Cyber Resilience Act (CRA): Requisiti, Conformità e Supporto per il Mercato UE
Affronta con sicurezza i requisiti obbligatori del Cyber Resilience Act e porta sul mercato UE prodotti con elementi digitali conformi alle nuove norme di cybersecurity.
Cos'è il Cyber Resilience Act?
Il Cyber Resilience Act (CRA), formalmente Regolamento (UE) 2024/2847, introduce requisiti obbligatori di cybersecurity per i prodotti con elementi digitali immessi sul mercato UE. Si applica sia all'hardware che al software e copre l'intero ciclo di vita del prodotto: progettazione e sviluppo, gestione delle vulnerabilità, aggiornamenti di sicurezza, documentazione tecnica e segnalazione degli incidenti.
Il CRA diventa pienamente applicabile l'11 dicembre 2027. Da quella data, tutti i prodotti in scope dovranno essere conformi prima di poter essere immessi sul mercato UE. La conformità al CRA rientra nel quadro della marcatura CE.
Perché il Cyber Resilience Act è rilevante per la tua azienda?
Il CRA trasforma la cybersecurity da pratica raccomandata a requisito regolatorio per un'ampia gamma di prodotti connessi e software. Per i produttori, questo significa integrare la sicurezza molto prima e in modo più sistematico: non è più sufficiente gestire i rischi dopo il lancio. Le aziende devono dimostrare che la cybersecurity è stata considerata in fase di design, incorporata nei processi di sviluppo, documentata adeguatamente e mantenuta per tutta la durata del supporto. Il CRA introduce inoltre obblighi continuativi legati alla gestione delle vulnerabilità e alla segnalazione degli incidenti: si tratta di una questione di ciclo di vita, non di un'approvazione una tantum.
Il CRA è entrato in vigore il 10 dicembre 2024. Gli obblighi si applicano per fasi:
- 11 settembre 2026 — I produttori devono iniziare a segnalare vulnerabilità attivamente sfruttate e incidenti gravi, inclusi i prodotti legacy già presenti sul mercato UE e ancora nel periodo di supporto.
- 11 dicembre 2027 — Piena applicabilità del CRA. Tutti i prodotti in scope devono essere conformi prima dell'immissione sul mercato UE.
Il CRA si applica a qualsiasi produttore che immetta prodotti con elementi digitali sul mercato UE, indipendentemente dalla sede. I produttori extra-UE possono nominare un rappresentante autorizzato nell'Unione. Anche importatori e distributori operanti nell'UE hanno obblighi specifici.
Sono esclusi i dispositivi medici, automotive e aeronautici, soggetti a normative di settore separate.
Rientrano nello scopo del CRA:
- Applicazioni mobile
- Firmware e sistemi embedded
- embedded systems
- Componenti (processori, chip di sicurezza)
- Prodotti connessi a servizi cloud o remoti
Obblighi principali per i produttori
I produttori devono assicurarsi che i prodotti siano sicuri per design e per default, sviluppati con pratiche di sviluppo sicuro, privi di vulnerabilità note al momento del lancio, protetti da accessi non autorizzati e progettati per minimizzare la superficie di attacco. Sono inoltre richiesti: valutazione del rischio di cybersecurity, Software Bill of Materials (SBOM), processi di gestione delle vulnerabilità, documentazione tecnica completa, e segnalazione di vulnerabilità sfruttate attivamente e incidenti gravi entro i termini previsti.
| Fase del ciclo di vita | Requisiti CRA |
| Progettazione e sviluppo | Secure by design e by default, risk assessment, minimizzazione della superficie di attacco |
| Pre-commercializzazione | Risoluzione vulnerabilità note, documentazione tecnica, definizione del periodo di supporto |
| Immissione sul mercato | Marcatura CE con conformità CRA |
| Post-Commercializzazione | Monitoraggio vulnerabilità, aggiornamenti, manutenzione della documentazione |
| Risposta agli incidenti | Segnalazione entro 24 ore (early warning), notifica dettagliata entro 72 ore |
Documentazione tecnica richiesta
La documentazione tecnica deve includere almeno: descrizione del prodotto, architettura e informazioni di design, valutazione del rischio di cybersecurity, SBOM con componenti e dipendenze rilevanti, policy di aggiornamenti di sicurezza, procedure di gestione delle vulnerabilità e di segnalazione degli incidenti, evidenze di conformità ai requisiti essenziali dell'Allegato I, istruzioni per la configurazione sicura, durata del periodo di supporto e modalità di distribuzione degli aggiornamenti.
La documentazione non è statica: deve essere aggiornata per tutta la durata del ciclo di vita del prodotto.
Come prepararsi ora
La preparazione al CRA non dovrebbe essere rimandata al 2027. Gli obblighi di segnalazione decorrono già da settembre 2026.
Passi concreti da avviare subito: determinare la classificazione del prodotto, condurre una CRA gap analysis, eseguire valutazioni del rischio di cybersecurity, implementare processi di sviluppo sicuro, strutturare la gestione delle vulnerabilità e la segnalazione degli incidenti, predisporre la documentazione tecnica e pianificare il percorso di conformità e la marcatura CE.
Come Intertek supporta la tua conformità al CRA
Intertek accompagna i produttori in ogni fase del percorso di conformità al Cyber Resilience Act.
Classificazione del prodotto
Verifica se il tuo prodotto rientra nella categoria Default, Important Class I/II o Critical e individua il percorso di conformità appropriato.
CRA gap assessment
Analisi dei processi, della postura di sicurezza del prodotto e della documentazione esistente rispetto ai requisiti CRA, con definizione di una roadmap di remediation.
Valutazione del rischio di cybersecurity
Supporto nello sviluppo e nella revisione della valutazione del rischio, in linea con i requisiti essenziali del CRA e le aspettative di ciclo di vita.
Test e validazione della sicurezza
Test del prodotto rispetto agli standard applicabili e ai requisiti CRA, incluse vulnerability assessment e penetration testing.
Documentazione tecnica
Revisione e supporto alla redazione della documentazione tecnica, inclusi SBOM, output della risk assessment e processi di ciclo di vita.
Conformity assessment e marcatura CE
Supporto nel percorso di autovalutazione o tramite Organismo Notificato, in base alla classificazione del prodotto.
Perché scegliere Intertek per la conformità al CRA
Intertek affianca i produttori lungo tutto il percorso di conformità al Cyber Resilience Act, dalla classificazione iniziale del prodotto e dalla gap analysis fino ai test di sicurezza, alla documentazione tecnica e al supporto per la conformity assessment.
Le nostre competenze in ambito cybersecurity includono IEC 62443, EN 18031, ETSI EN 303 645, IEC 81001-5-1, vulnerability assessment, penetration testing, secure architecture review, threat modeling, Common Criteria, valutazione di moduli crittografici correlati a FIPS 140-3, AI red teaming e resilienza ransomware.
Questa esperienza consente ai produttori di affrontare gli obblighi del CRA allineando al tempo stesso i programmi di cybersecurity ad altri standard e requisiti di mercato.
Domande frequenti sul Cyber Resilience Act (CRA)
Il CRA, Regolamento (UE) 2024/2847, introduce requisiti obbligatori di cybersecurity per i prodotti con elementi digitali immessi sul mercato UE, applicandosi sia all'hardware che al software.
È entrato in vigore il 10 dicembre 2024. Gli obblighi di segnalazione decorrono dall'11 settembre 2026; la piena applicabilità è fissata all'11 dicembre 2027.
Sì. Qualsiasi produttore che immetta prodotti con elementi digitali sul mercato UE deve conformarsi, indipendentemente dalla propria sede. Anche importatori e distributori UE hanno obblighi specifici.
È un prodotto hardware o software il cui uso previsto o ragionevolmente prevedibile comporta una connessione dati diretta o indiretta a un altro dispositivo o a una rete. Include dispositivi connessi, software, firmware, app mobile e prodotti che dipendono da servizi cloud o remoti per il loro funzionamento.
Sì. Il CRA include esplicitamente il software standalone immesso sul mercato UE: applicazioni desktop, sistemi operativi, firmware, app mobile, strumenti di sviluppo e librerie o SDK commercializzati.
I produttori devono eseguire e documentare valutazioni del rischio di cybersecurity, progettare prodotti conformi ai requisiti essenziali, implementare pratiche di sviluppo sicuro, fornire aggiornamenti di sicurezza durante il periodo di supporto, gestire le vulnerabilità, predisporre la documentazione tecnica e segnalare vulnerabilità e incidenti entro i termini previsti.
Non sempre. I prodotti della categoria generale possono seguire il percorso di autovalutazione. I prodotti Important Class II richiedono la valutazione da parte di un Organismo Notificato. Per i prodotti Critical è previsto uno schema di certificazione UE o, in sua assenza, la valutazione da un Organismo Notificato.
Dall'11 settembre 2026, i produttori devono segnalare vulnerabilità attivamente sfruttate e incidenti gravi: early warning entro 24 ore, notifica dettagliata entro 72 ore, con aggiornamenti successivi tramite la piattaforma EU gestita da ENISA.
La documentazione tecnica deve includere valutazione del rischio di cybersecurity, descrizione e architettura del prodotto, processi di ciclo di vita e aggiornamento, procedure di gestione delle vulnerabilità, SBOM, istruzioni per l'utente, dichiarazione di conformità e prove di conformità all'Allegato I.
