Skip links

Entra a far parte del Cluster ICT del Friuli Venezia Giulia. Scopri come.

Chiamaci

0432 1698013

Scrivici

info@ditedi.it

Raggiungici

Indicazioni stradali

Cyber Resilience Act: nuovi obblighi software e hardware UE

Autore: Pubblicato il: Pubblicato in: News

CRA: nuovi obblighi europei di sicurezza per software e hardware. Ecco cosa rischiano le imprese

Il Cyber Resilience Act (CRA), istituito ufficialmente tramite il Regolamento (UE) 2024/2847 del Parlamento Europeo del 23 ottobre 2024, non si configura come una semplice normativa sulla sicurezza informatica, ma rappresenta una vera e propria barriera e condizione di accesso al mercato europeo. La normativa introduce requisiti orizzontali di cibersicurezza per tutti i “prodotti con elementi digitali” immessi sul mercato dell’Unione Europea che prevedano una connessione dati logica o fisica, diretta o indiretta.

A livello italiano, il quadro normativo è stato recentemente definito dalla Legge n. 36 del 17 marzo 2026 (Art. 15), entrata in vigore il 09/04/2026. Questa legge delega il Governo per l’adeguamento dell’ordinamento nazionale e individua formalmente l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità nazionale di notifica e di vigilanza del mercato. I decreti legislativi definiranno nel dettaglio le procedure di vigilanza e l’apparato sanzionatorio nazionale.

L’ambito di applicazione e le esclusioni settoriali

Il regolamento impatta l’intera filiera digitale e si applica a qualsiasi software o hardware, incluse le soluzioni di elaborazione dati da remoto la cui assenza impedirebbe al prodotto di funzionare. Restano invece esclusi i settori già coperti da normative verticali specifiche:

  • Dispositivi medici (Regolamento UE 2017/745)
  • Dispositivi medico-diagnostici (Regolamento UE 2017/746)
  • Automotive / Veicoli (Regolamento UE 2019/2144)
  • Aviazione (Regolamento UE 2018/1139)
  • Equipaggiamento marittimo (Direttiva 2014/90/UE)

La classificazione dei prodotti e le modalità di certificazione

In base al Regolamento di Esecuzione (UE) 2025/2392, i prodotti digitali sono suddivisi in quattro classi di rischio, a cui corrispondono diversi livelli di valutazione della conformità per ottenere la marcatura CE:

  • Ordinari (es. gestionali ERP, CMS, app mobile/desktop, videogiochi, stampanti, IoT, elettrodomestici e allarmi smart): è sufficiente l’autocertificazione, integrata da indagini a tappeto delle autorità.
  • Importanti Classe 1 (es. sistemi IAM, browser, password manager, VPN, SIEM, boot manager, router, switch, assistenti AI per smart home come Alexa): è richiesta la verifica da parte di organismi notificati.
  • Importanti Classe 2 (es. hypervisor, firewall, sistemi IDS/IPS, microprocessori/controllori a prova di manomissione): è necessaria la verifica da parte di organismi notificati.
  • Critici (es. dispositivi hardware con cassette di sicurezza, smart card, passaporti elettronici, carte di credito, CIE): è tassativa la certificazione europea di cybersicurezza.

La timeline: scadenze e la gestione del “Legacy”

La tabella di marcia verso la piena conformità è scandita da tappe inderogabili:

  • 10 dicembre 2024: entrata in vigore del CRA.
  • 11 giugno 2026: nomina degli organismi accreditati per le funzioni di Audit (Capo IV).
  • 11 settembre 2026: attivazione immediata degli obblighi di segnalazione (Art. 14).
  • 11 dicembre 2027: piena applicazione del CRA.

Per i prodotti già sul mercato (prodotti legacy), non è necessario un rifacimento da zero, ma vigono restrizioni stringenti. Dall’11 settembre 2026 si applicano comunque l’obbligo di rilasciare patch di sicurezza e l’Art. 14 sulle notifiche in caso di incidenti o vulnerabilità attivamente sfruttate. Dopo l’11 dicembre 2027, non sarà più possibile effettuare nuove vendite del prodotto legacy; qualora venga apportata una “modifica sostanziale” (che aggiunge funzionalità o cambia la finalità d’uso), questo verrà considerato a tutti gli effetti come un nuovo prodotto, dovendo così soddisfare pienamente i requisiti CRA.

Se il software o l’hardware rientra nel perimetro del Regolamento Macchine operando come componente o funzione di sicurezza, subentra l’ambito della SAFETY, laddove un guasto o malfunzionamento mette a repentaglio l’incolumità fisica delle persone.

I nuovi obblighi operativi e di governance per la filiera

La responsabilità coinvolge tutti gli attori del mercato: le aziende produttrici (obbligo di creare prodotti sicuri), le aziende distributrici (obbligo di rivendere solo prodotti con marcatura CE) e le aziende acquirenti (obbligo di mantenere aggiornati i sistemi).

Nello specifico, l’Articolo 13 impone ai fabbricanti l’adozione di un ciclo di sviluppo sicuro (SSDLC – Secure Software Development Life Cycle) inserito nella pipeline DevSecOps (Code, Build, Scan, Test, Deploy, Monitor), la valutazione dei rischi, l’assenza di vulnerabilità note al rilascio e la produzione di documentazione tecnica. Vige il principio della Security by Design & by Default: i sistemi devono nascere sicuri, avere aggiornamenti automatici attivi di default, cifratura dei dati a riposo e in transito, e log di sistema abilitati. È inoltre obbligatoria la stesura della SBOM (Software Bill of Materials), un inventario completo dei componenti e delle librerie terze utilizzate.

La governance aziendale deve prevedere un responsabile della sicurezza del prodotto e l’istituzione di un team PSIRT (Product Security Incident Response Team) dotato di playbook operativi. L’articolo 14 vincola i fabbricanti a comunicare a ENISA e allo CSIRT nazionale le vulnerabilità e gli incidenti gravi secondo tempistiche predefinite:

  • Pre-allerta (Early-warning): entro 24 ore.
  • Notifica dell’evento: entro 72 ore.
  • Rapporto finale: entro 14 giorni.

Il regime sanzionatorio: multe fino a 15 milioni di euro

I rischi legati al mancato adeguamento sono estremamente severi e includono lo stop immediato alla vendita in UE con ritiro forzato dei prodotti dal mercato, gravi danni reputazionali e impatti critici sulle trattative commerciali. Dal punto di vista economico, il CRA introduce sanzioni pecuniarie massime ripartite in tre fasce:

  • Fino a 15 milioni di euro o il 2,5% del fatturato mondiale annuo (si applica il valore maggiore) per violazioni dei requisiti essenziali di sicurezza e degli Articoli 13 e 14.
  • Fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per inadempienze di natura procedurale e documentale.
  • Fino a 5 milioni di euro o l’1% del fatturato mondiale annuo in caso di fornitura di informazioni false, incomplete o fuorvianti agli organismi notificati o alle autorità di vigilanza.

Ti potrebbero anche interessare