Il Cyber Resilience Act offre ai fabbricanti tre vie per accedere alla presunzione di conformità rispetto ai requisiti dell'Allegato I. Due passano per le norme. La terza può passare per la certificazione, una volta che la Commissione riconosce un sistema europeo di certificazione della cibersicurezza utilizzabile. Questa pagina illustra tale via, il ruolo che l'EUCC (sistema europeo di certificazione della cibersicurezza basato sui Common Criteria) ricopre come sistema attivo, e cosa è e non è ancora in vigore.
Sintesi
- La certificazione può essere la terza via del CRA alla presunzione di conformità. Si affianca alle norme armonizzate e alle specifiche comuni.
- La via passa per un sistema europeo di certificazione della cibersicurezza adottato ai sensi del Cybersecurity Act, Regolamento (UE) 2019/881. L'EUCC è il sistema attivo.
- Un certificato vale solo nella misura in cui copre i requisiti. Darebbe la presunzione di conformità per i requisiti dell'Allegato I contemplati dal certificato, non automaticamente per tutti.
- Un certificato con livello «sostanziale» sopprimerebbe l'obbligo di valutazione di terze parti per i requisiti coperti, ma solo una volta che l'atto delegato che attiva la via è in vigore.
- Rileva soprattutto per i prodotti critici dell'Allegato IV, per i quali la Commissione può rendere obbligatorio un certificato.
- Non è ancora operativo. Al 15 giugno 2026, nessun atto riconosce sistemi utilizzabili né rende obbligatorio un certificato. L'EUCC non sostituisce ancora la via di conformità CRA né sopprime l'obbligo di valutazione di terze parti.
Cos'è un certificato EUCC e i suoi livelli di affidabilità
L'EUCC è il sistema europeo di certificazione della cibersicurezza basato sui Common Criteria. ENISA lo ha elaborato e la Commissione lo ha adottato con il Regolamento di esecuzione (UE) 2024/482 del 31 gennaio 2024. Si applica dal 27 febbraio 2025. È il primo sistema adottato ai sensi del Cybersecurity Act. Si fonda sui Common Criteria, il consolidato standard internazionale per la valutazione della sicurezza dei prodotti IT, pubblicato come ISO/IEC 15408.
Il sistema è già operativo. Gli organismi di certificazione rilasciano certificati EUCC dall'aprile 2025, e il registro ufficiale dei certificati di ENISA ne elencava 37 al 15 giugno 2026. Nessuno porta ancora la presunzione di conformità CRA: dimostrano che il sistema funziona, non che un certificato soddisfi già il CRA.
La maggior parte dei certificati rilasciati finora riguarda chip sicuri, smartcard e hardware analogo, che si sovrappone alle categorie critiche a forte componente hardware del CRA. Non tutti: anche prodotti di rete e software vengono certificati, e questi rientrano nell'ambito generale del CRA, non nel suo elenco di prodotti critici.
L'EUCC rilascia certificati a due livelli di affidabilità, «sostanziale» e «elevato». I due differiscono per l'intensità dei test a cui il prodotto è sottoposto. L'EUCC la misura sulla scala di valutazione delle vulnerabilità dei Common Criteria, scritta AVA_VAN, che va da 1 a 5. Più alto è il numero, più approfondita è la verifica indipendente di come il prodotto resiste agli attacchi.
| Livello EUCC | AVA_VAN | Profondità dei test | Effetto CRA |
|---|---|---|---|
| sostanzialeil più basso dei due | AVA_VAN 1 a 2su 5 | Test indipendenti di vulnerabilità a profondità standard. | Soddisferebbe la soglia per la soppressione dell'obbligo. |
| elevatoil più alto dei due | AVA_VAN 3 a 5su 5 | Un'analisi più approfondita, testata contro aggressori con competenze e risorse significative. | Supererebbe la soglia. |
Il CRA collega la soppressione dell'obbligo di valutazione di terze parti al livello «sostanziale» o superiore, per cui entrambi i livelli EUCC risulterebbero idonei una volta che tale soppressione dell'obbligo è in vigore.
La certificazione come terza via alla presunzione di conformità
La presunzione di conformità è una scorciatoia riconosciuta. Chi soddisfa una delle vie ottiene che l'autorità presuma che il prodotto rispetti i requisiti coperti da quella via. Il Cyber Resilience Act offre tre possibili vie, e la certificazione è la terza, una volta riconosciuta per il CRA.
Le tre vie e il loro stato attuale:
| Via | Su cosa si basa | Stato attuale per il CRA |
|---|---|---|
| Norme armonizzate | una norma il cui riferimento è pubblicato nella Gazzetta ufficiale | nessuna norma pubblicata |
| Specifiche comuni | atti di esecuzione della Commissione | nessuno adottato |
| Sistema di certificazione | dichiarazione di conformità UE o certificato nell'ambito di un sistema riconosciuto | nessun sistema riconosciuto per il CRA |
Le prime due passano per le norme, e il tracker delle norme armonizzate le segue in dettaglio. La terza passa per la certificazione. Una volta che tale via è operativa, un prodotto che detiene una dichiarazione di conformità UE o un certificato nell'ambito di un sistema europeo di certificazione della cibersicurezza può essere presunto conforme. Quella presunzione riguarda solo i requisiti coperti dalla dichiarazione o dal certificato, non l'intero Allegato I. Il sistema deve essere stato adottato ai sensi del Cybersecurity Act, Regolamento (UE) 2019/881.
Come si ottiene la certificazione EUCC
L'EUCC non è una dichiarazione autonoma del fabbricante. Il fabbricante o fornitore lavora con un organismo di certificazione, e la valutazione è svolta da un laboratorio accreditato. Si tratta anche di un investimento rilevante: una valutazione completa tramite un organismo di certificazione supera tipicamente le sei cifre, il che spiega in parte perché la maggior parte dei team la programma dopo aver raccolto le prove dei requisiti. Per il livello di affidabilità «elevato», l'EUCC aggiunge requisiti di autorizzazione per l'organismo di certificazione e per il laboratorio.
Parte delle prove raccolte per il CRA si sovrappone a ciò che una valutazione EUCC richiede: una valutazione del rischio, procedure di gestione delle vulnerabilità e documentazione tecnica. L'EUCC richiede elementi aggiuntivi, tra cui un security target, ovvero il documento che definisce con esattezza quale prodotto, configurazione e funzioni di sicurezza sono valutati, oltre alle prove di progettazione dettagliata e di test che i Common Criteria richiedono per il livello di affidabilità scelto.
Un certificato EUCC non è un'approvazione una tantum. L'organismo di certificazione ne fissa la validità fino a cinque anni. Per tutta la sua durata, il titolare ha obblighi continuativi:
- Gestione delle vulnerabilità: mantenere attive le procedure di gestione delle vulnerabilità e di divulgazione.
- Analisi dell'impatto: valutare l'impatto delle nuove vulnerabilità man mano che emergono.
- Continuità del livello di affidabilità: mantenere il livello di affidabilità del prodotto tramite patch e rivalutazioni.
Gran parte di questo si sovrappone agli obblighi di gestione delle vulnerabilità del CRA.
Tale processo è separato dalla via CRA. Può produrre prove utili, ma non crea effetti giuridici CRA fino a quando la Commissione non riconosce il sistema.
Come si incastrano EUCC e CRA
Il CRA e l'EUCC sono strumenti di natura diversa, e si prestano a confusione. Il CRA è un regolamento vincolante: la legge che il prodotto deve rispettare. L'EUCC è un sistema di certificazione volontaria: un modo per dimostrare che il prodotto rispetta parte di essa.
| Cyber Resilience Act | EUCC | |
|---|---|---|
| Natura | regolamento UE vincolante | sistema di certificazione volontaria |
| Base giuridica | Regolamento (UE) 2024/2847 | Cybersecurity Act (Regolamento (UE) 2019/881), sistema nel Regolamento (UE) 2024/482 |
| Si applica a | tutti i prodotti con elementi digitali sul mercato UE | prodotti ICT valutati rispetto ai Common Criteria |
| Classificazione del rischio | standard, importante, critico | livelli di affidabilità «sostanziale» e «elevato» |
| Applicazione | obbligatoria, con sanzioni | volontaria, salvo che il CRA la renda obbligatoria per una categoria critica |
I due strumenti si sovrappongono nei punti che contano. L'EUCC esamina le funzioni di sicurezza di un prodotto e il modo in cui il suo produttore gestisce le vulnerabilità. Gran parte di questo si allinea ai requisiti essenziali del CRA. ENISA ha pubblicato uno studio di mappatura EUCC-CRA per verificare in che misura la certificazione EUCC potrebbe sostenere la conformità CRA. Quello è un lavoro tecnico preparatorio, non un effetto giuridico automatico.
Quale obbligo sopprimerebbe un certificato con livello «sostanziale»
Un ulteriore elemento normativo darebbe al certificato peso concreto nel contesto del CRA, e non è ancora in vigore. Una volta che la Commissione interviene, produce due effetti:
- Riconoscimento dei sistemi: tramite atto delegato, la Commissione specifica quali sistemi di certificazione possono dimostrare la conformità ai requisiti. Fino a quando tale atto non nomina un sistema, nessuno è formalmente riconosciuto per la conformità CRA.
- Soppressione della valutazione di terze parti: un certificato con livello di affidabilità almeno «sostanziale» sopprimerebbe l'obbligo del fabbricante di svolgere una valutazione della conformità da parte di terzi per i requisiti coperti da quel certificato. Tale soppressione dell'obbligo corrisponde ai percorsi Modulo B+C e Modulo H che altrimenti richiederebbero l'intervento di un organismo notificato.
La guida alla valutazione di conformità illustra quei moduli.
Prodotti critici: quando la certificazione può diventare obbligatoria
Per la maggior parte dei prodotti, la certificazione è facoltativa. Per le categorie di prodotti critici, può diventare obbligatoria.
La Commissione può richiedere che quei prodotti detengano un certificato europeo di cibersicurezza con livello di affidabilità almeno «sostanziale». Deve farlo tramite atto delegato, e solo una volta che un sistema che copra la categoria è stato adottato e reso disponibile ai fabbricanti. Le categorie critiche dell'Allegato IV sono:
- Dispositivi hardware con cassette di sicurezza
- Gateway per contatori intelligenti e altri dispositivi a fini di sicurezza avanzati, compreso il trattamento crittografico sicuro
- Carte intelligenti o dispositivi analoghi, compresi gli elementi sicuri
L'EUCC è il sistema attivo più pertinente per questo elenco a forte componente hardware.
Fino all'adozione di tale atto da parte della Commissione, questi prodotti non sono tenuti a certificarsi. Seguono le procedure standard di valutazione della conformità, gli stessi percorsi di terze parti che utilizzano gli altri prodotti regolamentati. La guida alla classificazione dei prodotti mostra dove si colloca un prodotto.
Stato attuale: la certificazione non è ancora operativa per il CRA
Stato, al 15 giugno 2026: la via della certificazione esiste nel CRA, ma non è ancora operativa. La Commissione non ha adottato l'atto delegato che riconoscerebbe i sistemi idonei a dimostrare la conformità CRA, né un atto che renda obbligatorio un certificato per alcuna categoria dell'Allegato IV. Un certificato EUCC è quindi una preparazione preziosa, non una scorciatoia CRA attuale. Non sopprime ancora alcun obbligo di valutazione di terze parti.
Non esiste una scadenza per attivare questa via. Il Regolamento consente alla Commissione di intervenire, ma non lo richiede entro alcuna data, e nessun atto è adottato. Gli obblighi del Cyber Resilience Act si applicano dall'11 dicembre 2027 indipendentemente dal fatto che la via sia operativa o meno, e se un futuro atto rendesse la certificazione obbligatoria per una categoria critica, dovrebbe prevedere una transizione di almeno sei mesi.
La Commissione ha adottato nel frattempo altri atti CRA, il che rende facile fraintendere il divario:
| Atto | Data | Cosa fa | Riguarda la certificazione? |
|---|---|---|---|
| Regolamento delegato (UE) 2025/1535 della Commissione | 29 luglio 2025 | esclude determinati veicoli del Regolamento (UE) n. 168/2013 dall'ambito del CRA | no |
| Regolamento di esecuzione (UE) 2025/2392 della Commissione | 28 novembre 2025 | stabilisce le descrizioni tecniche delle categorie di prodotti importanti e critici | no |
| Regolamento delegato (UE) 2026/881 della Commissione | 11 dicembre 2025, pubblicato il 20 aprile 2026 | fissa le condizioni per ritardare la diffusione di determinate notifiche di vulnerabilità e incidenti | no |
ENISA ha svolto il lavoro preparatorio. Il suo rapporto, «Cyber Resilience Act Implementation via EUCC and Its Applicable Technical Elements», illustra come l'EUCC potrebbe recepire i requisiti del CRA. Descrive anche la mappatura tecnica che sarebbe necessaria. È una proposta e una cassetta degli attrezzi, non un interruttore. L'effetto giuridico resta in attesa dell'atto delegato che la Commissione non ha ancora adottato.
Nostra lettura: avviare l'EUCC ora o attendere?
Le sezioni precedenti illustrano la posizione regolamentare. I due riquadri seguenti rappresentano la nostra lettura come professionisti. Si tratta di opinione, non di consulenza legale, né di una dichiarazione su ciò che il Regolamento richiede.
Un certificato EUCC non è la via CRA più rapida oggi. L'atto delegato che gli darebbe efficacia CRA non è stato adottato. Per la maggior parte dei fabbricanti, il lavoro a maggior valore è la raccolta delle prove dell'Allegato I che ogni via richiede comunque: una valutazione del rischio, una SBOM, la gestione delle vulnerabilità e la documentazione tecnica. La certificazione può aggiungersi in un secondo momento. Tre situazioni cambiano il calcolo: si rientra in una categoria critica che probabilmente sarà soggetta a un futuro obbligo; si detengono già certificati Common Criteria o li si sta ottenendo; oppure i propri acquirenti li richiedono. In questi casi, iniziare subito è ragionevole.
La soppressione dell'obbligo che tutti vogliono dipende da un atto delegato che la Commissione non ha adottato. La leggiamo come non disponibile fino all'adozione di quell'atto, perché la norma la lega ad esso. Chi afferma che un certificato EUCC sopprime già la valutazione CRA non considera quella condizione, e non pianificheremmo una via di conformità su quella base. Delle tre vie, riteniamo che la certificazione sia il pezzo di infrastruttura più concreto in costruzione, e il collegamento EUCC-CRA è quello da tenere d'occhio: alla conferenza europea di certificazione della cibersicurezza 2026 la Commissione ha segnalato l'obiettivo di specificare entro fine 2026 come l'EUCC supporti la conformità CRA. Trattare questo come un obiettivo, non un impegno: nessun atto è adottato, e la data può spostarsi.
Domande frequenti
Un certificato EUCC dà già la presunzione di conformità CRA?
Non per l'EUCC oggi. La via della certificazione esiste nel CRA, ma la Commissione deve ancora specificare quali sistemi contano per la conformità CRA. Tale atto non è stato adottato. Un certificato EUCC può essere una solida preparazione, ma non si sostituisce ancora alla via di conformità CRA.
Qual è la differenza tra il CRA e l'EUCC?
Il CRA è un regolamento UE vincolante che si applica a ogni prodotto con elementi digitali. L'EUCC è un sistema di certificazione volontaria basato sui Common Criteria. Il CRA va rispettato; ottenere un certificato EUCC è una scelta. I due si connettono perché un certificato può servire come una delle vie per dimostrare la conformità CRA. Questo vale solo per i requisiti che copre, e solo una volta che il sistema è formalmente riconosciuto, cosa che non è ancora avvenuta.
La certificazione EUCC è obbligatoria ai sensi del CRA?
Al momento no. La certificazione è facoltativa per la maggior parte dei prodotti. Per le categorie critiche dell'Allegato IV, la Commissione può rendere obbligatorio un certificato tramite atto delegato. Può farlo solo se un sistema che copre quella categoria è stato adottato e reso disponibile. Al momento non esiste alcun atto di questo tipo, quindi nessun prodotto è tenuto a certificarsi. Quei prodotti seguono i percorsi standard di valutazione di terze parti fino a che le cose non cambiano.
Quale livello di affidabilità richiede il CRA?
Per la futura soppressione dell'obbligo, almeno «sostanziale». L'EUCC rilascia certificati ai livelli «sostanziale» e «elevato», per cui un certificato «elevato» risulterebbe anch'esso idoneo. La soppressione dell'obbligo stessa dipende ancora dall'entrata in vigore dell'atto delegato, che non è ancora avvenuta.
In cosa differisce la via della certificazione dalle norme armonizzate?
Sono due vie alla stessa presunzione. Una norma armonizzata funziona una volta che il suo riferimento è pubblicato nella Gazzetta ufficiale. Per un prodotto importante di Classe I, una norma pubblicata può aprire la via dell'autovalutazione. Un certificato funziona una volta che un sistema è riconosciuto. Al livello «sostanziale», sopprimerebbe l'obbligo di valutazione di terze parti per i requisiti coperti. Oggi nessuna delle due è pienamente operativa per il CRA: nessuna norma armonizzata è pubblicata e nessun sistema di certificazione è riconosciuto.
Un certificato EUCC copre i requisiti di gestione delle vulnerabilità della Parte II dell'Allegato I?
Dipende dall'ambito del certificato, e non lo si può dare per scontato. La presunzione riguarda solo i requisiti che il certificato copre effettivamente. L'Allegato I ha due parti: proprietà di sicurezza del prodotto e requisiti del processo di gestione delle vulnerabilità. Un certificato limitato alle proprietà del prodotto potrebbe non riguardare gli obblighi di processo continuativi. Verificare i requisiti coperti prima di farvi affidamento.
Se ottengo ora un certificato EUCC, varrà per il CRA una volta che la via sarà attivata?
Non automaticamente. L'atto che riconoscerebbe i sistemi per la conformità CRA non è ancora adottato, e la norma prevede condizioni aggiuntive per i certificati rilasciati prima che la via sia attivata. Un certificato ottenuto ora è una solida preparazione e una prova per i requisiti che copre, ma se produrrà la presunzione CRA in seguito, e per quali requisiti, dipenderà da quell'atto e dall'ambito del certificato. Trattarlo come un vantaggio iniziale, non come una scorciatoia garantita.
Sono già stati rilasciati certificati EUCC? Dove si possono consultare?
Sì. Gli organismi di certificazione rilasciano certificati EUCC dall'aprile 2025, e ENISA pubblica l'elenco ufficiale e filtrabile. Dimostrano che il sistema è attivo, ma non portano ancora la presunzione di conformità CRA: questo aspetto è ancora in attesa dell'atto delegato.