Il Cyber Resilience Act (CRA) (Reg. UE 2024/2847), entrato in vigore il 10 dicembre 2024, introduce nell’Unione Europea un insieme di requisiti obbligatori di cybersicurezza per i prodotti hardware e software con elementi digitali. L’obiettivo è alzare il livello minimo di sicurezza “di mercato” per dispositivi e applicazioni connesse, riducendo i rischi per consumatori e imprese e rendendo più uniforme il quadro normativo tra Stati membri.
Con i primi obblighi che diventano applicabili a partire dal 2026 (soprattutto sul fronte delle notifiche) e la piena applicazione entro dicembre 2027, il CRA costruisce una logica chiara: un prodotto digitale può essere immesso sul mercato UE solo se è progettato e mantenuto in modo sicuro lungo tutto il suo ciclo di vita.
Il CRA si applica trasversalmente a qualsiasi dimensione di impresa che abbia, in linea generale, un prodotto con elementi digitali messi a disposizione sul mercato UE la cui finalità ovvero il cui utilizzo preveda una connessione dati, diretta o indiretta, salvo specifiche esclusioni da valutare singolarmente nel caso di specie.
Classificazione dei prodotti nel CRA: impatti su requisiti e conformità
Il regolamento distingue tra prodotti importanti e critici:
- Prodotti importanti (Classe I e II) (Allegato III): includono prodotti di cybersecurity (Firewall, VPN, Antivirus, microcontrollori) e prodotti la cui compromissione può avere impatti significativi su altri sistemi o sulle persone.
- Prodotti critici (Allegato IV): per questi (dispositivi per la sicurezza fisica o logica, sistemi biometrici, smartcards, smart home), il livello di garanzia atteso è più alto e può essere richiesto un certificato europeo di cybersicurezza con livello almeno “sostanziale”.
Questa distinzione è rilevante perché incide sul percorso di conformità e sulle modalità di verifica (più “stringenti” man mano che cresce la criticità).
Le misure di cybersicurezza richieste ai produttori
Con la piena applicazione del CRA (dicembre 2027), la cybersicurezza diventa una componente essenziale delle condizioni di accesso al mercato UE. Le misure da applicare dipendono dalla tipologia di prodotto, ma esiste un primo livello di controlli che riguarda, in linea generale, tutti i prodotti con elementi digitali rientranti nel perimetro del regolamento.
Per tutti i prodotti in scope, il produttore deve adottare un approccio di security by design e by default, integrando la sicurezza nelle fasi di progettazione, sviluppo, rilascio e manutenzione del prodotto. A ciò si accompagna la necessità di predisporre una valutazione dei rischi di cybersicurezza che guidi le scelte tecniche e organizzative lungo l’intero ciclo di vita del prodotto. Devono inoltre essere implementati processi strutturati di gestione delle vulnerabilità, comprensivi del monitoraggio delle componenti software utilizzate, della disponibilità di aggiornamenti di sicurezza e della capacità di intervenire in modo tempestivo in caso di nuove debolezze o incidenti. Rientrano tra i controlli comuni anche la predisposizione della documentazione tecnica, la tracciabilità delle decisioni di sicurezza adottate, la definizione del periodo di supporto del prodotto, la predisposizione della dichiarazione UE di conformità e, ove applicabile, l’apposizione della marcatura CE.
Per i prodotti standard, ossia quelli che non rientrano nelle categorie di prodotti importanti o critici, i controlli da applicare restano quelli essenziali sopra indicati (Security by design e by default, protezione da accessi non autorizzati e riduzione della superficie d’attacco, valutazione del rischio di cybersicurezza, protezione dei dati e funzioni essenziali, aggiornamenti di sicurezza e patching, gestione delle vulnerabilità lungo il periodo di supporto, test e verifiche periodiche di sicurezza). In questi casi, la conformità può generalmente essere dimostrata mediante una valutazione interna, ferma restando la necessità di poter dimostrare, con evidenze documentali e tecniche, che il prodotto è stato progettato e mantenuto in conformità ai requisiti del CRA.
Per i prodotti importanti di Classe I, oltre ai controlli comuni, assume particolare rilievo il ricorso a standard armonizzati, specifiche comuni o, se applicabili, schemi europei di certificazione della cybersicurezza (eg. ISO 27001:20220), così da supportare in modo più robusto la dimostrazione di conformità. In assenza di tali presupposti, può rendersi necessario il coinvolgimento di un organismo notificato. In termini pratici, ciò richiede una maggiore formalizzazione delle evidenze, dei test di sicurezza, dei controlli tecnici e delle verifiche svolte sul prodotto.
Per i prodotti importanti di Classe II, il livello di assurance richiesto è ancora più elevato. Oltre a tutti i controlli di base, il produttore deve prevedere un percorso di valutazione della conformità più stringente, normalmente con il coinvolgimento di una terza parte o tramite uno schema europeo di certificazione, ove disponibile. In questi casi diventa quindi essenziale disporre di una documentazione tecnica particolarmente solida, di processi formalizzati di quality assurance e di evidenze strutturate a supporto della sicurezza del prodotto.
Per i prodotti critici, il CRA richiede il livello più elevato di controllo e verifica. In aggiunta ai requisiti comuni, occorre assicurare un’impostazione particolarmente rigorosa sia sul piano dello sviluppo sicuro sia su quello della dimostrazione della conformità, con percorsi di assessment più severi e, ove previsto, con il ricorso a schemi europei di certificazione della cybersicurezza. In questi casi, il presidio documentale, tecnico e organizzativo deve essere rafforzato in misura significativa, tenuto conto della maggiore rilevanza e sensibilità del prodotto.
Accanto ai controlli di prevenzione e conformità, il CRA introduce anche un obbligo molto operativo di gestione post-market. A partire da settembre 2026, i produttori devono essere in grado di notificare tempestivamente vulnerabilità attivamente sfruttate e incidenti gravi che abbiano impatto sulla sicurezza del prodotto. Ciò richiede la presenza di processi chiari di vulnerability handling, incident response, escalation interna e raccolta delle evidenze tecniche necessarie per rispettare le tempistiche previste dal regolamento.
Timeline di applicazione del CRA e sanzioni per la non conformità
Il CRA è entrato in vigore il 10 dicembre 2024, ma la sua applicazione è progressiva, così da consentire ai produttori e agli altri operatori economici di adeguare prodotti, processi e documentazione alle nuove prescrizioni regolamentari. Il percorso di attuazione si articola infatti in più tappe, ciascuna con impatti operativi differenti.
Una prima scadenza rilevante è fissata all’11 giugno 2026, data a partire dalla quale diventano applicabili le disposizioni relative alla notifica degli organismi di valutazione della conformità. Si tratta di un passaggio importante soprattutto per i prodotti che, in ragione della loro classificazione, richiedono il coinvolgimento di soggetti terzi nel percorso di assessment.
La seconda tappa chiave è rappresentata dall’11 settembre 2026, momento dal quale si applicano gli obblighi di reporting previsti dal CRA. Da questa data, i produttori devono essere in grado di notificare vulnerabilità attivamente sfruttate e incidenti gravi che incidano sulla sicurezza del prodotto, secondo le tempistiche e le modalità stabilite dal regolamento. Questo comporta, già prima della piena applicazione del CRA, la necessità di dotarsi di processi interni di vulnerability handling, incident response ed escalation formalizzati.
La data centrale del percorso di adeguamento è fissata per l’11 dicembre 2027, giorno a partire dal quale il regolamento diventa pienamente applicabile. Da quel momento, i prodotti con elementi digitali che rientrano nel perimetro del CRA potranno essere messi a disposizione sul mercato UE solo se conformi ai requisiti previsti dal regolamento, inclusi gli obblighi relativi a sicurezza by design, gestione delle vulnerabilità, documentazione tecnica, dichiarazione di conformità e marcatura CE.
È inoltre opportuno considerare che i prodotti già immessi sul mercato prima dell’11 dicembre 2027 rientrano nel perimetro del CRA solo nel caso in cui, successivamente a tale data, siano oggetto di una modifica sostanziale. Diversamente, gli obblighi di reporting si applicano anche ai prodotti che siano già stati messi a disposizione sul mercato dell’Unione prima della piena applicazione del regolamento. Questo aspetto rende particolarmente importante avviare con anticipo il piano di adeguamento, soprattutto per i produttori che gestiscono prodotti già distribuiti o installati presso clienti europei.
La non conformità può comportare sanzioni significative, fino a 15 milioni di euro o al 2,5% del fatturato globale annuo (a seconda delle violazioni), oltre a misure come il ritiro dal mercato o il divieto di messa a disposizione del prodotto.
Perché scegliere BDO
Affrontare il Cyber Resilience Act richiede un approccio strutturato, che integri competenze normative, tecniche e di governance lungo l’intero ciclo di vita del prodotto digitale. Supportiamo le organizzazioni nel comprendere gli impatti specifici del regolamento, nel definire un percorso di conformità coerente e nell’implementare le misure di sicurezza richieste, tenendo conto del livello di rischio, della classificazione del prodotto e delle modalità di verifica applicabili. L’obiettivo è quello di accompagnare le imprese verso la conformità al CRA in modo consapevole, sostenibile e allineato alle strategie di sviluppo e di business.