Il regolamento sulla ciberresilienza (CRA) è la prima legge dell'UE sulla cibersicurezza per i prodotti. Dall'11 dicembre 2027, qualsiasi prodotto che venda nell'UE che esegua software o contenga un chip dovrà essere immesso sul mercato con cibersicurezza integrata, uno SBOM, una dichiarazione di conformità UE e un processo di gestione delle vulnerabilità che operi per l'intero periodo di supporto. Questa pagina spiega cosa la legge richieda, quando si applichi e cosa accada se la si ignori.
Riepilogo
- Il CRA è in vigore, ma c'è tempo. Il regolamento (UE) 2024/2847 è entrato in vigore il 10 dicembre 2024 e si applica integralmente dall'11 dicembre 2027 (articolo 71, paragrafo 2).
- La segnalazione parte 15 mesi prima. Dall'11 settembre 2026 i fabbricanti devono segnalare incidenti gravi e vulnerabilità attivamente sfruttate a ENISA e al proprio CSIRT (articolo 14).
- La conformità produce quattro artefatti. Uno SBOM, una dichiarazione di conformità UE, un fascicolo tecnico ai sensi dell'allegato VII e un processo documentato di gestione delle vulnerabilità. Questo è l'aspetto del "CRA-ready".
- Le sanzioni sono reali. Fino a 15 000 000 EUR o al 2,5% del fatturato mondiale annuo totale, a seconda di quale sia maggiore, per le violazioni più gravi (articolo 64, paragrafo 2).
- Non è il GDPR e non è la NIS2. Il CRA disciplina la cibersicurezza del prodotto in sé, non i dati personali e non la sicurezza operativa dei soggetti essenziali.
- Gli obblighi dipendono dal Suo ruolo e dalla classe di prodotto. Fabbricante, importatore, distributore o amministratore di software open source; classe predefinita, importante I o II, oppure critico. La pagina successiva chiarisce questo aspetto.
I quattro numeri che definiscono il CRA: quando si applica, quando parte la segnalazione, la sanzione massima e il periodo di supporto minimo per gli aggiornamenti di sicurezza.
Cosa disciplina il regolamento sulla ciberresilienza
Il CRA è il regolamento (UE) 2024/2847. L'articolo 1 riguarda quattro ambiti:
| Cosa copre il CRA | Dove vive nel regolamento |
|---|---|
| Norme per l'immissione sul mercato dell'UE di prodotti con elementi digitali | Capo I, articoli da 1 a 7 |
| Requisiti essenziali di cibersicurezza per progettazione, sviluppo e produzione | Allegato I, parte I, con gli obblighi del fabbricante all'articolo 13 |
| Gestione delle vulnerabilità per tutto il tempo in cui il prodotto è supportato | Allegato I, parte II, articolo 13, paragrafo 8, e articolo 14 |
| Vigilanza del mercato e applicazione delle norme | Capo VII, articoli da 52 a 66 |
Nella pratica, il CRA introduce un regime di marcatura CE per la cibersicurezza. Un prodotto con elementi digitali (hardware, software o un componente di trattamento remoto dei dati fornito dal fabbricante) non può essere immesso sul mercato dell'UE a meno che il fabbricante non possa dimostrare che soddisfa l'allegato I e che opera un processo di gestione delle vulnerabilità per l'intero periodo di supporto.
Il CRA è orizzontale: attraversa le categorie di prodotto invece di collocarsi all'interno di un singolo settore. Quando un prodotto è già coperto da un regime di cibersicurezza settoriale specifico (dispositivi medici, veicoli a motore, aviazione civile, equipaggiamento marittimo o difesa), l'articolo 2 ritaglia la sovrapposizione di modo che lo stesso prodotto non sia regolamentato due volte per lo stesso rischio.
Quando si applica il CRA: le date chiave
| Data | Cosa si applica | Fonte |
|---|---|---|
| 10 dicembre 2024 | Il regolamento entra in vigore (ventesimo giorno successivo alla pubblicazione nella GU) | Articolo 71, paragrafo 1 |
| 11 giugno 2026 | Si applica il capo IV (articoli da 35 a 51) sulla notifica degli organismi di valutazione della conformità | Articolo 71, paragrafo 2 |
| 11 settembre 2026 | Si applicano gli obblighi di segnalazione dell'articolo 14 per incidenti gravi e vulnerabilità attivamente sfruttate, anche per i prodotti già sul mercato | Articolo 71, paragrafo 2, e articolo 69, paragrafo 3 |
| 11 dicembre 2027 | Il regolamento si applica integralmente a tutti i prodotti con elementi digitali immessi sul mercato dell'UE da tale data | Articolo 71, paragrafo 2 |
I prodotti immessi sul mercato dell'UE prima dell'11 dicembre 2027 non sono soggetti al regolamento integrale a meno che, da tale data, non subiscano una modifica sostanziale (articolo 69, paragrafo 2). Il dovere di segnalazione dell'articolo 14, tuttavia, si applica a tutti i prodotti in ambito presenti sul mercato dall'11 settembre 2026 a prescindere da quando siano stati immessi sul mercato (articolo 69, paragrafo 3).
Come si presenta la conformità CRA
Quattro artefatti insieme rendono un prodotto conforme al CRA. Quali Le spettano dipende dal Suo ruolo e dalla classe di valutazione della conformità del prodotto; vedi Chi deve rispettare il CRA.
| Artefatto | Risposta in linguaggio chiaro | Dove è richiesto |
|---|---|---|
| SBOM (dettagli) | Un elenco di cosa contiene il prodotto, in CycloneDX o SPDX, mantenuto aggiornato per tutto il periodo di supporto. | Allegato I, parte I |
| Dichiarazione di conformità UE (dettagli) | La dichiarazione firmata che «questo prodotto rispetta le regole», con indicazione della via di conformità utilizzata. Una per prodotto, conservata per dieci anni. | Articolo 28, allegato V |
| Documentazione tecnica dell'allegato VII (dettagli) | La cartella di evidenze dietro la dichiarazione: valutazione del rischio, informazioni di progettazione e sviluppo, processo di gestione delle vulnerabilità e prova della valutazione di conformità. | Allegato VII |
| Processo di gestione delle vulnerabilità (dettagli) | Come trova, corregge e rilascia aggiornamenti di sicurezza per l'intero periodo di supporto: politica di divulgazione, triage, rimedio e patch gratuite. | Allegato I, parte II |
Sanzioni ai sensi dell'articolo 64
L'articolo 64 fissa tre fasce di sanzione. Si applica il maggiore tra il tetto assoluto e la percentuale del fatturato mondiale.
| Livello | Violazione che lo attiva | Sanzione massima |
|---|---|---|
| Livello 1 | Inosservanza dei requisiti essenziali di cibersicurezza dell'allegato I, o degli obblighi degli articoli 13 e 14 | 15 000 000 EUR o 2,5% del fatturato mondiale annuo totale dell'esercizio precedente, a seconda di quale sia maggiore |
| Livello 2 | Inosservanza degli obblighi degli articoli da 18 a 23, 28, 30, paragrafi da 1 a 4, 31, paragrafi da 1 a 4, 32, paragrafi da 1 a 3, 33, paragrafo 5, 39, 41, 47, 49 e 53 | 10 000 000 EUR o 2% del fatturato mondiale annuo totale, a seconda di quale sia maggiore |
| Livello 3 | Fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità di vigilanza del mercato | 5 000 000 EUR o 1% del fatturato mondiale annuo totale, a seconda di quale sia maggiore |
Le autorità di vigilanza del mercato tengono conto della natura, gravità e durata della violazione, delle recidive e delle dimensioni dell'operatore, e applicano controlli meno severi a microimprese, piccole imprese e start-up (articolo 64, paragrafi 5 e 10). Gli amministratori di software open source sono esonerati dalle sanzioni di livello 2 e di livello 3 (articolo 64, paragrafo 10, lettera b)). Oltre alle sanzioni pecuniarie, le autorità di vigilanza del mercato possono anche ordinare misure correttive, limitare le vendite, richiamare prodotti non conformi e vietarne l'ulteriore disponibilità sul mercato dell'UE (articolo 54).
Cosa il CRA non è
Il CRA si colloca accanto a varie altre leggi UE che toccano anch'esse la cibersicurezza. Tre confusioni frequenti:
- Il CRA non è il GDPR. Il GDPR (regolamento 2016/679) tutela i dati personali. Il CRA tutela la cibersicurezza del prodotto. Un prodotto può essere rilevante per il GDPR, per il CRA, per entrambi o per nessuno.
- Il CRA non è la NIS2. La NIS2 (direttiva 2022/2555) disciplina la cibersicurezza operativa dei soggetti essenziali e importanti. Il CRA disciplina la cibersicurezza di progettazione e ciclo di vita dei prodotti che tali soggetti acquistano e utilizzano.
- Il CRA non sostituisce le leggi settoriali. Dispositivi medici (MDR, IVDR), veicoli a motore (reg. 2018/858), aviazione (reg. 2018/1139) ed equipaggiamento marittimo (dir. 2014/90/UE) mantengono i propri regimi di cibersicurezza; il CRA li ritaglia all'articolo 2. Il regolamento Macchine 2023/1230 e la direttiva sulle apparecchiature radio si sovrappongono al CRA in modi ristretti, illustrati nella guida alla sovrapposizione tra CRA e regolamento Macchine.
Domande Frequenti
Quando si applica davvero il CRA al mio prodotto?
Dipende da quando il prodotto è immesso sul mercato dell'UE. Il regolamento integrale si applica a qualsiasi prodotto con elementi digitali immesso sul mercato a partire dall'11 dicembre 2027. I prodotti immessi prima di tale data non rientrano retroattivamente nell'ambito, a meno che non subiscano una modifica sostanziale dopo l'11 dicembre 2027, nel qual caso sono trattati come un nuovo prodotto (articoli 71, paragrafo 2, e 69, paragrafo 2).
Cosa cambia l'11 settembre 2026, prima dell'entrata in vigore del regime completo?
Partono le segnalazioni previste dall'articolo 14. Da tale data i fabbricanti di prodotti in ambito devono segnalare incidenti gravi e vulnerabilità attivamente sfruttate a ENISA e al CSIRT competente, anche per i prodotti già presenti sul mercato. Il resto del regolamento non è ancora applicabile, ma il dovere di segnalazione lo è (articolo 69, paragrafo 3).
Il CRA è la stessa cosa del GDPR o della NIS2?
No. Il GDPR tutela i dati personali. La NIS2 disciplina la sicurezza operativa dei soggetti essenziali e importanti (operatori dell'energia, ospedali, fornitori di servizi cloud e così via). Il CRA disciplina la cibersicurezza del prodotto in sé: come è progettato, quali vulnerabilità contiene al momento dell'immissione sul mercato e come il fabbricante gestisce le vulnerabilità per il periodo di supporto. La stessa società può essere soggetta a tutti e tre i regimi contemporaneamente, ma gli obblighi insistono su oggetti diversi: dati, organizzazioni e prodotti.
Il CRA si applica al software libero e open source?
Solo quando viene fornito nel quadro di un'attività commerciale. I progetti open source puramente non commerciali sono fuori ambito. Quando un progetto è monetizzato (supporto a pagamento, distribuzione commerciale, integrazione in un prodotto immesso sul mercato), il CRA si applica. L'articolo 24 crea un regime più leggero per gli amministratori di software open source (fondazioni e soggetti analoghi che curano la manutenzione di progetti open source su base continuativa), che comporta alcuni doveri di governance ma non gli obblighi pieni del fabbricante (articoli 2, paragrafo 2, e 24; esenzione dalle sanzioni all'articolo 64, paragrafo 10, lettera b)).
Cosa accade ai prodotti già sul mercato all'11 dicembre 2027?
Conservano l'accesso al mercato esistente e non sono retroattivamente sottoposti alla valutazione della conformità CRA. Un prodotto preesistente rientra nel regolamento integrale solo se, dopo l'11 dicembre 2027, subisce una modifica sostanziale: in quel caso è trattato come un nuovo prodotto immesso sul mercato. Il dovere di segnalazione si applica a questi prodotti legacy dall'11 settembre 2026, e gli aggiornamenti di sicurezza dovuti in base a un impegno di supporto esistente continuano (articolo 69, paragrafo 2; dovere di segnalazione all'articolo 69, paragrafo 3).
Chi applica il CRA e da dove vengono le sanzioni?
Ciascuno Stato membro designa una o più autorità di vigilanza del mercato, coordinate tramite l'Administrative Cooperation Group (ADCO) e con il supporto di ENISA. Le autorità possono richiedere la documentazione tecnica, esigere misure correttive, restringere o richiamare prodotti non conformi e irrogare le sanzioni dell'articolo 64. La Commissione può agire per i prodotti con impatto a livello UE. ENISA gestisce la piattaforma unica di segnalazione per gli incidenti e le vulnerabilità ai sensi dell'articolo 14.