Il Cyber Resilience Act si applica a qualsiasi prodotto con elementi digitali che si connetta, direttamente o indirettamente, a un dispositivo o a una rete e venga immesso sul mercato dell'UE. Se quel test è soddisfatto e Lei non rientra in un'esclusione, la domanda successiva è quale ruolo svolge nella catena di fornitura dell'UE: fabbricante, importatore, distributore, mandatario o gestore di software open source. Questa pagina è la macchina di smistamento prima che si impegni in un articolo approfondito.
Riepilogo
- Il test di ambito sta in una sola frase. Si gioca su una connessione dati logica o fisica, diretta o indiretta, a un dispositivo o a una rete, più ampia di quanto la maggior parte dei team supponga.
- Le esclusioni principali includono regimi settoriali, ricambi e difesa. Dispositivi medici, veicoli a motore, aviazione civile, equipaggiamento marittimo, ricambi identici e prodotti sviluppati o modificati esclusivamente per la sicurezza nazionale, la difesa o il trattamento di informazioni classificate.
- Tre ruoli di operatore economico svolgono la maggior parte del lavoro. Fabbricante, importatore, distributore.
- Attenzione all'interruttore degli obblighi del fabbricante. Importatori e distributori che usano il proprio marchio o modificano sostanzialmente un prodotto sono trattati come fabbricanti; gli altri terzi che apportano modifiche sostanziali sono disciplinati separatamente.
- I gestori di software open source hanno un regime più leggero. Una politica di cibersicurezza documentata e un dovere di cooperazione, non l'intero fascio di obblighi del fabbricante.
- Più ruoli si sommano fino al più severo. Quando rientra in più di una definizione, si applica il fascio di obblighi più gravoso.
Quattro punti d'ancoraggio che decidono se il CRA si applichi a Lei e con quale gravità: il test di ambito, le esclusioni, l'asse dei ruoli e l'interruttore degli obblighi del fabbricante.
Il CRA si applica al Suo prodotto?
Parta dal prodotto, non dal riferimento giuridico. Il primo test di ambito del CRA è se Lei mette a disposizione sul mercato dell'UE software, hardware o un componente digitale, e se la finalità prevista o l'uso ragionevolmente prevedibile include una connessione dati logica o fisica, diretta o indiretta, a un dispositivo o a una rete.
L'espressione più conseguente è «connessione dati logica o fisica, diretta o indiretta». In linguaggio chiaro:
| Tipo di connessione | Significato chiaro | Esempio reale |
|---|---|---|
| Logica | Un percorso virtuale di dati realizzato tramite un'interfaccia software. | Una chiamata REST API tra un microservizio e un backend; un topic MQTT tra un dispositivo IoT e un broker. |
| Fisica | Una connessione tramite interfacce elettriche, ottiche o meccaniche, cavi o onde radio. | Un cavo Ethernet; un accoppiamento Bluetooth; un bus industriale RS-485. |
| Indiretta | Una connessione che passa attraverso un sistema più ampio che è esso stesso direttamente connettibile. | Un sensore che parla solo a un hub locale, dove l'hub stesso raggiunge internet. Il sensore rientra nell'ambito tramite l'hub. |
La clausola della connessione indiretta è la rete più ampia. Un sensore che parla solo a un hub locale rientra nell'ambito se l'hub è esso stesso connettibile. Un accessorio sensore che si accoppia a un telefono via Bluetooth rientra nell'ambito tramite il telefono. Un PLC di fabbrica che raggiunge internet solo tramite un gateway industriale rientra nell'ambito tramite il gateway. I fabbricanti industriali e IoT che presumono «niente Wi-Fi significa niente CRA» perdono questa clausola e perdono integralmente il regolamento.
Un «prodotto con elementi digitali» copre quindi prodotti software o hardware e le loro soluzioni di trattamento remoto dei dati, compresi i componenti software o hardware immessi sul mercato separatamente. Anche i componenti autonomi spediti sul mercato rientrano nell'ambito.
Settori già regolati altrove
Alcuni settori restano fuori dal CRA indipendentemente dai test di soglia sopra descritti, perché sono già coperti dai propri regimi di cibersicurezza.
| Settore | Disciplinato invece da | Escluso da |
|---|---|---|
| Dispositivi medici | Regolamento (UE) 2017/745 (MDR) | Articolo 2(2), lettera (a) |
| Dispositivi medico-diagnostici in vitro | Regolamento (UE) 2017/746 (IVDR) | Articolo 2(2), lettera (b) |
| Veicoli a motore | Regolamento (UE) 2019/2144 | Articolo 2(2), lettera (c) |
| Prodotti dell'aviazione civile certificati | Regolamento (UE) 2018/1139 | Articolo 2(3) |
| Equipaggiamento marittimo | Direttiva 2014/90/UE | Articolo 2(4) |
| Pezzi di ricambio (che sostituiscono componenti identici) | Non applicabile; fuori ambito per definizione | Articolo 2(6) |
| Prodotti per la sicurezza nazionale, la difesa e il trattamento di informazioni classificate | Competenza dello Stato membro | Articolo 2(7) |
La Commissione può inoltre limitare o escludere l'applicazione del CRA quando un altro atto dell'Unione copra già gli stessi rischi a un livello di protezione equivalente o superiore.
Per il livello di cibersicurezza del Suo prodotto (predefinito, importante di classe I, importante di classe II o critico), si vedano la classificazione dei prodotti CRA e la valutazione della conformità CRA.
Ruoli CRA: fabbricante, importatore, distributore o mandatario?
Una volta che il prodotto rientra nell'ambito, i Suoi obblighi CRA dipendono da ciò che Lei fa nella catena di fornitura dell'UE: quale marchio compare sul prodotto, chi lo introduce nell'Unione, chi lo mette a disposizione e se qualcuno lo modifica prima della rivendita.
Fabbricante
Lei immette il prodotto sul mercato con il Suo nome o marchio. Sviluppa, o fa progettare e fabbricare, un prodotto con elementi digitali e lo commercializza con il proprio marchio, a pagamento o gratuitamente. I fabbricanti assumono il fascio completo di obblighi: progettazione basata sul rischio, gestione delle vulnerabilità, documentazione tecnica, dichiarazione UE di conformità, marcatura CE e segnalazione di incidenti gravi e vulnerabilità attivamente sfruttate. Commercializzare con il proprio marchio un prodotto progettato e costruito da un OEM rende Lei comunque il fabbricante. Si vedano gli obblighi del fabbricante CRA.
Importatore
Lei è stabilito nell'UE e immette sul mercato dell'UE un prodotto a marchio non-UE. Prima di immettere il prodotto, deve verificare che il fabbricante abbia svolto la valutazione della conformità, redatto la documentazione tecnica, apposto la marcatura CE e fornito la dichiarazione UE di conformità e le informazioni per l'utente richieste. Gli importatori devono conservare la documentazione per dieci anni e cooperare con le autorità di vigilanza del mercato. Si vedano gli obblighi dell'importatore CRA.
Distributore
Lei mette a disposizione un prodotto sul mercato dell'Unione senza incidere sulle sue proprietà. Si colloca nella catena di fornitura, distinto dal fabbricante e dall'importatore. Prima di mettere a disposizione il prodotto, deve verificare che la marcatura CE sia apposta, che la dichiarazione UE di conformità sia disponibile e che il fabbricante abbia fornito le informazioni e le istruzioni richieste. Si vedano gli obblighi del distributore CRA.
Mandatario
Lei è stabilito nell'UE in virtù di un mandato scritto da un fabbricante. Il CRA consente a un fabbricante di nominare un mandatario con mandato scritto, ma la nomina non è automatica o obbligatoria solo perché il fabbricante è fuori dall'UE. Il mandatario agisce entro i compiti conferiti. Si veda il mandatario CRA.
Modifiche al prodotto: quando diventa fabbricante
Si colloca nella catena di fornitura dopo un fabbricante terzo. Esegua le due verifiche successive prima di dare per scontato di restare importatore o distributore.
Apporre il proprio marchio sul prodotto di un altro La rende fabbricante fin dall'origine, non fabbricante presunto.
Una modifica sostanziale incide sulla conformità con i requisiti essenziali di cibersicurezza, oppure altera la finalità prevista per la quale il prodotto è stato originariamente valutato.
Modificare il prodotto di un altro può renderLa responsabile come fabbricante. Un importatore o un distributore è trattato come fabbricante se vende il prodotto con il proprio nome o marchio, oppure modifica sostanzialmente un prodotto già immesso sul mercato. Lo stesso trattamento da fabbricante si applica a qualsiasi altra persona fisica o giuridica che modifichi sostanzialmente un prodotto e poi metta a disposizione il prodotto modificato.
Per gli altri terzi che apportano modifiche, la responsabilità segue l'impatto sulla cibersicurezza: i doveri del fabbricante si applicano alla parte del prodotto interessata dalla modifica, salvo che il cambiamento incida sulla cibersicurezza dell'intero prodotto; in tal caso, i doveri coprono l'intero prodotto.
Una «modifica sostanziale» è un cambiamento effettuato dopo l'immissione del prodotto sul mercato che incide sulla conformità del prodotto ai requisiti essenziali di cibersicurezza, oppure altera la finalità prevista per la quale il prodotto è stato originariamente valutato. Due schemi attivano questa condizione più spesso: riflashare o riconfezionare un dispositivo di terzi con firmware personalizzato, e integrare un prodotto di terzi in un sistema in modo da cambiarne la finalità prevista.
L'etichettatura con marchio proprio non è un detonatore di modifica sostanziale: è la definizione stessa di fabbricante e si applica fin dall'origine.
Gestori di software open source
Un gestore di software open source è una persona giuridica, distinta dal fabbricante, la cui finalità è sostenere in modo sistematico lo sviluppo di prodotti open source specifici destinati ad attività commerciali e garantirne la sostenibilità. In pratica, i gestori sono tipicamente fondazioni o persone giuridiche senza scopo di lucro che sostengono il progetto a monte, non aziende che integrano software open source nei propri prodotti.
I doveri sono più ristretti rispetto al regime del fabbricante ma ugualmente concreti:
- Documentare una politica di cibersicurezza che favorisca lo sviluppo sicuro del progetto e l'efficace gestione delle vulnerabilità da parte degli sviluppatori, incoraggi la segnalazione volontaria delle vulnerabilità e sostenga la condivisione di informazioni all'interno della comunità open source.
- Cooperare con le autorità di vigilanza del mercato su richiesta motivata, anche fornendo la documentazione della politica di cibersicurezza.
Questo regime non si applica alla maggior parte delle aziende che integrano software open source in un prodotto commerciale. Se Lei prende una libreria open source, la integra in un prodotto che commercializza e immette quel prodotto sul mercato dell'UE con il proprio nome, è un fabbricante, non un gestore.
Albero decisionale: individui il Suo percorso di conformità
| Se Lei... | È un... | Vai a... |
|---|---|---|
| Progetta o fa fabbricare un prodotto con elementi digitali che immette sul mercato dell'UE con il Suo nome o marchio | Fabbricante | Obblighi del fabbricante |
| È stabilito nell'UE e immette sul mercato dell'UE un prodotto che reca il nome o il marchio di una persona non-UE | Importatore | Obblighi dell'importatore |
| È nella catena di fornitura (non fabbricante né importatore) e mette a disposizione un prodotto sul mercato dell'UE senza incidere sulle sue proprietà | Distributore | Obblighi del distributore |
| Come importatore o distributore, vende con il Suo nome o marchio, oppure modifica sostanzialmente un prodotto già immesso sul mercato | Si applicano gli obblighi del fabbricante | Si applicano gli obblighi pieni del fabbricante |
| Come altro terzo, modifica sostanzialmente un prodotto e lo mette a disposizione sul mercato | Si applicano gli obblighi del fabbricante | Si applicano gli obblighi pieni del fabbricante per la parte interessata o per l'intero prodotto |
| È un fabbricante non-UE che immette prodotti sul mercato dell'UE e nomina un mandatario nell'UE | Fabbricante, con un mandatario che agisce solo entro il mandato scritto | Mandatario |
| È una persona giuridica che sostiene sistematicamente un progetto open source come finalità principale, non la distribuzione commerciale | Gestore OSS | Regime del gestore OSS |
Se rientra in più di un ruolo, si applica il fascio di obblighi più severo. Un'azienda che sviluppa un prodotto, lo etichetta con il proprio marchio e lo immette sul mercato dell'UE è fabbricante indipendentemente da quali subappaltatori abbiano svolto la progettazione o la costruzione; un importatore o distributore che modifichi sostanzialmente un prodotto già immesso sul mercato è trattato come fabbricante.
Errori frequenti
| Errore | Perché fallisce |
|---|---|
| «Siamo solo su una rete locale, quindi il CRA non si applica.» | La clausola della connessione indiretta intercetta qualsiasi cosa raggiunga un sistema connettibile tramite un hub, un telefono o un gateway. |
| «Rietichettiamo il prodotto OEM, quindi siamo il distributore.» | Vendere con il proprio nome o marchio rende fabbricanti fin dall'origine, non fabbricanti presunti. |
| «Usiamo librerie open source nel nostro prodotto, quindi siamo gestori.» | I gestori sostengono i progetti a monte come finalità principale; i consumatori a valle di software open source sono fabbricanti per il prodotto che spediscono. |
| «Il nostro marketplace si limita a fare da intermediario per venditori non-UE, quindi non abbiamo doveri.» | Un marketplace che detiene scorte nell'UE o è titolare dell'inserzione sconfina nel territorio dell'importatore ed eredita i doveri di verifica e conservazione. |
Domande frequenti
Il mio prodotto è solo su una rete locale. Rientra comunque nell'ambito del CRA?
Probabilmente sì. Il test di ambito copre qualsiasi connessione indiretta: un prodotto rientra nell'ambito se si connette attraverso un sistema più ampio che è esso stesso connettibile. Un sensore su un hub locale, una periferica Bluetooth che si accoppia con un telefono o un PLC dietro un gateway industriale rientrano tutti nell'ambito tramite il dispositivo a cui si connettono. Il caso ristretto in cui il CRA non si applica è un prodotto senza software, senza firmware e senza alcun percorso verso un altro dispositivo o rete.
Gestisco un servizio SaaS. Il CRA si applica a me?
In generale, no. Il SaaS ricade sotto NIS2, non sotto il CRA, che si applica a un prodotto software o hardware immesso sul mercato. Un servizio puramente ospitato in cloud non rientra in questa definizione. L'eccezione è una soluzione di trattamento remoto dei dati fornita dal fabbricante: un componente cloud necessario al prodotto per svolgere le proprie funzioni rientra nell'ambito come parte di quel prodotto. Il SaaS che spedisce anche un client installabile (un'applicazione desktop o mobile, un SDK, un agente on-prem) porta nell'ambito la parte installabile.
Rivendiamo hardware non modificato con il nostro marchio. Fabbricante o distributore?
Fabbricante. Chi commercializza un prodotto con il proprio nome o marchio è il fabbricante, indipendentemente da chi lo abbia progettato o costruito. L'etichettatura con marchio proprio di un prodotto OEM è il caso da manuale, e il fascio completo di obblighi del fabbricante segue. Non è la via del fabbricante presunto: si è fabbricante fin dall'origine.
Usiamo librerie open source nel nostro prodotto. Siamo gestori?
No. I gestori sono tipicamente fondazioni o persone giuridiche senza scopo di lucro che sostengono sistematicamente un progetto open source come finalità principale. Un'azienda che prende una libreria open source, la integra in un prodotto commerciale e immette quel prodotto sul mercato dell'UE è fabbricante per quel prodotto. Il regime più leggero è per l'ente che sostiene il progetto a monte, non per i consumatori a valle.
Un'azienda non-UE vende direttamente ai consumatori dell'UE tramite il nostro marketplace. Chi è responsabile?
Dipende dalla catena. Il CRA consente al fabbricante non-UE di nominare un mandatario con mandato scritto, ma la questione dell'importatore dipende da chi immette il prodotto sul mercato dell'UE e da quale operatore è stabilito nell'UE. Un marketplace che si limita a fare da intermediario e non immette i prodotti sul mercato di per sé, in generale, non è l'importatore; se il marketplace è titolare dell'inserzione o evade l'ordine da scorte nell'UE, sconfina nel territorio dell'importatore. Verifichi il flusso reale della transazione prima di decidere.