Prossimamente: Safexpert è attualmente disponibile in tedesco, inglese e francese, ma previsto a partire dal 2026 anche in italiano! Più info...
Condividere l'articolo
Il 20 novembre 2024 è stato pubblicato nella Gazzetta ufficiale dell'Unione europea il regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo ai requisiti orizzontali di sicurezza informatica per i prodotti con componenti digitali, il cosiddetto Cyber Resilience Act (in breve CRA). La normativa mira a garantire che una vasta gamma di prodotti, quali telecamere domestiche collegate in rete, frigoriferi, televisori, giocattoli e anche macchinari, siano sicuri prima di essere immessi sul mercato.
Il nuovo regolamento mira a colmare le lacune, chiarire i nessi e rendere più coerente il quadro giuridico esistente in materia di sicurezza informatica, al fine di garantire che i prodotti con componenti digitali, ad esempio i prodotti dell'Internet delle cose (Internet of Things, IoT), siano sicuri lungo tutta la catena di fornitura e per tutto il loro ciclo di vita.
Nota: questo articolo tecnico viene aggiornato costantemente. Non perdetevi gli aggiornamenti importanti e iscrivetevi subito alla nostra newsletter gratuita o seguiteci su LinkedIn!
Iscriviti alla newsletter
Segui IBF su LinkedIn
Contesto
Data l'attuale situazione della sicurezza e in particolare la guerra in Ucraina, era prevedibile che l'aumento della resilienza agli attacchi informatici in Europa avrebbe avuto un'elevata priorità politica e sarebbe stato perseguito con determinazione.
Il 1° dicembre 2023 il Parlamento europeo e il Consiglio hanno raggiunto un accordo sul Cyber Resilience Act proposto dalla Commissione nel settembre 2022. Il testo mantiene le linee guida della precedente proposta della Commissione, ma in alcuni ambiti i co-legislatori propongono alcune modifiche. Questi includono, ad esempio, la richiesta di una metodologia più semplice per la classificazione dei prodotti digitali soggetti al regolamento, la definizione della durata di vita dei prodotti da parte dei produttori o l'obbligo di segnalare le vulnerabilità e gli incidenti attivamente sfruttati.
Il 12 marzo 2024 il Parlamento europeo ha approvato il testo di compromesso, seguito dall'approvazione del Consiglio il 10 ottobre. Il 20 novembre 2024 è stata infine pubblicata la versione definitiva nella Gazzetta ufficiale dell'Unione europea. Il regolamento è entrato in vigore l'11 dicembre 2024 e sarà applicabile direttamente in tutti gli Stati membri dell'UE a partire dall'11 dicembre 2027.
Quando arriva il Cyber Resilience Act?
Il 20 novembre 2024 è stata pubblicata nella Gazzetta ufficiale dell'Unione europea il Cyber Resilience Act, la nuova legge sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali.
Da quando deve essere applicato il Cyber Resilience Act?
Il nuovo regolamento entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell'Unione europea (10 dicembre 2024) e sarà direttamente applicabile in tutti gli Stati membri dell'UE 36 mesi dopo la sua entrata in vigore, ovvero dall'11 dicembre 2027.
Alcune disposizioni saranno applicabili già prima:
Quali sono le considerazioni della Commissione europea sul Cyber Resilience Act?
Ogni 11 secondi si verifica un attacco hacker. Ciò comporta costi superiori a 5 miliardi di euro. È quanto afferma la Commissione Europea nella sua strategia sulla sicurezza informatica, sottolineando la necessità di garantire un livello più elevato di sicurezza informatica in futuro. L'obiettivo è quello di integrare i requisiti stabiliti come parte integrante dell'intera catena di fornitura.
Il nuovo “Cyber Resilience Act” mira a garantire che i prodotti digitali diventino più sicuri per gli individui e le aziende. I fabbricanti di tali prodotti, sia hardware che software, saranno obbligati a correggere le vulnerabilità tramite aggiornamenti software e a informare gli utenti finali dei loro prodotti sui possibili rischi per la sicurezza informatica. Inoltre, il regolamento definisce i requisiti per lo sviluppo di software, sottolineando così anche il principio di “sicurezza fin dalla progettazione” richiesto dal “Cyber Security Act” già in vigore.
Quali sono gli obiettivi del Cyber Resilience Act?
Le leggi sulla sicurezza informatica presentate dalla Commissione europea hanno l'obiettivo generale di introdurre sul mercato interno prodotti hardware e software più sicuri. La Commissione concretizza gli obiettivi dell'atto legislativo attraverso quattro misure:
Cosa si può dire riguardo allo ambito di applicazione del Cyber Resilience Act?
Dal campo di applicazione del regolamento si evince che tale ambito è molto ampio:
«Il presente regolamento si applica ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete.».
Grazie alla definizione generica di «elementi digitali», il regolamento comprende sia hardware come macchine e dispositivi IoT, sia prodotti puramente software.
Nel campo di applicazione sono menzionate anche alcune eccezioni: ad esempio, i dispositivi medici ai sensi del regolamento (UE) 2017/745 non rientrano nel campo di applicazione dell'atto legislativo previsto.
L'atto giuridico disciplina anche la futura interazione con il regolamento delegato 2022/30, che già ora richiede requisiti di sicurezza per gli apparecchi connessi a Internet ai sensi della direttiva sulle apparecchiature radio 2014/53/UE. Bruxelles ha quindi annunciato che, per evitare sovrapposizioni, il regolamento 2022/30 sarà abrogato o semplicemente integrato.
Il Cyber Resilience Act richiede una procedura di valutazione della conformità e una “valutazione del rischio informatico”?
Analogamente ai precedenti atti legislativi dell'UE (ad esempio la direttiva macchina o la direttiva bassa tensione), anche il Cyber Resilience Act prevede una procedura di valutazione della conformità.
Il fulcro della procedura è costituito dalla valutazione del rischio informatico. L'articolo 13, paragrafo 2, del regolamento prevede quanto segue:
«(...) i fabbricanti effettuano una valutazione dei rischi di cibersicurezza associati a un prodotto con elementi digitali e tengono conto dei risultati di tale valutazione durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto con elementi digitali, allo scopo di ridurre al minimo i rischi di cibersicurezza, prevenire gli incidenti e ridurne al minimo il loro impatto, anche in relazione alla salute e alla sicurezza degli utilizzatori.».
A seconda della criticità dei prodotti, la procedura di valutazione della conformità distingue tra un'autocertificazione e due procedure che richiedono il coinvolgimento di organismi notificati. Maggiori dettagli sono disponibili nella scheda informativa sul Cyber Resilience Act (in inglese).
A nostro avviso, particolarmente degne di nota per i fabbricanti sono le disposizioni di cui all'allegato VII, paragrafo 2, del regolamento. Il documento cita diversi aspetti (progettazione, sviluppo, produzione, analisi dei punti deboli) come contenuti della documentazione tecnica. Ciò significa che, secondo la Commissione europea, nel processo di sviluppo del software dovranno essere documentate in futuro sia le decisioni relative all'architettura del software, sia quelle relative al processo di sviluppo e di costruzione. Ciò comporta ovviamente un aumento degli oneri di documentazione per le aziende. In particolare, il rapido sviluppo tecnologico degli strumenti relativi allo sviluppo del software (ad esempio per i processi di build) porrà sicuramente le aziende di fronte a sfide organizzative gestibili, ma comunque da non sottovalutare.
Il contenuto nel testo:
„CONTENUTO DELLA DOCUMENTAZIONE TECNICA
(…)
una descrizione della progettazione, dello sviluppo e della produzione del prodotto con elementi digitali e dei processi di gestione delle vulnerabilità, tra cui
a) le informazioni necessarie sulla progettazione e sullo sviluppo del prodotto con elementi digitali, compresi, se del caso, disegni e schemi e una descrizione dell’architettura del sistema che spieghi in che modo i componenti software si basano l’uno sull’altro o si alimentano reciprocamente e si integrano nel processo complessivo;
b) le informazioni necessarie e specifiche sui processi di gestione delle vulnerabilità messi in atto dal fabbricante, tra cui la distinta base del software, la politica di gestione della divulgazione coordinata delle vulnerabilità, la prova della fornitura di un indirizzo di contatto per la segnalazione delle vulnerabilità e una descrizione delle soluzioni tecniche scelte per la distribuzione sicura degli aggiornamenti;
c) le informazioni necessarie e specifiche relative ai processi di produzione e monitoraggio del prodotto con elementi digitali e alla convalida di tali processi;
Cosa comportano i requisiti del Cyber Resilience Act per i fabbricanti?
Con la pubblicazione della direttiva tecnica TR-03183, l'Ufficio federale tedesco per la sicurezza informatica (BSI) offre supporto ai fabbricanti nell'identificazione dei requisiti CRA. Per ulteriori informazioni al riguardo, consultare il nostro Articulo tecnico “Direttiva tecnica per i requisiti di resilienza informatica” (in inglese).
Quando saranno disponibili norme armonizzate relative al Cyber Resilience Act?
Il 3 febbraio 2025 la Commissione ha invitato ufficialmente gli organismi europei di normazione CEN, CENELEC ed ETSI a elaborare «norme armonizzate relative ai requisiti fondamentali di cibersicurezza elencati nell'allegato I del presente regolamento». Nell'ambito di tale mandato di normazione, la Commissione intende tenere conto delle norme europee e internazionali esistenti in materia di cibersicurezza che sono già state pubblicate o sono attualmente in fase di elaborazione.
Il documento principale del mandato di normazione contiene i considerando e gli aspetti formali quali la rendicontazione e la validità, mentre nelle allegati del mandato sono riportati elenchi concreti delle nuove norme europee da elaborare (allegato I) e il loro profilo dei requisiti (allegato II), suddivisi in norme orizzontali e verticali.
Le norme orizzontali (righe 1-15 dell'allegato I) mirano a creare un quadro generale coerente in materia di requisiti di sicurezza e di trattamento delle vulnerabilità. Le norme verticali (righe 16-41), invece, coprono i requisiti di sicurezza per determinate categorie di prodotti.
Nel suo webinar “Standards supporting the Cyber Resilience Act”1, il CEN/CENELEC ha inoltre presentato un modello gerarchico di tali future norme CRA, che ricorda molto la suddivisione in norme di tipo A, B e C nella Gazzetta ufficiale dell'UE relativa alla direttiva macchine o al regolamento macchine. Anche in questo caso vale quanto segue:
Secondo le informazioni fornite nel webinar, la data limite per l'adozione delle norme orizzontali di tipo A e delle norme di tipo B per la gestione delle vulnerabilità è prevista entro e non oltre il 30 agosto 2026. Le norme di tipo C per le singole categorie di prodotti devono essere disponibili entro il 30 ottobre 2026, mentre poco prima dell'entrata in vigore del CRA l'11 dicembre 2027 seguiranno le norme di tipo B per le misure tecniche (30 ottobre 2027). Una panoramica della futura categorizzazione e della sua attuazione prevista è riportata nel grafico seguente2:
Esistono già esempi di norme e specifiche che potrebbero essere armonizzate per soddisfare i requisiti CRA?
Il mandato di normazione fa esplicito riferimento a “nuove norme europee da elaborare”. Ciononostante, CEN, CENELEC ed ETSI potrebbero fare riferimento a documenti già esistenti.
Esempi di tali norme e specifiche che potrebbero essere armonizzate per soddisfare i requisiti CRA sono:
Analogamente al nuovo regolamento macchine (UE) 2023/1230, in assenza di norme armonizzate per i requisiti di cibersicurezza di cui all'allegato I, la Commissione può adottare atti di esecuzione con specifiche comuni per i requisiti tecnici. Il legislatore si riserva questa opzione nel caso in cui le norme richieste non vengano fornite entro il termine stabilito, l'incarico di normazione non venga accettato o il contenuto dei documenti non corrisponda all'incarico.
I seguenti documenti rappresentano una preziosa fonte di informazioni, in particolare per i fabbricanti di macchine:
In che modo il Cyber Resilience Act si differenzia da altre normative in materia di sicurezza informatica, come la NIS-2?
La direttiva NIS 2 si applica ai sistemi di rete e informativi utilizzati per fornire servizi essenziali e importanti in settori chiave. La normativa impone alle organizzazioni (=operatori) di diversi settori di garantire che le reti e i sistemi che utilizzano per fornire servizi e svolgere le loro attività raggiungano un livello più elevato di cibersicurezza.
Il Cyber Resilience Act, invece, stabilisce i requisiti di cibersicurezza per i prodotti hardware e software immessi sul mercato dalle aziende (= fabbricanti) nell'UE. Per i prodotti che rientrano nell'ambito di applicazione del CRA, i fabbricanti devono effettuare valutazioni di sicurezza, introdurre procedure per la gestione delle vulnerabilità e fornire agli utenti le informazioni necessarie.
Il 20 novembre 2024 è stata pubblicata la versione definitiva del Cyber Resilience Act nella Gazzetta ufficiale dell'Unione europea. Il testo completo del regolamento (UE) 2024/2847 è disponibile al seguente link:
Cyber Resilience Act 2024/2847 del 20.11.2024
Modifiche al Cyber Resilience Act
Il 5 marzo 2025 il Cyber Resilience Act è stato modificato dal regolamento (UE) 2025/327 relativo allo spazio europeo dei dati sanitari (EHDS). Il regolamento disciplina l'accesso, l'utilizzo e la protezione dei dati sanitari elettronici all'interno dell'UE.
Esso integra i requisiti della legge sulla resilienza informatica in materia di sicurezza dei prodotti sanitari digitali, definisce una documentazione tecnica uniforme per i software sanitari e stabilisce norme per i modelli Software-as-a-Service (SaaS) che non rientrano direttamente nella legge sulla resilienza informatica.
Correzioni al Cyber Resilience Act
Il 2 luglio 2025 la Commissione Europea ha pubblicato la correzione 2025/90555. In tutte le versioni linguistiche del CRA, l'articolo 64 (10) è stato modificato. Finora era presente la dicitura “In deroga ai paragrafi da 3 a 9...”, mentre ora la deroga si applica ai paragrafi da 2 a 9. Pertanto, le piccole e microimprese di cui al paragrafo 64 (10) e gli amministratori di software open source sono esenti dalle sanzioni pecuniarie di cui al paragrafo (2) dell'articolo 64.
Note a piè di pagina:1 Webinar “Standards supporting the Cyber Resilience Act” (norme a sostegno della legge sulla resilienza informatica) – per maggiori dettagli consultare il sito web del CEN/CENELEC2 Categorizzazione delle future norme relative al CRA. Rappresentazione propria basata sul suddetto webinar del CEN/CENELEC
Pubblicato il: 02/07/2025 (Ultimo aggiornamento)
Johannes Windeler-Frick, MSc ETH Membro del team di gestione dell'IBF. Relatore specializzato in marcatura CE e Safexpert. Conferenze, podcast e pubblicazioni su vari argomenti CE, in particolare sull'organizzazione CE e sulla gestione CE efficiente. Responsabile dell'ulteriore sviluppo del sistema software Safexpert. Studi di ingegneria elettrica al Politecnico di Zurigo (MSc) con specializzazione in tecnologia energetica e specializzazione nel campo delle macchine utensili.
E-Mail: johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
Daniel Zacek-Gebele, MSc
Product manager presso IBF per i prodotti supplementari e data manager per l'aggiornamento dei dati degli standard sul Safexpert Live Server. Ha studiato economia a Passau (BSc) e Stoccarda (MSc), specializzandosi in economia e commercio internazionale.
E-Mail: daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com