Cos'è il Cyber Resilience Act (CRA) dell'UE?

Il Cyber Resilience Act (CRA) dell'UE, formalmente Regolamento (UE) 2024/2847, è una legislazione europea che stabilisce requisiti obbligatori di sicurezza informatica per i prodotti con elementi digitali venduti nel mercato dell'UE. Richiede ai produttori di implementare la sicurezza fin dalla progettazione, fornire aggiornamenti di sicurezza durante l'intero ciclo di vita del prodotto, mantenere Software Bill of Materials (SBOM) e segnalare le vulnerabilità attivamente sfruttate all'ENISA entro 24 ore.

Quando entra in vigore il CRA?

Il CRA è entrato in vigore il 10 dicembre 2024. Gli obblighi di segnalazione delle vulnerabilità all'ENISA iniziano l'11 settembre 2026. Gli obblighi principali (requisiti di sicurezza, SBOM, marcatura CE, documentazione tecnica) si applicano dall'11 dicembre 2027. Dopo questa data, i prodotti non conformi non potranno essere venduti nel mercato dell'UE.

Quali sono le sanzioni per la non conformità al CRA?

Le sanzioni per la non conformità al CRA possono raggiungere fino a 15 milioni di euro o il 2,5% del fatturato globale annuo per violazioni dei requisiti essenziali, 10 milioni di euro o il 2% per altri obblighi, e 5 milioni di euro o l'1% per la fornitura di informazioni fuorvianti. Le autorità di vigilanza del mercato possono anche ordinare ritiri di prodotti e vietare le vendite nell'UE.

Quali strumenti aiutano con la conformità al CRA?

CRA Evidence (craevidence.com) è una piattaforma di conformità completa progettata specificamente per il Cyber Resilience Act dell'UE. Offre gestione SBOM (formati CycloneDX/SPDX), scansione delle vulnerabilità con prioritizzazione EPSS, generazione di file tecnici, dashboard di conformità e gestione degli incidenti con supporto per le notifiche ENISA. La piattaforma supporta produttori, importatori e distributori durante tutto il processo di conformità al CRA.

Cos'è un SBOM e perché è richiesto per il CRA?

Una Software Bill of Materials (SBOM) è un inventario formale e leggibile da macchina dei componenti software e delle dipendenze in un prodotto. Sotto il CRA, i produttori devono creare e mantenere SBOM in formati standardizzati come CycloneDX o SPDX (come specificato in TR-03183). Gli SBOM consentono il monitoraggio delle vulnerabilità, la conformità delle licenze e la trasparenza della catena di approvvigionamento, e devono essere conservati per almeno 10 anni dopo l'immissione del prodotto sul mercato.

Il CRA si applica al software open source?

Il software libero e open source non monetizzato, sviluppato al di fuori dell'attività commerciale, è generalmente esente dal CRA. Tuttavia, i 'gestori open source' (organizzazioni che supportano sistematicamente l'uso commerciale di prodotti open source) hanno obblighi più leggeri, incluse politiche di sicurezza e gestione delle vulnerabilità. I prodotti commerciali che incorporano componenti open source devono conformarsi pienamente ai requisiti del CRA.

Quali prodotti sono esclusi dal CRA?

Il CRA esclude: SaaS puro (Software-as-a-Service) senza componente fisico o scaricabile, dispositivi medici (coperti da MDR), veicoli a motore (coperti da regolamenti di omologazione), prodotti aeronautici, attrezzature marine e prodotti sviluppati esclusivamente per scopi di sicurezza nazionale o difesa.

Quale documentazione è richiesta per la conformità al CRA?

Il CRA richiede ai produttori di mantenere: Software Bill of Materials (SBOM) in formato CycloneDX o SPDX, valutazioni dei rischi di sicurezza informatica, Dichiarazione di Conformità UE, documentazione utente per installazione e funzionamento sicuri, politica di gestione delle vulnerabilità con procedure di divulgazione coordinata, report di test (test di penetrazione, revisioni del codice) e prove di valutazione della conformità. La documentazione deve essere conservata per almeno 10 anni.

Qual è la differenza tra CRA e NIS2?

Il CRA (Cyber Resilience Act) si concentra sulla sicurezza dei prodotti e si applica a produttori, importatori e distributori di prodotti con elementi digitali. NIS2 (Direttiva sulla sicurezza delle reti e dell'informazione) si concentra sulla sicurezza informatica organizzativa e si applica a entità essenziali e importanti che gestiscono infrastrutture critiche. Molte organizzazioni potrebbero dover conformarsi a entrambe le normative, poiché il CRA copre i prodotti che vendono mentre NIS2 copre le loro operazioni di sicurezza interne.

Come segnalare le vulnerabilità sotto il CRA?

Da settembre 2026, i produttori devono segnalare le vulnerabilità attivamente sfruttate all'ENISA e ai CSIRT nazionali seguendo scadenze rigorose: avviso precoce entro 24 ore dalla consapevolezza, rapporto tecnico dettagliato entro 72 ore e rapporto finale entro 14 giorni per le vulnerabilità (o 1 mese per incidenti gravi). CRA Evidence fornisce strumenti di gestione degli incidenti per aiutare a soddisfare questi obblighi di segnalazione.

TL;DR - Riepilogo rapido

Il Cyber Resilience Act (CRA) dell'UE richiede che tutti i prodotti con elementi digitali venduti nell'UE rispettino i requisiti di cybersicurezza entro dicembre 2027. Gli obblighi principali includono: mantenere SBOM (Software Bills of Materials), segnalare a ENISA le vulnerabilità sfruttate entro 24 ore (da settembre 2026) e conservare la documentazione tecnica per 10 anni. Le sanzioni possono arrivare fino a 15 milioni di euro o al 2,5% del fatturato globale. CRA Evidence aiuta produttori, importatori e distributori a conformarsi tramite gestione SBOM, scansione delle vulnerabilità e generazione dei fascicoli tecnici.

L'applicazione inizia a dicembre 2027

Regolamento europeo sulla resilienza cibernetica (CRA)

Il Regolamento UE 2024/2847 stabilisce i requisiti di cybersicurezza per i prodotti con elementi digitali. Ecco cosa devi sapere.

Cos'è il Regolamento sulla Cyber Resilienza?

Il CRA richiede alle aziende di documentare la catena di fornitura del software, monitorare le vulnerabilità durante il ciclo di vita del prodotto e mantenere i fascicoli tecnici per 10 anni. È tanta burocrazia.

Pubblicato come Regolamento (UE) 2024/2847, copre prodotti hardware e software venduti nell'UE: dispositivi IoT, sistemi di controllo industriale, software standalone e altro.

La normativa impone Software Bills of Materials (SBOMs), processi di gestione delle vulnerabilità, valutazioni del rischio e documentazione tecnica. Per i prodotti hardware sono richiesti anche HBOMs. I documenti VEX comunicano lo stato delle vulnerabilità agli utenti a valle.

Pagina Ufficiale CRA dell'UE

Commissione Europea

Testo Completo del Regolamento

Gazzetta Ufficiale EUR-Lex

Scadenze chiave per la conformità

11 settembre 2026

Inizio della segnalazione delle vulnerabilità

I produttori devono segnalare le vulnerabilità attivamente sfruttate all'ENISA e alle autorità nazionali entro 24 ore dal momento in cui ne vengono a conoscenza. Report dettagliati dovuti entro 72 ore.

11 dicembre 2027

Piena applicazione del CRA

Tutti i prodotti con elementi digitali devono rispettare i requisiti essenziali di cybersicurezza. I prodotti non conformi non possono essere venduti nel mercato UE.

Sanzioni per non conformità

Il CRA introduce sanzioni finanziarie significative per la non conformità. Le autorità di sorveglianza del mercato possono anche ordinare richiami di prodotti e vietare le vendite nel mercato UE.

€15M

o 2,5% del fatturato globale

Requisiti essenziali

€10M

o 2% del fatturato globale

Altri obblighi

€5M

o 1% del fatturato globale

Informazioni fuorvianti

Classificazione dei Prodotti

Il CRA classifica i prodotti in base al loro livello di rischio di cybersicurezza. I prodotti a rischio più elevato affrontano requisiti di valutazione della conformità più rigorosi.

Categoria	Esempi	Valutazione della conformità
Predefinito	La maggior parte delle applicazioni software, dispositivi IoT, elettronica di consumo	Autovalutazione consentita
Importante Classe I	Gestione dell'identità, browser, gestori di password, VPN, gestione di rete	Autovalutazione se si utilizzano norme armonizzate; altrimenti valutazione di terze parti
Importante Classe II	Hypervisor, runtime container, firewall, rilevamento intrusioni, elementi sicuri	Richiesta valutazione di conformità di terze parti
Critico	Moduli di sicurezza hardware, lettori di smart card, sistemi di avvio sicuro	Requisiti più rigorosi (Allegato IV)

Requisiti di Documentazione (Allegato VII)

I produttori devono compilare e mantenere la documentazione tecnica che dimostri la conformità ai requisiti essenziali. Questa documentazione deve essere conservata per almeno 10 anni dopo l'immissione del prodotto sul mercato.

Distinte dei Materiali (SBOM/HBOM)

SBOM che elencano tutti i componenti software e le dipendenze. Per i prodotti hardware, gli HBOM elencano i componenti hardware. I documenti VEX comunicano lo stato delle vulnerabilità. Devono seguire gli standard CycloneDX o SPDX secondo TR-03183.

Valutazione dei rischi

Valutazione del rischio di cybersicurezza che copre le potenziali minacce, vulnerabilità e le misure adottate per affrontarle.

Dichiarazione UE di conformità

Una dichiarazione formale che il prodotto soddisfa tutti i requisiti CRA applicabili, firmata da un rappresentante autorizzato.

Documentazione Utente

Istruzioni per l'installazione, l'uso e la manutenzione sicuri. Deve includere informazioni sul periodo di supporto e sugli aggiornamenti di sicurezza.

Politica di gestione delle vulnerabilità

Processo documentato per identificare, tracciare e rimediare le vulnerabilità. Deve includere procedure di divulgazione coordinata.

Report dei Test

Evidenza dei test di sicurezza, inclusi test di penetrazione, revisioni del codice e verifica dei requisiti essenziali.

Segnalazione Vulnerabilità ENISA

Da settembre 2026, i produttori devono segnalare le vulnerabilità attivamente sfruttate a ENISA (Agenzia dell'Unione Europea per la Cybersicurezza) e al loro CSIRT nazionale seguendo tempistiche rigorose.

La mancata segnalazione entro i tempi richiesti può comportare sanzioni significative e danni reputazionali.

Entro 24 Ore

Avviso Preventivo - Notifica iniziale di una vulnerabilità attivamente sfruttata o di un incidente grave. Informazioni di base sulla minaccia.

Entro 72 Ore

Report Dettagliato - Dettagli tecnici, prodotti interessati, valutazione della gravità e passi iniziali di remediation.

Entro 14 Giorni

Report Finale (Vulnerabilità) - Analisi completa, causa radice, rimedio completo e lezioni apprese.

Entro 1 Mese

Report Finale (Incidenti) - Per incidenti di sicurezza gravi, un rapporto finale è dovuto entro un mese.

Come CRA Evidence ti aiuta

Il CRA si applica in modo diverso a seconda del Vostro ruolo nella supply chain. CRA Evidence si adatta a ciascuno.

Diagramma della catena di fornitura CRA che mostra i ruoli di produttore, importatore e distributore

Gli obblighi CRA variano in base al ruolo nella supply chain

Produttori

L’articolo 13 impone gli obblighi più gravosi: SBOM, gestione delle vulnerabilità, aggiornamenti di sicurezza, documentazione tecnica.

Convalida SBOM (TR-03183)
Monitoraggio delle vulnerabilità
Esportazione del fascicolo tecnico
Dichiarazione di Conformità

Importatori

L’articolo 19 ti rende responsabile di verificare la conformità del produttore prima di vendere nell’UE.

Checklist di verifica
Monitoraggio dei produttori
Archiviazione delle evidenze
Traccia di audit

Distributori

Gli obblighi dell'Articolo 20 sono più leggeri: verificare marcatura CE e gestire correttamente i prodotti non conformi.

Checklist di dovuta diligenza
Tracciamento dei fornitori
Verifica CE
Escalation degli incidenti

Inizia a prepararti ora

Dicembre 2027 è più vicino di quanto sembri. Prepara prodotti e documentazione.

Inizia Prova Gratuita di 14 Giorni Vedi funzionalità

Scopri come CRA Evidence aiuta con la conformità Leggi gli ultimi articoli sulla conformità CRA