.

03Perché il CRA richiede un SBOM?

Perché i fabbricanti sono responsabili delle vulnerabilità di tutto ciò che si trova all'interno dei loro prodotti, comprese le dipendenze di terzi e open source. Un Software Bill of Materials documenta tali componenti affinché le vulnerabilità possano essere individuate e corrette lungo il periodo di supporto.

04In che cosa il CRA differisce da NIS 2?

Il CRA regolamenta la sicurezza del prodotto che vendi; NIS 2 regolamenta come la tua organizzazione gestisce il rischio cibernetico e segnala gli incidenti. Uno vincola i fabbricanti lungo il ciclo di vita del prodotto, l'altro vincola le entità essenziali e importanti a livello aziendale. Molti fornitori saranno soggetti a entrambi.

05Quando inizia ad applicarsi il Cyber Resilience Act?

È stato adottato alla fine del 2024 e i suoi obblighi principali si applicano a partire da dicembre 2027, con alcuni obblighi di segnalazione che entrano in vigore prima. Tale intervallo è la finestra di cui i fabbricanti dispongono per predisporre pratiche di sicurezza fin dalla progettazione, gestione delle vulnerabilità e generazione del SBOM prima dell'applicazione.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.