Il CRA si applica a qualsiasi prodotto con elementi digitali che si connetta, direttamente o indirettamente, a un dispositivo o a una rete e arrivi sul mercato dell'UE. Se quel test è soddisfatto e Lei non è escluso dall'articolo 2, la domanda successiva è quale ruolo Le competa ai sensi dell'articolo 3: fabbricante, importatore, distributore, mandatario o amministratore di software open source. Questa pagina è la macchina di smistamento prima che Lei si impegni in un articolo approfondito.
Riepilogo
- Il test di ambito è una sola frase (articolo 2, paragrafo 1). Si gioca su una «connessione dati logica o fisica, diretta o indiretta, a un dispositivo o a una rete», che è più ampia di quanto la maggior parte dei team supponga.
- L'articolo 2 esclude cinque famiglie di prodotti. Dispositivi medici, veicoli a motore, aviazione civile, equipaggiamento marittimo e prodotti sviluppati o modificati esclusivamente per la sicurezza nazionale, la difesa o il trattamento di informazioni classificate.
- Tre ruoli di operatore economico fanno la maggior parte del lavoro. Fabbricante (articoli 13 e 14), importatore (articolo 19), distributore (articolo 20).
- Attenzione alla trappola del fabbricante presunto (articolo 22). Modifichi sostanzialmente un prodotto dopo che è stato immesso sul mercato e Lei diventa il fabbricante per la parte interessata o per l'intero prodotto.
- Gli amministratori di software open source hanno un regime più leggero (articolo 24). Una policy di cibersicurezza documentata e un dovere di cooperazione, non l'intero fascio di obblighi del fabbricante.
- I ruoli multipli si sommano fino al più severo. Quando rientra in più di una definizione, si applica il fascio di obblighi più gravoso.
Quattro punti d'ancoraggio che decidono se il CRA si applichi a Lei e con quale gravità: il test di ambito, le esclusioni, l'asse dei ruoli e la trappola del modificatore.
Il cancello di ambito: il Suo prodotto è coperto?
L'articolo 2, paragrafo 1, definisce l'ambito del CRA in una sola frase:
«Il presente regolamento si applica ai prodotti con elementi digitali messi a disposizione sul mercato, la cui finalità prevista o uso ragionevolmente prevedibile comprenda una connessione dati logica o fisica, diretta o indiretta, a un dispositivo o a una rete.»
L'espressione più conseguente è «connessione dati logica o fisica, diretta o indiretta». L'articolo 3 definisce cosa significhi ciascuna componente. La traduzione in linguaggio chiaro:
| Tipo di connessione | Significato chiaro | Esempio reale |
|---|---|---|
| Logica (articolo 3, punto 8) | Un percorso virtuale di dati realizzato tramite un'interfaccia software. | Una chiamata REST API tra un microservizio e un backend; un topic MQTT tra un dispositivo IoT e un broker. |
| Fisica (articolo 3, punto 9) | Una connessione tramite interfacce elettriche, ottiche o meccaniche, cavi o onde radio. | Un cavo Ethernet; un accoppiamento Bluetooth; un bus industriale RS-485. |
| Indiretta (articolo 3, punto 10) | Una connessione che passa attraverso un sistema più ampio che è esso stesso direttamente connettibile. | Un sensore che parla solo a un hub locale, dove l'hub stesso raggiunge internet. Il sensore rientra nell'ambito tramite l'hub. |
Nella pratica, la clausola della connessione indiretta è la rete più ampia. Un sensore che parla solo a un hub locale rientra nell'ambito se l'hub è esso stesso connettibile. Un accessorio medicale che si accoppia a un telefono via Bluetooth rientra nell'ambito tramite il telefono. Un PLC di fabbrica che raggiunge internet solo tramite un gateway industriale rientra nell'ambito tramite il gateway. I fabbricanti industriali e IoT che presumono «niente Wi-Fi significa niente CRA» perdono questa clausola e perdono integralmente il regolamento.
Un «prodotto con elementi digitali» è poi definito dall'articolo 3, punto 1, come un prodotto software o hardware e le sue soluzioni di trattamento remoto dei dati, compresi i componenti software o hardware immessi sul mercato separatamente. Anche i componenti autonomi spediti sul mercato rientrano nell'ambito.
Esclusioni dell'articolo 2
L'articolo 2, paragrafi da 2 a 8, elenca ciò che è escluso dal CRA:
| Cosa è escluso | Fonte |
|---|---|
| Dispositivi medici e dispositivi medico-diagnostici in vitro | Reg. (UE) 2017/745 (MDR), Reg. (UE) 2017/746 (IVDR) |
| Veicoli a motore | Reg. (UE) 2019/2144 |
| Prodotti dell'aviazione civile | Reg. (UE) 2018/1139 |
| Equipaggiamento marittimo | Dir. 2014/90/UE |
| Pezzi di ricambio che sostituiscono componenti identici realizzati secondo le stesse specifiche | Articolo 2, paragrafo 6 |
| Prodotti sviluppati o modificati esclusivamente per la sicurezza nazionale o la difesa | Articolo 2, paragrafo 7 |
| Informazioni la cui divulgazione sarebbe contraria agli interessi essenziali di sicurezza di uno Stato membro | Articolo 2, paragrafo 8 |
L'articolo 2, paragrafo 5, consente inoltre alla Commissione di limitare o escludere l'applicazione del CRA quando un altro atto dell'Unione copra già gli stessi rischi a un livello equivalente o superiore di protezione.
Per il livello di cibersicurezza del Suo prodotto (predefinito, importante classe I, importante classe II o critico), si vedano classificazione dei prodotti CRA e valutazione della conformità CRA.
L'asse dei ruoli: quale operatore economico è Lei?
L'articolo 3 definisce quattro ruoli rilevanti per gli operatori che immettono prodotti sul mercato dell'UE.
Lei è un fabbricante (articolo 3, punto 13) se sviluppa o ha fatto progettare e fabbricare un prodotto con elementi digitali e lo immette sul mercato con il proprio nome o marchio, a titolo oneroso o gratuito. I fabbricanti portano l'intero fascio di obblighi ai sensi dell'articolo 13: progettazione basata sul rischio, gestione delle vulnerabilità ai sensi dell'allegato I parte II, documentazione tecnica ai sensi dell'allegato VII, dichiarazione di conformità UE, marcatura CE e segnalazione ai sensi dell'articolo 14 di incidenti gravi e vulnerabilità attivamente sfruttate. Vendere con il proprio marchio un prodotto progettato e costruito da un OEM La rende comunque il fabbricante. Si vedano gli obblighi del fabbricante CRA.
Lei è un importatore (articolo 3, punto 16) se è stabilito nell'Unione e immette sul mercato dell'UE un prodotto con elementi digitali che reca il nome o il marchio di una persona stabilita al di fuori dell'Unione. L'articolo 19 richiede agli importatori di verificare, prima di immettere il prodotto, che il fabbricante abbia svolto la valutazione della conformità, redatto la documentazione tecnica, apposto la marcatura CE e fornito la dichiarazione di conformità UE e le informazioni richieste agli utenti. Gli importatori devono conservare la documentazione per dieci anni e cooperare con le autorità di vigilanza del mercato. Si vedano gli obblighi dell'importatore CRA.
Lei è un distributore (articolo 3, punto 17) se si trova nella catena di fornitura, diverso dal fabbricante o dall'importatore, e mette a disposizione un prodotto sul mercato dell'Unione senza incidere sulle sue proprietà. L'articolo 20 richiede ai distributori di verificare, prima di mettere a disposizione il prodotto, che la marcatura CE sia apposta, che la dichiarazione di conformità UE sia consultabile e che il fabbricante abbia fornito le informazioni e le istruzioni richieste. Si vedano gli obblighi del distributore CRA.
Lei è un mandatario (articolo 3, punto 15) se è stabilito nell'Unione e detiene un mandato scritto di un fabbricante non UE per agire per suo conto. Un fabbricante non UE che immette prodotti sul mercato dell'UE deve nominare un mandatario ai sensi dell'articolo 18; il mandatario è il punto di contatto con sede UE per le autorità di vigilanza del mercato. Si veda mandatario CRA.
La trappola del fabbricante presunto: articolo 22
L'articolo 22, paragrafo 1, crea un ruolo di «fabbricante presunto»: chiunque diverso dal fabbricante, dall'importatore o dal distributore effettui una modifica sostanziale di un prodotto e poi metta a disposizione il prodotto modificato sul mercato è considerato il fabbricante per quel prodotto, con annessi gli obblighi pieni degli articoli 13 e 14.
L'articolo 22, paragrafo 2, fissa l'ambito di tali obblighi. Se la modifica incide solo su parte del prodotto, i doveri del fabbricante presunto coprono quella parte. Se la modifica ha un impatto sulla cibersicurezza dell'intero prodotto, essi coprono l'intero prodotto.
Una «modifica sostanziale» è definita dall'articolo 3, punto 30, come una modifica successiva all'immissione sul mercato del prodotto che incida sulla conformità del prodotto ai requisiti essenziali di cibersicurezza dell'allegato I parte I, oppure alteri la finalità prevista per cui il prodotto è stato originariamente valutato. Due schemi attivano questa ipotesi nella pratica: il riflashing o il riconfezionamento di un dispositivo di terzi con firmware personalizzato, e l'integrazione di un prodotto di terzi in un sistema in modo da modificarne la finalità prevista. In ciascun caso il modificatore eredita gli obblighi degli articoli 13 e 14 per la parte interessata, o per l'intero prodotto se la cibersicurezza è toccata nel suo complesso.
L'apposizione del proprio marchio non è articolo 22; è la definizione di fabbricante dell'articolo 3, punto 13. Se vende un prodotto di terzi con il proprio marchio, Lei è il fabbricante fin dall'inizio, non un fabbricante presunto.
Amministratori di software open source: articolo 24
Un amministratore di software open source (articolo 3, punto 14) è una persona giuridica, diversa da un fabbricante, la cui finalità è sostenere sistematicamente lo sviluppo di specifici prodotti open source destinati ad attività commerciali e garantirne la sostenibilità. Nella pratica, gli amministratori sono tipicamente fondazioni o persone giuridiche senza scopo di lucro che sostengono il progetto a monte in sé, non società che spediscono software open source all'interno dei propri prodotti.
I doveri sono più ristretti rispetto al regime del fabbricante ma comunque concreti:
- Documentare una policy di cibersicurezza (articolo 24, paragrafo 1) che favorisca lo sviluppo sicuro del progetto e l'efficace gestione delle vulnerabilità da parte dei suoi sviluppatori, incoraggi la segnalazione volontaria delle vulnerabilità ai sensi dell'articolo 15 e sostenga la condivisione di informazioni all'interno della comunità open source.
- Cooperare con le autorità di vigilanza del mercato (articolo 24, paragrafo 2) su richiesta motivata, anche fornendo la documentazione della policy di cibersicurezza.
Questo regime non si applica alla maggior parte delle società che spediscono software open source all'interno di un prodotto commerciale. Se prende una libreria open source, la integra in un prodotto che commercializza e immette quel prodotto sul mercato dell'UE con il proprio nome, Lei è un fabbricante, non un amministratore.
Albero decisionale: identificare il proprio percorso di conformità
| Se Lei ... | È un ... | Vada a ... |
|---|---|---|
| Progetta o ha fatto fabbricare un prodotto con elementi digitali che immette sul mercato dell'UE con il proprio nome o marchio | Fabbricante (articoli 13 e 14) | Obblighi del fabbricante |
| È stabilito nell'UE e immette sul mercato dell'UE un prodotto che reca il nome o il marchio di una persona non UE | Importatore (articolo 19) | Obblighi dell'importatore |
| Si trova nella catena di fornitura (non fabbricante o importatore) e mette a disposizione un prodotto sul mercato dell'UE senza incidere sulle sue proprietà | Distributore (articolo 20) | Obblighi del distributore |
| Effettua una modifica sostanziale di un prodotto prima di immetterlo sul mercato | Fabbricante presunto (articolo 22) | Si applicano gli obblighi pieni degli articoli 13 e 14 per la parte interessata o per l'intero prodotto |
| È un fabbricante non UE che immette prodotti sul mercato dell'UE | Fabbricante (articoli 13 e 14) e deve nominare un mandatario (articolo 18) | Mandatario |
| È una persona giuridica che sostiene sistematicamente un progetto open source come finalità centrale, non come distribuzione commerciale | Amministratore OSS (articoli 3, punto 14, e 24) | Regime degli amministratori OSS |
Se rientra in più di un ruolo, si applica il fascio di obblighi più severo. Una società che sviluppa un prodotto, lo marchia e lo immette sul mercato dell'UE è un fabbricante a prescindere da quali subappaltatori abbiano svolto la progettazione o la costruzione; una società che importa un prodotto non UE e lo modifica sostanzialmente prima di immetterlo eredita gli obblighi del fabbricante ai sensi dell'articolo 22 in aggiunta al proprio status di importatore.
Domande Frequenti
Il mio prodotto è solo su una rete locale. Il CRA è comunque applicabile?
Probabilmente sì. Il test di ambito del CRA include le connessioni indirette. Un sensore su un hub locale, una periferica Bluetooth che si accoppia a un telefono, un PLC dietro un gateway industriale: ciascuno rientra nell'ambito attraverso il dispositivo cui si connette. L'unico prodotto che sfugge è quello privo di software, di firmware e di qualsiasi via verso un altro dispositivo o rete (articoli 2(1) e 3(10)).
Gestisco un servizio SaaS. Il CRA si applica a me?
In generale no. Il SaaS si colloca sotto la NIS2, non sotto il CRA. Il CRA si applica a un prodotto software o hardware immesso sul mercato. Un servizio puramente cloud-hosted non soddisfa quella definizione. L'eccezione è la soluzione di trattamento remoto dei dati fornita dal fabbricante: un componente cloud necessario al prodotto per svolgere le sue funzioni rientra nell'ambito come parte di quel prodotto. Il SaaS che spedisce anche un client installabile (un'app desktop o mobile, un SDK, un agente on-prem) fa rientrare la parte installabile nell'ambito (articolo 3(1) e (2)).
Rivendiamo hardware non modificato con il nostro marchio. Fabbricante o distributore?
Fabbricante. Chiunque immetta sul mercato un prodotto con il proprio nome o marchio è il fabbricante, a prescindere da chi lo abbia progettato o costruito. Apporre il proprio marchio su un prodotto OEM è il caso da manuale, e Lei eredita l'intero fascio di obblighi degli articoli 13 e 14. Non si tratta della via del fabbricante presunto: Lei è il fabbricante fin dall'inizio (articolo 3(13); non articolo 22).
Usiamo librerie open source nel nostro prodotto. Siamo amministratori ai sensi dell'articolo 24?
No. Gli amministratori sono tipicamente fondazioni o persone giuridiche senza scopo di lucro che sostengono sistematicamente un progetto open source come loro finalità centrale. Una società che prende una libreria open source, la integra in un prodotto commerciale e immette quel prodotto sul mercato dell'UE è un fabbricante per quel prodotto. Il regime più leggero è per il soggetto che sostiene il progetto a monte, non per i consumatori a valle dello stesso (articoli 3(14) e 24; obblighi del fabbricante agli articoli 13 e 14).
Una società non UE vende direttamente ai consumatori UE tramite il nostro marketplace. Chi è responsabile?
Dipende dalla catena. Il fabbricante non UE deve nominare un mandatario; se non lo fa, un importatore stabilito nell'UE (l'operatore che immette il prodotto sul mercato dell'UE) eredita alcuni dei doveri. Un marketplace che si limita a fare da intermediario e non immette prodotti sul mercato non è generalmente l'importatore; se il marketplace possiede l'inserzione o evade l'ordine da stock UE, varca il confine del territorio dell'importatore. Verifichi il flusso effettivo della transazione prima di decidere (articoli 18 e 19).