Il Cyber Resilience Act – Regolamento (UE) 2024/2847, entrato in vigore il 10 dicembre 2024 – introduce per la prima volta requisiti orizzontali di cybersecurity per tutti i prodotti con elementi digitali, sia hardware che software, lungo l’intero ciclo di vita.
Non si tratta di una normativa settoriale, ma di un quadro che riguarda chiunque sviluppi o immetta sul mercato prodotti digitali nell’Unione Europea. L’obiettivo è chiaro: rendere la sicurezza una caratteristica intrinseca del prodotto, non un elemento aggiuntivo gestito dopo il rilascio.
Obblighi progressivi e responsabilità continua
L’applicazione del regolamento non avviene in un’unica fase. Le principali disposizioni entreranno in vigore dall’11 dicembre 2027, ma alcuni obblighi anticipano già l’impatto sui processi aziendali.
Dal 11 giugno 2026 si applicano le norme sulla notifica degli organismi di valutazione della conformità, mentre dal 11 settembre 2026 entrano in vigore gli obblighi di segnalazione delle vulnerabilità attivamente sfruttate e degli incidenti gravi.
Il cambiamento più rilevante riguarda il modo in cui la sicurezza deve essere gestita. Il regolamento richiede ai produttori di adottare principi di security by design e by default, di garantire aggiornamenti di sicurezza durante il periodo di supporto e di mantenere una documentazione tecnica adeguata.
Un elemento centrale è la gestione delle vulnerabilità: i produttori devono gestire, correggere e comunicare le vulnerabilità senza ritardi indebiti, predisponendo processi strutturati per ricevere segnalazioni e intervenire in modo tempestivo.
Il CRA introduce anche un impatto diretto sul mercato: i prodotti conformi dovranno riportare la marcatura CE, mentre l’applicazione delle norme sarà affidata alle autorità nazionali di vigilanza.
Il punto chiave non è l’aumento degli obblighi, ma il cambio di prospettiva: la cybersecurity diventa parte integrante della responsabilità di prodotto, da progettare, dimostrare e mantenere nel tempo.
