Regolamento (UE) 2024/2847 – Cyber Resilience Act (CRA)

Il Regolamento (UE) 2024/2847 – Cyber Resilience Act (CRA) – è un nuovo regolamento dell’Unione che introduce requisiti orizzontali di cybersicurezza per i “prodotti con elementi digitali”. È stato adottato nell’ottobre 2024 e diventerà direttamente applicabile in tutti i Paesi UE, dopo i periodi transitori, a partire dalla fine del 2027. Per un manager del settore industriale – che si occupi di manutenzione, acquisti o compliance – è utile capire fin da subito quali prodotti rientrano nel campo di applicazione del regolamento, quali nuovi obblighi introduce per produttori, importatori e distributori e come preparare l’azienda ai cambiamenti in arrivo. Di seguito presentiamo le informazioni chiave in un’ottica pratica, senza gergo legale ma con precisione tecnica, per facilitare l’adozione delle opportune azioni preparatorie.

Campo di applicazione: quali prodotti copre il Cyber Resilience Act?

Il Regolamento (UE) 2024/2847 riguarda tutti i “prodotti con elementi digitali” messi a disposizione sul mercato UE il cui uso previsto comprende la connessione a un altro dispositivo o a una rete (direttamente o indirettamente, fisicamente o logicamente). In altre parole, la maggior parte dei dispositivi o dei software in grado di comunicare con altri sistemi rientra nei nuovi requisiti. In pratica si tratta, tra l’altro, di dispositivi IoT ed elettronica di consumo (ad es. smartwatch, telefoni cellulari, elettrodomestici/TV intelligenti, baby monitor), dispositivi indossabili (ad es. fitness tracker), apparecchiature industriali con funzioni di rete (sensori e macchine industriali connesse alla rete) e una vasta gamma di software (sistemi operativi, app mobili e desktop, software aziendale ecc.). È importante notare che anche il software venduto separatamente (come prodotto) rientra nel CRA, così come i servizi remoti di trattamento dei dati che costituiscono parte integrante del prodotto: ad esempio, un servizio cloud che controlla un dispositivo smart home sarà considerato parte del prodotto e dovrà soddisfare i requisiti di sicurezza.

Il regolamento ha un campo di applicazione molto ampio, ma prevede anche esclusioni per alcune categorie di prodotti già disciplinate da normative settoriali specifiche. Il CRA non si applica, tra l’altro, a: dispositivi medici (coperti dai regolamenti MDR 2017/745 e 2017/746), veicoli e loro equipaggiamenti (coperti, tra gli altri, dal regolamento 2019/2144 in materia di omologazione dei veicoli), aeromobili (regolamento 2018/1139 relativo all’aviazione) né a apparecchiature marittime (direttiva 2014/90/UE). Questi prodotti sono soggetti a regole dedicate, spesso già comprensive di requisiti adeguati al settore, e per questo sono stati esclusi dall’ambito del CRA. Inoltre, le nuove disposizioni non riguardano hardware e software esclusivamente militari o destinati alla sicurezza nazionale (nonché al trattamento di informazioni classificate). Sono esclusi anche i pezzi di ricambio forniti come sostituzione di componenti identici: se il prodotto originale è stato immesso legalmente sul mercato, il componente identico non deve soddisfare separatamente il CRA.

È utile evidenziare che il cosiddetto software libero e open source non sarà soggetto al CRA, purché non venga messo a disposizione nell’ambito di un’attività commerciale. Se quindi un software viene sviluppato e pubblicato gratuitamente, al di fuori del mercato, i suoi autori (ad es. la comunità open source) non sono considerati “produttori” ai sensi del regolamento e non sono tenuti agli obblighi descritti di seguito. Tuttavia, se un’azienda utilizza un componente open source in un proprio prodotto commerciale, la responsabilità di soddisfare i requisiti di sicurezza ricade sul produttore del prodotto finale. In sintesi, il CRA si rivolge soprattutto ai prodotti digitali realizzati e venduti professionalmente, destinati agli utenti finali nel mercato interno dell’UE.

Perché è stato introdotto il CRA? Nuove minacce, vuoto normativo e catena di fornitura

L’Unione Europea ha riconosciuto l’urgenza di rafforzare la cyber resilienza dei prodotti digitali di fronte a minacce in crescita. Negli ultimi anni il numero e la varietà di dispositivi connessi a Internet sono aumentati in modo esplosivo: dai sistemi IoT industriali nelle fabbriche fino ai dispositivi domestici intelligenti. Purtroppo il livello di cybersicurezza di questi prodotti è spesso basso, come dimostrano vulnerabilità diffuse e un rilascio di aggiornamenti di sicurezza insufficiente e non uniforme. Finora molti produttori non hanno dato priorità alla sicurezza lungo l’intero ciclo di vita del prodotto, e gli utenti spesso non hanno consapevolezza né informazioni su quali dispositivi siano sicuri, per quanto tempo riceveranno aggiornamenti e come utilizzarli in modo sicuro. Questa combinazione di fattori porta a un rischio più elevato di attacchi informatici.

Il Cyber Resilience Act mira a colmare un vuoto normativo – finora mancavano requisiti uniformi e obbligatori sulla sicurezza digitale dei prodotti a livello UE. Esistevano sì iniziative come le certificazioni di sicurezza ICT (ai sensi del Cybersecurity Act 2019/881) o gli obblighi della direttiva NIS2 per i settori critici, ma nessuna norma imponeva direttamente l’obbligo di “cybersecurity by design” per tutti i dispositivi e il software immessi sul mercato. Il CRA introduce proprio questo quadro universale: impone che hardware e software siano progettati, realizzati e mantenuti tenendo conto di misure di protezione solide lungo l’intero ciclo di vita. L’obiettivo è che arrivino sul mercato prodotti con meno vulnerabilità e che i produttori garantiscano la rapida eliminazione delle nuove minacce (ad es. tramite patch di sicurezza), invece di lasciare gli utenti con dispositivi pieni di falle.

Il tema della resilienza informatica ha anche una dimensione di filiera e transfrontaliera. Nell’era della connessione generalizzata, un incidente in un dispositivo apparentemente irrilevante può diventare il vettore di un attacco contro l’intera organizzazione o contro i partner commerciali. Un singolo sensore IoT infetto in un reparto produttivo può aprire un varco nella rete aziendale; una vulnerabilità in un’applicazione diffusa può essere sfruttata a livello globale nel giro di pochi minuti. Come evidenziato nella motivazione del regolamento, un incidente cyber in un prodotto può propagarsi lungo la catena di fornitura oltre i confini di un singolo Paese in pochi minuti. I costi di questi attacchi non ricadono solo su produttori e utenti, ma sull’intera società: interruzioni delle infrastrutture critiche, perdite finanziarie, compromissioni della sicurezza pubblica. Regole comuni e obbligatorie in tutta l’UE devono innalzare il livello complessivo di protezione e prevenire situazioni in cui l’anello più debole (un prodotto non resiliente) mette a rischio tutti.

Un’ulteriore motivazione è l’aumento della fiducia nei prodotti digitali e la parità delle condizioni di concorrenza. Oggi i produttori che investono nella sicurezza by design spesso perdono sul prezzo rispetto a chi ignora questi aspetti. Il CRA punta a fare in modo che la cybersecurity diventi uno standard di qualità: tutti dovranno rispettare requisiti minimi, con un livellamento delle condizioni e una riduzione dei costi sociali degli attacchi (che oggi vengono scaricati sulle vittime). In questo modo si intende aumentare la resilienza dell’intero mercato UE e la fiducia dei clienti verso i dispositivi moderni con componenti digitali. L’atto si inserisce inoltre in una strategia UE più ampia (insieme a GDPR, NIS2, DORA ecc.) volta a rafforzare la cybersicurezza di servizi e prodotti come fondamento dell’economia digitale.

Regolamento (UE) 2024/2847: Principali obblighi per produttori, importatori e distributori

Il nuovo regolamento introduce una serie di obblighi specifici per gli operatori economici coinvolti nella catena di fornitura di prodotti con elementi digitali. L’ambito di responsabilità dipende dal ruolo: il carico maggiore ricade sui produttori, ma anche importatori e distributori hanno compiti rilevanti. Di seguito riepiloghiamo gli obblighi chiave dal punto di vista di un manager che cura la conformità dei prodotti aziendali alla normativa.

Obblighi dei produttori

Il produttore (così come il soggetto che immette un prodotto con il proprio marchio o lo modifica – anch’esso è considerato produttore) ha la responsabilità principale di garantire il rispetto dei requisiti del CRA. Tra i suoi compiti più importanti rientrano:

• Garantire la conformità del prodotto ai requisiti essenziali di cibersicurezza definiti nell’allegato I del regolamento. In pratica significa che il prodotto, già in fase di progettazione e sviluppo, deve incorporare caratteristiche che assicurino un livello adeguato di sicurezza digitale, proporzionato al rischio associato a quello specifico prodotto. Il regolamento elenca una serie di requisiti tecnici puntuali – tra cui assenza di vulnerabilità note al momento dell’immissione sul mercato, uso di configurazioni predefinite sicure (ad es. evitare password di default), cifratura dove appropriato, protezioni contro accessi non autorizzati, tutela dei dati personali dell’utente, resistenza ad attacchi che compromettano le funzioni (ad es. attacchi DoS) e possibilità di eseguire un ripristino alle impostazioni di fabbrica. Il prodotto dovrebbe essere progettato in modo da ridurre al minimo la propria “superficie di attacco” – ad es. evitando porte o servizi inutili lasciati aperti, che aumentano l’esposizione alle minacce cyber. Questi requisiti essenziali (parte I dell’allegato I CRA) costituiscono una checklist delle caratteristiche di sicurezza che ogni prodotto digitale deve rispettare.
• Istituzione di un processo di gestione delle vulnerabilità e degli incidenti – il produttore deve prendersi cura attivamente della sicurezza del prodotto dopo la vendita, per l’intero periodo di supporto dichiarato. Nella parte II dell’allegato I sono definiti i requisiti del processo di vulnerability handling: test e monitoraggio regolari per individuare nuove falle, gestione delle segnalazioni di vulnerabilità (ad es. da ricercatori o utenti) e correzione/patching tempestivi delle vulnerabilità rilevate tramite la distribuzione di aggiornamenti di sicurezza. Il produttore deve adottare una politica di divulgazione coordinata delle vulnerabilità (coordinated disclosure), cioè predisporre un punto di contatto dedicato a cui segnalare i problemi e procedure su come gestire tali segnalazioni. È importante che gli aggiornamenti eliminino le vulnerabilità senza indugio e siano distribuiti in modo sicuro (ad es. firmati digitalmente). In particolare, il produttore è tenuto a garantire supporto e aggiornamenti di sicurezza per un periodo corrispondente al ciclo di vita previsto del prodotto, minimo 5 anni (salvo che la natura del prodotto giustifichi un periodo più breve). In altre parole, se il nostro dispositivo è destinato tipicamente a essere utilizzato dai clienti per ~5+ anni, non possiamo interrompere le patch dopo uno o due anni: sarà richiesto un supporto post-vendita pluriennale, affinché l’utente non rimanga con un dispositivo vulnerabile.
• Esecuzione della valutazione del rischio di cibersicurezza – prima di immettere sul mercato un prodotto con elementi digitali, il produttore deve svolgere un’analisi sistematica dei rischi legati alle minacce cyber per quel prodotto. La valutazione del rischio dovrebbe far parte del processo di progettazione (security by design) e considerare, tra l’altro, l’uso previsto del prodotto, i possibili usi impropri, le condizioni d’impiego (ambiente IT, rete, tipologia di dati trattati dal dispositivo). Sulla base di tale analisi occorre pianificare misure di protezione adeguate e integrarle nella progettazione. La documentazione della valutazione del rischio in ambito cyber diventa parte della documentazione tecnica del prodotto e deve essere aggiornata se emergono nuove minacce. Il produttore ha l’obbligo di conservare la documentazione per almeno 10 anni dall’immissione del prodotto sul mercato (e, se il periodo di supporto dichiarato supera i 10 anni, per un periodo corrispondentemente più lungo). La valutazione del rischio non è un’attività una tantum: deve essere verificata e aggiornata quando necessario, soprattutto quando vengono individuate nuove vulnerabilità o cambia il contesto d’uso del prodotto.
• Supervisione dei componenti esterni – il produttore deve adottare la dovuta diligenza nell’uso di componenti di terze parti, incluse librerie open source. Occorre garantire che i componenti esterni (software e hardware) non compromettano la cibersicurezza dell’intero prodotto. In pratica ciò comporta la necessità di controllare versioni e aggiornamenti delle librerie utilizzate, monitorare le vulnerabilità note (ad es. pubblicate in CVE) relative a tali componenti e aggiornarli/sostituirli quando emergono falle. Se nel prodotto è stato utilizzato software open source e viene rilevata una vulnerabilità, il produttore ha l’obbligo di informare il soggetto responsabile della manutenzione di quell’open source (ad es. il progetto open source) del problema riscontrato e, se risolve la vulnerabilità autonomamente, condividere con la community le informazioni sulla correzione applicata. L’obiettivo è coinvolgere i produttori nell’ecosistema del patching coordinato delle vulnerabilità anche nei componenti open source.
• Valutazione formale della conformità e documentazione – prima che il prodotto arrivi sul mercato, il produttore deve eseguire la procedura di valutazione della conformità ai requisiti CRA e predisporre la documentazione che attesti il rispetto dei requisiti. Per la maggior parte dei prodotti “ordinari” (non rientranti nelle categorie a rischio elevato) sarà sufficiente una verifica interna (valutazione interna) e la preparazione della documentazione tecnica che includa, tra l’altro, la descrizione del prodotto, i risultati dell’analisi del rischio, l’elenco delle misure di sicurezza adottate, le procedure di test e aggiornamento, ecc. Successivamente il produttore rilascia la dichiarazione di conformità UE, con cui attesta che il prodotto soddisfa tutti i requisiti CRA applicabili, e appone sul prodotto la marcatura CE. Attenzione: se un determinato prodotto è classificato come “importante” o “critico” dal punto di vista della cibersicurezza (Annex III e IV CRA), possono applicarsi procedure di valutazione della conformità più rigorose. Per i prodotti importanti (importanti) di classe II e per quelli critici sarà richiesta la certificazione di terza parte, ossia prove e certificato rilasciati da una organismo notificato (ad es. un laboratorio accreditato). Per i prodotti importanti di classe I è ammessa l’autocertificazione solo se esistono norme armonizzate adeguate di cui il produttore si avvale – in caso contrario è necessario anche il coinvolgimento di una terza parte. Il manager dovrebbe quindi stabilire a quale categoria appartiene il prodotto dell’azienda e se sarà necessario pianificare una certificazione esterna (con possibili impatti sulla tempistica di immissione sul mercato).
• Monitoraggio della sicurezza post-immissione sul mercato e reporting – una novità introdotta dal CRA è l’obbligo di segnalare i problemi di sicurezza gravi alle autorità competenti. Il produttore deve notificare ogni vulnerabilità del proprio prodotto attivamente sfruttata e ogni incidente grave che incida sulla sicurezza del prodotto al CSIRT nazionale (team di risposta) designato come coordinatore e all’agenzia ENISA. Il tempo per la segnalazione è molto breve: 24 ore dalla rilevazione della vulnerabilità/dell’evento (in modo analogo ai requisiti del GDPR o di NIS2). Le segnalazioni avverranno tramite una piattaforma europea unica gestita da ENISA. L’obbligo di reporting entrerà in vigore prima del resto dei requisiti (settembre 2026 – vedi le scadenze sotto) e da quel momento riguarderà tutti i prodotti sul mercato. Per questo il produttore deve disporre di procedure interne in grado di rilevare un incidente/una vulnerabilità e trasmettere entro un giorno le informazioni richieste dal regolamento. L’obiettivo è fornire alle autorità di vigilanza una visione d’insieme delle minacce emergenti e coordinare la risposta (ad es. avvisare altri utenti quando un determinato prodotto presenta una falla critica).

Gli obblighi sopra descritti impongono spesso cambiamenti organizzativi significativi: dall’adozione di un Secure SDLC nel reparto R&D, a nuove policy per la manutenzione e il supporto dei prodotti, fino a documentazione aggiuntiva e formazione del personale. In cambio, l’azienda ottiene una maggiore certezza che il proprio prodotto non diventi la causa di un grave incidente informatico, oltre alla conformità alla normativa in arrivo, condizione che consentirà di continuare a vendere sul mercato UE.

Regolamento (UE) 2024/2847: Obblighi di importatori e distributori

I soggetti che importano prodotti con elementi digitali da Paesi extra UE (importatori) o li rivendono successivamente sul mercato dell’Unione (distributori) devono anch’essi garantire la conformità di tali prodotti al CRA. Il loro ruolo consiste principalmente nella verifica e nella gestione di eventuali non conformità.

L’importatore, prima di immettere un prodotto sul mercato UE, deve verificare che il produttore abbia adempiuto ai propri obblighi — in altre parole, che il prodotto rechi la marcatura CE e la dichiarazione di conformità UE, che siano incluse le istruzioni e le informazioni di sicurezza e che il produttore abbia predisposto la documentazione tecnica richiesta. L’importatore non è tenuto a testare direttamente la cybersicurezza del prodotto, ma se ha dubbi fondati sulla conformità ai requisiti (ad es. assenza della marcatura CE, mancanza di informazioni sul periodo di supporto, ecc.), non dovrebbe mettere tale prodotto a disposizione sul mercato finché non si assicura che la non conformità sia stata eliminata. Qualora accerti che il prodotto non soddisfa i requisiti del CRA, l’importatore è tenuto a informare le autorità di vigilanza e a intraprendere azioni correttive — assicurare il ripristino della conformità e, se ciò non è possibile, ritirarlo dalla distribuzione o dal mercato. Gli importatori, come i produttori, devono conservare una copia della dichiarazione di conformità e garantire che la documentazione tecnica sia disponibile alle autorità su richiesta. Devono inoltre apporre sul prodotto (o sull’imballaggio) i propri dati di contatto e assicurare che il prodotto sia correttamente marcato. In pratica, il ruolo dell’importatore si riduce a una “porta di sicurezza”: deve impedire la distribuzione nell’UE di prodotti privi dei “documenti” che attestano il rispetto del CRA.

I distributori (grossisti nazionali, rivenditori al dettaglio, ecc.) si trovano in una situazione simile a quella degli importatori, con la differenza che verificano il rispetto dei requisiti sia da parte del produttore sia, se del caso, dell’importatore quando il prodotto proviene da Paesi extra UE. Prima della rivendita, il distributore dovrebbe quindi controllare che il bene riporti la marcatura CE, che siano allegate la dichiarazione o le istruzioni richieste dalla legge e che non siano stati pubblicati comunicati che indichino che quel modello non è conforme ai requisiti di sicurezza. In caso di dubbi, ha altresì l’obbligo di sospendere la vendita fino a chiarimento. Se ritiene (o viene informato) che il prodotto rappresenti un rischio grave o non soddisfi i requisiti del CRA, dovrebbe informarne il produttore o l’importatore e le autorità di vigilanza, collaborando alle azioni correttive (ad es. nelle campagne di richiamo dal mercato).

Dal punto di vista di un responsabile acquisti, queste regole comportano la necessità di maggiore attenzione nella selezione dei fornitori di hardware/software. Occorre assicurarsi che i partner extra UE forniscano prodotti già conformi al CRA, altrimenti la nostra impresa (in qualità di importatore) risponderà delle carenze. Per il distributore (ad es. un’azienda che commercializza automazione) si aggiunge l’obbligo di monitorare che i prodotti dei diversi marchi presenti in catalogo dispongano di dichiarazioni di conformità aggiornate e rispettino i requisiti: nella pratica, ciò richiederà una stretta collaborazione con i produttori e una reazione rapida a qualsiasi alert di sicurezza relativo ai dispositivi venduti.

Vale la pena notare: se l’importatore o il distributore immette un prodotto con il proprio logo/marchio oppure modifica il prodotto (ad es. cambiandone funzionalità, software o configurazione in modo rilevante per la cybersicurezza), in base al regolamento diventa a sua volta il produttore di quel prodotto. In tal caso deve assumere tutti gli obblighi del produttore (effettuare la valutazione di conformità, rilasciare la propria dichiarazione, ecc.). Questa situazione riguarda, ad esempio, le aziende che integrano sistemi e vendono dispositivi OEM con il proprio brand: devono prestare molta attenzione, perché formalmente rispondono della conformità esattamente come il produttore originario.

Termini di entrata in vigore e periodi transitori

Il Regolamento (UE) 2024/2847 è stato pubblicato nella Gazzetta ufficiale il 20 novembre 2024. L’entrata in vigore è avvenuta il 10 dicembre 2024 (20 giorni dalla pubblicazione), tuttavia gli obblighi principali si applicheranno solo dopo 36 mesi da tale data. Il legislatore ha infatti previsto un lungo periodo transitorio per dare al settore il tempo di adeguarsi. Ecco le date chiave:

• 11 settembre 2026 – da questa data entreranno in vigore gli obblighi di segnalazione delle vulnerabilità e degli incidenti. Il produttore di qualsiasi prodotto con elementi digitali presente sul mercato UE dovrà notificare alle autorità competenti tutte le vulnerabilità attivamente sfruttate e i gravi incidenti di sicurezza che riguardano il proprio prodotto. Questa data cade 21 mesi dopo l’entrata in vigore del CRA e significa che già nel 2026 le aziende devono disporre di procedure per il monitoraggio della sicurezza e per la segnalazione dei problemi. Non dipende da quando il prodotto è stato immesso sul mercato: si applica anche ai prodotti venduti prima del 2026 e ancora in uso. In altre parole, anche se un dispositivo è stato immesso sul mercato, ad esempio, nel 2025 (prima dell’applicazione del regolamento) e a settembre 2026 viene resa nota una vulnerabilità critica, il produttore ha l’obbligo di segnalarla e correggerla.
• 11 giugno 2026 – da questa data dovrebbero applicarsi le disposizioni relative a organismi notificati e organismi di valutazione della conformità. Entro la metà del 2026 gli Stati membri predisporranno un sistema per designare e notificare gli organismi autorizzati a certificare i prodotti (importanti e critici) rispetto al rispetto dei requisiti CRA. Per i produttori è fondamentale che nella seconda metà del 2026 sia già disponibile l’infrastruttura per svolgere le prove e le certificazioni richieste.
• 11 dicembre 2027 – piena applicazione del regolamento CRA. Da questa data nessun prodotto con elementi digitali che non soddisfi i requisiti del CRA potrà essere legalmente immesso sul mercato nell’UE. Questo termine (3 anni dall’entrata in vigore) è la data limite per adeguare prodotti e processi. Dopo l’11.12.2027 tutti i nuovi dispositivi e software venduti nell’UE devono essere progettati, prodotti e mantenuti in conformità al CRA – in caso contrario l’azienda si espone a sanzioni rilevanti. È importante sottolineare che le norme prevedono una certa agevolazione per i prodotti già presenti sul mercato: se un determinato prodotto (uno specifico esemplare) è stato già messo a disposizione sul mercato prima dell’11 dicembre 2027, potrà continuare a circolare senza dover rispettare il CRA. Tuttavia, ciò vale solo per i singoli esemplari: il tipo di prodotto progettato prima del CRA non beneficia automaticamente di un’esclusione. Ogni nuovo lotto, ogni nuovo esemplare immesso in vendita dopo tale data deve essere conforme al CRA, salvo che si trovasse già fisicamente in circolazione in precedenza (il che, nella pratica, significa ad esempio la giacenza presso un distributore che ha acquistato la merce prima della scadenza). Non è quindi possibile aggirare le regole producendo “in anticipo” e vendendo dopo il 2027: ogni prodotto, al momento dell’immissione sul mercato, è soggetto ai requisiti vigenti. Fanno eccezione anche i certificati UE di esame del tipo ancora validi, rilasciati prima di tale data sulla base di altre normative: resteranno validi fino a giugno 2028, salvo che sia stato indicato un termine più breve.

Per le aziende, la conclusione pratica è che la vera scadenza è la fine del 2027. Dal 2028 non sarà possibile vendere nell’UE dispositivi che non soddisfano i requisiti del CRA. Tuttavia, già nel 2026 bisogna essere pronti ai nuovi obblighi di segnalazione degli incidenti. Il tempo rimanente va utilizzato per analizzare e adeguare i prodotti. Anche se 3 anni sembrano molti, i cambiamenti potrebbero rivelarsi profondi: meglio avviare i lavori con anticipo. Di seguito presentiamo una checklist delle attività che un manager dovrebbe considerare per preparare la propria organizzazione a soddisfare i requisiti dell’atto sulla cyberresilienza.

Regolamento (UE) 2024/2847: Come prepararsi al 2026/2027 – checklist per il manager

• Identifica i prodotti soggetti al CRA – Redigi un elenco dei prodotti dell’azienda che rientrano nella categoria dei “prodotti con elementi digitali” (hardware o software che si connettono alla rete/ad altri dispositivi). Per ciascuno, stabilisci se può essere considerato importante o critico ai sensi del regolamento (Annex III/IV) – ad es. se svolge funzioni di sicurezza rilevanti o se una sua compromissione può causare un danno su larga scala. Da questa classificazione dipende, tra l’altro, la procedura di valutazione della conformità richiesta (e se sarà necessario il coinvolgimento di una terza parte).
• Prendi confidenza con requisiti e norme – Analizza i requisiti essenziali di cybersicurezza dell’allegato I del CRA e rapportali ai tuoi prodotti. Verifica se esistono già norme armonizzate o standard di settore che possano facilitare il rispetto dei requisiti (ad es. le norme della famiglia IEC 62443 per la protezione dei sistemi di automazione industriale possono essere utili nella progettazione delle misure di sicurezza delle macchine). Rimani aggiornato sui lavori di normazione: potrebbero emergere linee guida che rendono più semplice implementare i requisiti del CRA nel tuo ambito.
• Esegui una gap analysis – Confronta lo stato attuale dei tuoi prodotti e processi con i nuovi requisiti. Valuta in che misura il livello di protezione attuale soddisfa le prescrizioni (ad es. se i dispositivi dispongono di meccanismi di autenticazione, cifratura, aggiornamenti sicuri, ecc.). Analizza il processo di sviluppo software in azienda: se vengono applicati i principi di secure coding, se si eseguono penetration test, con quale rapidità reagite alle vulnerabilità segnalate. Individua le lacune e le aree di miglioramento sia sul piano organizzativo (procedure) sia su quello tecnologico (funzioni di sicurezza).
• Adegua progettazione e sviluppo dei prodotti – Se la gap analysis evidenzia carenze, pianifica l’introduzione dei meccanismi e delle pratiche mancanti. Questo può includere modifiche all’architettura del prodotto (ad es. aggiunta di un modulo di cifratura, messa in sicurezza delle interfacce di comunicazione), il miglioramento del processo SDLC (Software Development Life Cycle) con elementi di threat modeling, code review orientate alla sicurezza, test di fuzzing, ecc., oltre alla definizione di nuove policy di sicurezza del prodotto. Assicurati che il team R&D consideri la cybersicurezza un requisito di progetto al pari della funzionalità – il regolamento impone l’approccio “security by design/default”.
• Pianifica un sistema di aggiornamenti e supporto – Valuta se la tua azienda è pronta a supportare i prodotti per un periodo adeguato. Potrebbe essere necessario definire un piano e allocare risorse per rilasciare aggiornamenti regolari di software e firmware per diversi anni dopo la vendita. Verifica che i prodotti abbiano la capacità tecnica di essere aggiornati (da remoto o localmente) – in caso contrario è un problema serio, perché il CRA richiede la possibilità di eliminare le vulnerabilità anche dopo la vendita. Definisci un periodo di supporto realistico (minimo 5 anni) e comunicalo agli utenti. Predisponi inoltre un piano per la gestione tecnica delle segnalazioni di sicurezza da parte dei clienti.
• Prepara la documentazione richiesta – Assicurati che per ogni prodotto venga predisposta una documentazione tecnica completa dal punto di vista della cybersicurezza. Dovrebbe includere, tra l’altro, il report di valutazione del rischio, la descrizione dell’architettura di sicurezza, l’elenco delle misure adottate (ad es. cifratura, autorizzazione), i risultati dei test di sicurezza, le procedure di update, la policy di divulgazione delle vulnerabilità, ecc. Questa documentazione costituirà la base per dimostrare la conformità in caso di controllo (ed eventualmente per la presentazione a un organismo di certificazione). Organizza anche il processo di archiviazione per il periodo richiesto (10 anni o più). Inoltre, prepara i modelli di dichiarazione di conformità UE per i tuoi prodotti – ricordando che devono includere una nuova formulazione che attesti il rispetto di tutti i requisiti del regolamento.
• Presidia la catena di fornitura – Contatta i fornitori di componenti (in particolare software, moduli IoT, ecc.) per discutere gli aspetti di conformità al CRA. Aggiorna i contratti con i fornitori, inserendo clausole sul livello di cybersicurezza richiesto per i componenti e sull’obbligo di informare in caso di vulnerabilità rilevate. Assicurati di avere accesso alle informazioni su origine e versioni dei componenti (mantieni un SBOM – Software Bill of Materials per i prodotti, così da facilitare il tracciamento delle vulnerabilità nelle librerie dipendenti). Se utilizzi servizi cloud esterni collegati al prodotto, verifica le loro misure di sicurezza e la conformità alla NIS2 (perché un SaaS può ricadere nella NIS2 anziché nel CRA). La cybersicurezza del prodotto è anche la sicurezza di tutti i “mattoni” che lo compongono: i fornitori devono muoversi nella stessa direzione.
• Forma il personale e sensibilizza i clienti – I nuovi obblighi fanno sì che diversi reparti aziendali debbano avere una conoscenza di base del CRA. Organizza formazione per progettazione, qualità, IT e assistenza sui requisiti del regolamento e sulle procedure interne (ad es. come reagire a una segnalazione di vulnerabilità, come documentare le modifiche ai fini della conformità). È opportuno informare anche acquisti e vendite, affinché siano consapevoli delle nuove marcature e dichiarazioni (ad es. della necessità di verificare se un fornitore extra-UE ha fornito la dichiarazione di conformità). Valuta la preparazione di informazioni per i clienti sulla policy di sicurezza dei vostri prodotti – la trasparenza su questi aspetti può diventare un vantaggio commerciale (gli utenti inizieranno a verificare se un determinato prodotto soddisfa i requisiti cyber e se ha aggiornamenti garantiti).
• Monitora linee guida e scadenze – Segui le comunicazioni della Commissione Europea e delle autorità nazionali in merito al CRA. Potrebbero essere adottati atti delegati o di esecuzione che chiariscono alcuni aspetti (ad es. esclusioni settoriali – la Commissione può decidere di escludere dal CRA prodotti coperti da requisiti settoriali equivalenti). Tieni d’occhio anche il processo di pubblicazione delle norme armonizzate: applicare una norma sarà la via più semplice per beneficiare della presunzione di conformità. Assicurati di rispettare le scadenze citate: settembre 2026 (prontezza per la segnalazione degli incidenti) e dicembre 2027 (piena conformità di tutti i nuovi prodotti). Idealmente, definisci milestone interne con largo anticipo – ad es. completamento della valutazione preliminare del rischio entro metà 2025, adeguamento del processo di sviluppo entro fine 2025, test di conformità e pre-certificazioni nel 2026, ecc., così da arrivare al 2027 con i requisiti quasi interamente soddisfatti. Ridursi all’ultimo momento può comportare il blocco delle vendite, quindi un approccio proattivo è fondamentale.

Svolgere questo “compito a casa” in anticipo permetterà di evitare la corsa affannosa del 2027 e i rischi che ne derivano. Invece di considerare il CRA solo come un obbligo, vale la pena vederlo come un’opportunità per innalzare il livello complessivo di sicurezza dei prodotti, proteggendo sia l’azienda sia i clienti da incidenti costosi.

CRA e Regolamento Macchine (UE) 2023/1230 – cosa rientra in quale ambito?

Molti manager del settore industriale si chiedono come le nuove norme sulla ciberresilienza si rapportino al già noto Regolamento Macchine (UE) 2023/1230 (che sostituirà la Direttiva Macchine). C’è una duplicazione dei requisiti oppure questi regolamenti si completano a vicenda? È fondamentale capire quali aspetti del prodotto sono disciplinati dai singoli atti normativi.

Il Regolamento Macchine 2023/1230 riguarda la sicurezza delle macchine nel senso tradizionale: si concentra sulla tutela della salute e della sicurezza degli utilizzatori delle macchine. Definisce i cosiddetti requisiti essenziali di sicurezza e di tutela della salute (EHSR), che includono, tra l’altro, aspetti meccanici, elettrici, ergonomia, rumore, EMC ecc. Il nuovo regolamento macchine ha effettivamente introdotto anche l’obbligo di considerare i rischi legati all’accesso a Internet e ai cyberattacchi come potenziale minaccia per la sicurezza. Ciò significa che il fabbricante della macchina deve, durante la valutazione dei rischi, prendere in esame scenari in cui, ad esempio, un’interferenza da remoto nel sistema di comando della macchina potrebbe causare un incidente. Deve quindi progettare misure per prevenire tali situazioni (ad es. protezioni di rete che impediscano a persone non autorizzate di assumere il controllo della macchina). Tuttavia, il regolamento macchine disciplina la cybersicurezza solo nella misura in cui essa incide sulla sicurezza fisica delle persone che utilizzano le macchine. Si tratta di uno dei molti elementi che compongono la valutazione di conformità della macchina, ma non entra nel dettaglio di requisiti specificamente IT: non vi si trova un elenco di meccanismi crittografici né l’obbligo di aggiornare il software della macchina dopo la vendita. In altre parole, il Regolamento Macchine mira a garantire che la macchina non metta a rischio la vita/la salute (anche a seguito di un incidente cyber), mentre il CRA si occupa della cybersicurezza complessiva del prodotto (inclusi riservatezza dei dati, resilienza dei servizi, intero ciclo di vita).

Il Cyber Resilience Act copre un ambito di temi IT molto più ampio rispetto al regolamento macchine. Anche per le macchine industriali, il CRA impone ad esempio requisiti di segnalazione delle vulnerabilità, garanzia di aggiornamenti per X anni, protezione dalla perdita di dati: aspetti non direttamente legati alla sicurezza dell’utilizzatore della macchina, ma alla cybersicurezza in quanto tale. In pratica, ciò significa che una macchina che sia un prodotto con elementi digitali sarà soggetta contemporaneamente alle disposizioni di entrambi i regolamenti. Il fabbricante di tale macchina deve soddisfare i requisiti di entrambi gli atti: sia quelli relativi a una progettazione sicura, ad esempio dal punto di vista meccanico (Regolamento Macchine), sia quelli relativi alla protezione di software, rete e dati (CRA). Il rispetto dei requisiti di un regolamento non implica automaticamente la conformità all’altro, perché i criteri di valutazione sono diversi.

Dal punto di vista della procedura di valutazione della conformità, un prodotto soggetto a più di un regolamento UE deve rispettare tutte le disposizioni applicabili prima dell’apposizione della marcatura CE. Ad esempio, un fabbricante che immette sul mercato un robot industriale collaborativo con funzione di monitoraggio da remoto dovrà assicurarsi che il robot soddisfi i requisiti essenziali di sicurezza delle macchine (reg. 2023/1230) e i requisiti essenziali di cybersicurezza (Regolamento (UE) 2024/2847). La dichiarazione di conformità UE di tale macchina dovrebbe indicare entrambi gli atti normativi. A sua volta, il responsabile della manutenzione che acquista un dispositivo di questo tipo deve verificare sia la conformità alla “CE macchine” sia alla “CE cyber”. In pratica la marcatura CE è una sola, ma la documentazione deve dimostrare la conformità a tutte le disposizioni del nuovo approccio che si applicano a quel prodotto.

Vale la pena indicare alcuni esempi di cosa rientra in quale regolamento:

• Dispositivi IT puramente elettronici (senza funzioni di macchina) – ad es. router, smartphone, telecamere IP – non rientrano nel Regolamento Macchine (perché non sono macchine), ma rientrano nel CRA se includono elementi digitali e comunicano in rete. In questo caso conta soprattutto la cybersicurezza, mentre gli aspetti di sicurezza fisica dell’utente non sono determinanti (salvo le disposizioni generali in materia di salute e sicurezza sul lavoro/EMC).
• Macchine tradizionali senza connessione digitale – ad es. una pressa idraulica con comando esclusivamente analogico – rientrano nel Regolamento Macchine (vanno soddisfatti i requisiti relativi a progettazione, ripari, circuiti di sicurezza ecc.), ma non rientrano direttamente nel CRA, perché non contengono elementi digitali che comunicano verso l’esterno. Naturalmente, se nella macchina è presente elettronica di controllo, questa può essere considerata di per sé apparecchiatura digitale; tuttavia, finché non c’è connettività (ad es. assenza di porte di rete, assenza di accesso remoto), non soddisfa la definizione di “prodotto con elementi digitali” ai sensi del CRA.
• Macchine moderne con funzioni digitali – ad es. robot, linee produttive con IoT, veicoli AGV che comunicano con il sistema di gestione – rientrano in entrambi gli atti. Qui il Regolamento Macchine imporrà, tra l’altro, la valutazione del rischio tradizionale (affinché la macchina non generi pericoli meccanici/elettrici) e il requisito che, ad esempio, l’accesso remoto al robot non possa causare una situazione pericolosa (quindi includere le minacce cyber per la sicurezza). Il CRA, a sua volta, imporrà inoltre l’obbligo che il robot abbia software complessivamente protetto (ad es. trasmissioni dati cifrate, password univoche), sia aggiornato dal produttore e, in caso di individuazione di una vulnerabilità, che questa venga corretta e segnalata alle autorità. Il produttore di tali apparecchiature deve quindi garantire resilienza agli attacchi informatici sia in termini di sicurezza delle persone, sia di continuità operativa, riservatezza dei dati ecc.

In sintesi, il Regolamento Macchine e il CRA non sono in concorrenza, ma si completano. Il primo tutela la sicurezza funzionale delle macchine (inclusi i requisiti minimi in ambito cyber, affinché la macchina sia sicura), il secondo tutela una cybersicurezza più ampia del prodotto lungo l’intero ciclo di vita. Per i manager questo significa la necessità di una conformità su più fronti: un prodotto intelligente deve essere sia sicuro per progettazione sia cyber-sicuro. Occorre quindi monitorare i requisiti di entrambe le regolamentazioni. Fortunatamente, le rispettive date di applicazione sono ravvicinate: anche il Regolamento Macchine inizierà a essere applicato nella pratica da gennaio 2027 (sostituendo la direttiva), mentre il CRA dalla fine del 2027. È quindi possibile unire la preparazione per entrambi in un programma di compliance coerente. Ad esempio, nella progettazione di una nuova macchina considerare fin da subito sia i requisiti di sicurezza macchina sia le misure di sicurezza IT; durante i test del prototipo verificare non solo la conformità a norme come ISO 13849 (safety), ma anche, ad esempio, i test di penetrazione del sistema di controllo. Con questo approccio l’azienda garantirà una conformità completa ed eviterà la situazione in cui rispetta una normativa ignorandone un’altra.

Il Regolamento (UE) 2024/2847 è certamente una sfida per produttori e fornitori, ma al tempo stesso una risposta necessaria alle realtà contemporanee. Macchine e dispositivi diventano sempre più intelligenti e connessi: le norme devono tenere il passo. I manager che avvieranno già ora azioni preparatorie otterranno un vantaggio: le loro aziende non solo entreranno senza traumi nel nuovo quadro normativo, ma aumenteranno anche la competitività e la credibilità dei propri prodotti agli occhi dei clienti, per i quali la sicurezza digitale sta diventando importante quanto il prezzo o la funzionalità. Con un adeguato supporto di esperti di sicurezza delle macchine e IT, l’implementazione dei requisiti CRA può essere vista come un elemento di miglioramento continuo, e non soltanto come un obbligo regolatorio. Ne beneficeranno l’impresa, gli utenti finali e l’intero ecosistema digitale. Prodotti più sicuri significano minore rischio di fermi, attacchi e perdite: ed è un obiettivo che guida sia il legislatore sia i partecipanti responsabili del mercato.