Cyber Resilience Act dell'UE: Cronologia completa di implementazione 2025-2027
Guida pratica alle scadenze di applicazione del CRA e cosa i produttori devono preparare in ogni fase.
In this article
Il Cyber Resilience Act dell'UE (Regolamento 2024/2847) rappresenta la legislazione più significativa sulla cybersicurezza per i prodotti con elementi digitali (PED) nell'Unione Europea. Con l'applicazione che inizia nel 2025 e la piena conformità richiesta entro dicembre 2027, i produttori devono comprendere la cronologia e prepararsi di conseguenza.
Date chiave in sintesi
| Data | Tappa |
|---|---|
| Dicembre 2024 | Entrata in vigore del CRA |
| Settembre 2026 | Inizio degli obblighi di segnalazione delle vulnerabilità |
| Dicembre 2027 | Applicazione completa per tutti i prodotti |
Avvertenza: Settembre 2026 è la prima scadenza ferma. La segnalazione delle vulnerabilità all'ENISA diventa obbligatoria — i produttori devono essere pronti a segnalare le vulnerabilità attivamente sfruttate entro 24 ore.
Cosa cambia a settembre 2026?
La prima grande scadenza di conformità arriva a settembre 2026, quando entrano in vigore gli obblighi di segnalazione delle vulnerabilità. Questo significa:
- Notifica entro 24 ore: Qualsiasi vulnerabilità attivamente sfruttata deve essere segnalata all'ENISA entro 24 ore dalla scoperta
- Rapporto dettagliato entro 72 ore: Un rapporto completo sulla vulnerabilità con dettagli tecnici
- Aggiornamento entro 14 giorni: Rapporto sui progressi delle misure di mitigazione
- Rapporto finale: Analisi completa dell'incidente entro 30 giorni
Preparare il workflow di gestione delle vulnerabilità
Per rispettare queste scadenze, i produttori devono stabilire:
- Monitoraggio delle vulnerabilità per tutti i componenti software nei vostri prodotti
- Procedure di escalation interna che possono attivarsi in ore, non giorni
- Modelli di notifica ENISA pronti per l'uso immediato
- SBOM (Software Bill of Materials) per identificare rapidamente i prodotti interessati
Dicembre 2027: Conformità completa
Entro dicembre 2027, tutti i prodotti con elementi digitali venduti nell'UE devono essere conformi ai requisiti completi del CRA:
Requisiti essenziali di cybersicurezza (Allegato I)
- Sicurezza fin dalla progettazione e per impostazione predefinita
- Protezione contro accessi non autorizzati
- Riservatezza e integrità dei dati
- Superficie di attacco minima
- Meccanismi di aggiornamento sicuri
Documentazione tecnica (Allegato VII)
Ogni prodotto richiede un fascicolo tecnico completo che includa:
- Documentazione della valutazione dei rischi
- Prove della valutazione di conformità
- SBOM con tracciabilità a livello di componenti
- Procedure di gestione delle vulnerabilità
- Dichiarazione del periodo di supporto (minimo 5 anni)
La classificazione del prodotto è importante
Il CRA definisce tre categorie di prodotti con diversi requisiti di valutazione della conformità:
| Categoria | Esempi | Valutazione |
|---|---|---|
| Predefinito | La maggior parte degli IoT consumer, software semplici | Autovalutazione |
| Importante Classe I | Gestione identità, VPN, gestione di rete | Terze parti o conformità agli standard |
| Importante Classe II | Firewall, microprocessori antimanomissione | Terze parti obbligatorio |
| Critico | Contatori intelligenti, sistemi di controllo industriale | Esame del tipo UE |
Iniziate a prepararvi ora
Anche se l'applicazione completa è nel 2027, il lavoro richiesto è sostanziale. Raccomandiamo ai produttori di iniziare ora con:
- Inventariate i vostri prodotti - Quali PED vendete nell'UE?
- Classificate i vostri prodotti - Predefinito, Importante o Critico?
- Implementate la generazione di SBOM - Automatizzata, accurata e completa
Suggerimento: Iniziate con la generazione di SBOM. È la base per il monitoraggio delle vulnerabilità e fornisce un valore di conformità immediato.
- Stabilite processi per le vulnerabilità - Monitorare, rilevare, segnalare, correggere
- Documentate tutto - I fascicoli tecnici richiedono tempo per essere preparati
Importante: La scadenza di dicembre 2027 può sembrare lontana, ma le valutazioni di terzi possono richiedere da 4 a 10 mesi. I prodotti che richiedono il coinvolgimento di un Organismo Notificato devono iniziare ORA.
Come CRA Evidence può aiutarvi
CRA Evidence fornisce una piattaforma completa per gestire il vostro percorso di conformità CRA:
- Gestione SBOM: Caricate, validate e mantenete gli SBOM per tutti i vostri prodotti
- Tracciamento vulnerabilità: Scansione automatica con tracciamento delle scadenze ENISA
- Export fascicolo tecnico: Generate pacchetti documentali conformi all'Allegato VII
- Audit trail: Piena tracciabilità per le valutazioni di conformità
La scadenza di dicembre 2027 può sembrare lontana, ma costruire processi conformi richiede tempo. Iniziate oggi la vostra valutazione di preparazione CRA.
Classificazione: Determinate la categoria del vostro prodotto con la nostra guida alla classificazione dei prodotti.
SBOM: Costruite la vostra infrastruttura SBOM con la nostra guida ai requisiti SBOM.
Segnalazione: Scoprite la regola delle 24 ore nella nostra guida alla segnalazione delle vulnerabilità ENISA.
Questo articolo è fornito a solo scopo informativo e non costituisce consulenza legale. Per una guida specifica sulla conformità, consultare un consulente legale qualificato.
Argomenti trattati in questo articolo
Articoli correlati
Le telecamere intelligenti sono Prodotti Importanti ai...
Le telecamere di sicurezza connesse sono classificate come Prodotti...
11 minCybersecurity Act 2 dell'UE: Divieti sulla Supply Chain,...
Il 20 gennaio 2026, l'UE ha proposto di sostituire interamente il...
11 minClassificazione dei prodotti CRA: Il vostro prodotto è...
Guida pratica per determinare la categoria CRA del vostro prodotto. Include...
6 minDoes the CRA apply to your product?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell’ambito del Cyber Resilience Act dell’UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.