Il regolamento sulla ciberresilienza (CRA) è la prima legge dell'UE sulla cibersicurezza per i prodotti. Dall'11 dicembre 2027, qualsiasi prodotto che venda nell'UE che esegua software o contenga un chip dovrà essere immesso sul mercato con cibersicurezza integrata, uno SBOM, una dichiarazione di conformità UE e un processo di gestione delle vulnerabilità che operi per l'intero periodo di assistenza. Questa pagina spiega cosa la legge richieda, quando si applichi e cosa accada se la si ignori.
Riepilogo
- Il CRA è in vigore, ma c'è tempo. Il regolamento (UE) 2024/2847 è entrato in vigore il 10 dicembre 2024 e si applica integralmente dall'11 dicembre 2027.
- La segnalazione parte 15 mesi prima. Dall'11 settembre 2026 i fabbricanti devono segnalare incidenti gravi e vulnerabilità attivamente sfruttate a ENISA e al proprio CSIRT.
- La conformità produce quattro artefatti. Uno SBOM, una dichiarazione di conformità UE, un fascicolo tecnico e un processo documentato di gestione delle vulnerabilità. Questo è l'aspetto del "CRA-ready".
- Le sanzioni sono reali. Fino a 15 000 000 EUR o al 2,5% del fatturato mondiale annuo totale, a seconda di quale sia maggiore, per le violazioni più gravi.
- Non è il GDPR e non è la NIS2. Il CRA disciplina la cibersicurezza del prodotto in sé, non i dati personali e non la sicurezza operativa dei soggetti essenziali.
- Gli obblighi dipendono dal Suo ruolo e dalla classe di prodotto. Fabbricante, importatore, distributore o gestore di software open source; classe predefinita, importante I o II, oppure critico. La pagina Chi deve rispettare il CRA chiarisce questo aspetto passo dopo passo.
I quattro numeri che definiscono il CRA: quando si applica, quando parte la segnalazione, la sanzione massima e il periodo di assistenza minimo per gli aggiornamenti di sicurezza.
Cosa disciplina il regolamento sulla ciberresilienza
Il Cyber Resilience Act, o CRA, è il Regolamento (UE) 2024/2847. Introduce requisiti obbligatori di cibersicurezza per i prodotti con elementi digitali immessi sul mercato dell'UE e si applica sia all'hardware sia al software. I fabbricanti devono dimostrare che i propri prodotti sono progettati e costruiti in modo sicuro, li immettono sul mercato corredati di uno SBOM e di una dichiarazione di conformità UE, e gestiscono un processo di trattamento delle vulnerabilità per tutta la durata del periodo di assistenza.
Il CRA è inoltre orizzontale: attraversa le categorie di prodotto invece di collocarsi all'interno di un singolo settore. Quando un prodotto è già coperto da un regime di cibersicurezza settoriale specifico (dispositivi medici, veicoli a motore, aviazione civile, equipaggiamento marittimo o difesa), il CRA ritaglia la sovrapposizione di modo che lo stesso prodotto non sia regolamentato due volte per lo stesso rischio.
In pratica, il CRA fa quattro cose:
- Norme per l'immissione sul mercato dell'UE di prodotti con elementi digitali
- Requisiti essenziali di cibersicurezza per progettazione, sviluppo e produzione
- Gestione delle vulnerabilità per tutto il tempo in cui il prodotto è supportato
- Vigilanza del mercato e applicazione delle norme
Quando si applica il CRA: le date chiave
- Traguardo passato
- Applicazione imminente
- Scadenza finale
- Traguardo ecosistema
| Data | Cosa si applica |
|---|---|
| 10 dicembre 2024 | Il regolamento entra in vigore, 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell'UE |
| 11 giugno 2026 | Si applicano le norme sulla notifica degli organismi di valutazione della conformità |
| 11 settembre 2026 | Inizia la segnalazione. I fabbricanti devono segnalare incidenti gravi e vulnerabilità attivamente sfruttate, anche per i prodotti già sul mercato |
| 11 dicembre 2027 | Il regolamento si applica integralmente a qualsiasi prodotto con elementi digitali immesso sul mercato dell'UE |
I prodotti immessi sul mercato dell'UE prima dell'11 dicembre 2027 non sono soggetti al regolamento integrale a meno che, da tale data, non subiscano una modifica sostanziale. Il dovere di segnalazione, tuttavia, si applica a tutti i prodotti in ambito presenti sul mercato dall'11 settembre 2026 a prescindere da quando siano stati immessi sul mercato.
Come si presenta la conformità CRA
Quattro artefatti insieme rendono un prodotto conforme al CRA. Quali Le spettano dipende dal Suo ruolo e dalla classe di valutazione della conformità del prodotto; vedi Chi deve rispettare il CRA.
| Artefatto | Risposta in linguaggio chiaro |
|---|---|
| SBOM | Un elenco di cosa contiene il prodotto, in CycloneDX o SPDX, mantenuto aggiornato per tutto il periodo di assistenza. |
| Dichiarazione di conformità UE | La dichiarazione firmata che «questo prodotto rispetta le regole», con indicazione della via di conformità utilizzata. Una per prodotto, conservata per almeno dieci anni, o il periodo di supporto se più lungo. |
| Documentazione tecnica | La cartella di evidenze dietro la dichiarazione: valutazione del rischio, informazioni di progettazione e sviluppo, processo di gestione delle vulnerabilità e prova della valutazione di conformità. |
| Processo di gestione delle vulnerabilità | Come trova, corregge e rilascia aggiornamenti di sicurezza per l'intero periodo di assistenza: politica di divulgazione, triage, rimedio e patch gratuite. |
Sanzioni e applicazione del CRA
Le sanzioni del CRA si articolano in tre fasce. Per le imprese, l'importo basato sulla percentuale del fatturato si applica se supera il tetto fisso in EUR.
| Livello | Violazione che lo attiva | Sanzione massima |
|---|---|---|
| Livello 1 | Inosservanza dei requisiti essenziali di cibersicurezza, o degli obblighi del fabbricante e di segnalazione | 15 000 000 EUR o 2,5% del fatturato mondiale annuo totale dell'esercizio precedente, a seconda di quale sia maggiore |
| Livello 2 | Violazioni di altri obblighi degli operatori e di conformità: controlli di importatori e distributori, obblighi di marcatura CE e documentazione, cooperazione con le autorità e regole per gli organismi notificati | 10 000 000 EUR o 2% del fatturato mondiale annuo totale, a seconda di quale sia maggiore |
| Livello 3 | Fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità di vigilanza del mercato | 5 000 000 EUR o 1% del fatturato mondiale annuo totale, a seconda di quale sia maggiore |
Nel fissare la sanzione, le autorità di vigilanza del mercato devono considerare la natura, gravità e durata della violazione, le recidive e le dimensioni dell'operatore, incluso se si tratta di una microimpresa, PMI o start-up. I gestori di software open source sono esonerati dalle sanzioni di livello 2 e di livello 3. Oltre alle sanzioni pecuniarie, le autorità di vigilanza del mercato possono anche ordinare misure correttive, limitare le vendite, richiamare prodotti non conformi e vietarne l'ulteriore disponibilità sul mercato dell'UE.
Per il quadro completo delle fasce, dei richiami e delle evidenze che un'autorità può richiedere, legga sanzioni e applicazione del CRA.
Cosa il CRA non è
Il CRA si colloca accanto a varie altre leggi UE che toccano anch'esse la cibersicurezza. Tre confusioni frequenti:
- Il CRA non è il GDPR. Il GDPR (regolamento 2016/679) tutela i dati personali. Il CRA tutela la cibersicurezza del prodotto. Un prodotto può essere rilevante per il GDPR, per il CRA, per entrambi o per nessuno.
- Il CRA non è la NIS2. La NIS2 (direttiva 2022/2555) disciplina la cibersicurezza operativa dei soggetti essenziali e importanti. Il CRA disciplina la cibersicurezza di progettazione e ciclo di vita dei prodotti che tali soggetti acquistano e utilizzano.
- Il CRA non sostituisce le leggi settoriali. Dispositivi medici (MDR, IVDR), veicoli a motore (reg. 2019/2144), aviazione (reg. 2018/1139) ed equipaggiamento marittimo (dir. 2014/90/UE) mantengono i propri regimi di cibersicurezza; il CRA li ritaglia. Il regolamento Macchine 2023/1230 e la direttiva sulle apparecchiature radio si sovrappongono al CRA in modi ristretti, illustrati nella guida alla sovrapposizione tra CRA e regolamento Macchine.
Domande Frequenti
Quando si applica davvero il CRA al mio prodotto?
Dipende da quando il prodotto è immesso sul mercato dell'UE. Il regolamento integrale si applica a qualsiasi prodotto con elementi digitali immesso sul mercato a partire dall'11 dicembre 2027. I prodotti immessi prima di tale data non rientrano retroattivamente nell'ambito, a meno che non subiscano una modifica sostanziale dopo l'11 dicembre 2027, nel qual caso sono trattati come un nuovo prodotto.
Cosa cambia l'11 settembre 2026, prima dell'entrata in vigore del regime completo?
Partono le segnalazioni. Da tale data i fabbricanti di prodotti in ambito devono segnalare incidenti gravi e vulnerabilità attivamente sfruttate a ENISA e al CSIRT competente, anche per i prodotti già presenti sul mercato. Il resto del regolamento non è ancora applicabile, ma il dovere di segnalazione lo è.
Il CRA è la stessa cosa del GDPR o della NIS2?
No. Il GDPR tutela i dati personali. La NIS2 disciplina la sicurezza operativa dei soggetti essenziali e importanti (operatori dell'energia, ospedali, fornitori di servizi cloud e così via). Il CRA disciplina la cibersicurezza del prodotto in sé: come è progettato, quali vulnerabilità contiene al momento dell'immissione sul mercato e come il fabbricante gestisce le vulnerabilità per il periodo di assistenza. La stessa società può essere soggetta a tutti e tre i regimi contemporaneamente, ma gli obblighi insistono su oggetti diversi: dati, organizzazioni e prodotti.
Il CRA si applica al software libero e open source?
Solo quando viene fornito nel quadro di un'attività commerciale. I progetti open source puramente non commerciali sono fuori ambito. Quando un progetto è monetizzato (supporto a pagamento, distribuzione commerciale, integrazione in un prodotto immesso sul mercato), il CRA si applica. Per i gestori di software open source vige un regime più leggero (fondazioni e soggetti analoghi che curano la manutenzione di progetti open source su base continuativa), che comporta alcuni doveri di governance ma non gli obblighi pieni del fabbricante e li esonera dalle sanzioni di livello 2 e di livello 3.
Cosa accade ai prodotti già sul mercato all'11 dicembre 2027?
Conservano l'accesso al mercato esistente e non sono retroattivamente sottoposti alla valutazione della conformità CRA. Un prodotto preesistente rientra nel regolamento integrale solo se, dopo l'11 dicembre 2027, subisce una modifica sostanziale: in quel caso è trattato come un nuovo prodotto immesso sul mercato. Il dovere di segnalazione si applica a questi prodotti legacy dall'11 settembre 2026, e gli aggiornamenti di sicurezza dovuti in base a un impegno di supporto esistente continuano.
Chi applica il CRA e da dove vengono le sanzioni?
Ciascuno Stato membro designa una o più autorità di vigilanza del mercato, coordinate tramite l'Administrative Cooperation Group (ADCO) e con il supporto di ENISA. Le autorità possono richiedere la documentazione tecnica, esigere misure correttive, restringere o richiamare prodotti non conformi e irrogare sanzioni. La Commissione può agire per i prodotti con impatto a livello UE. ENISA gestisce la piattaforma unica di segnalazione per gli incidenti gravi e le vulnerabilità sfruttate.