Il Cyber Resilience Act (CRA) è la prima normativa dell'UE a stabilire requisiti vincolanti di sicurezza informatica per i prodotti con elementi digitali. Il regolamento è entrato in vigore l'11 dicembre 2024. Le aziende hanno ora tre anni di tempo per implementare i requisiti. Cosa devono considerare ora.
Questi prodotti sono coperti dal Cyber Resilience Act.
Il regolamento attribuisce ai produttori una maggiore responsabilità nel garantire la sicurezza dei prodotti hardware e software. Al centro della legge ci sono i nuovi obblighi per i produttori di fornire aggiornamenti software che eliminino le vulnerabilità di sicurezza e offrano ai consumatori un supporto per la sicurezza. Migliorando il Trasparenza Per quanto riguarda i rischi informatici e la sicurezza dei prodotti, la legge consente ai consumatori di prendere decisioni più informate sui prodotti disponibili sul mercato dell'UE.
Tutti i prodotti venduti nell'UE che contengono "elementi digitali" devono soddisfare i requisiti del CRA. Ciò include prodotti di consumo a basso costo, nonché software B2B e sistemi industriali complessi di fascia alta. I "prodotti con elementi digitali" sono definiti nel CRA come prodotti che possono essere collegati a un dispositivo o a una rete e comprendono sia prodotti hardware con funzioni di rete (ad esempio smartphone, computer portatili, prodotti per la casa intelligente, smartwatch, giocattoli collegati in rete, ma anche microprocessori, firewall e contatori intelligenti) sia prodotti software puri (ad esempio software di contabilità, giochi per computer, app per dispositivi mobili).
I prodotti software open source non commerciali sono esenti dal CRA e quindi non devono soddisfare i requisiti del CRA.
Cosa succederà con il Cyber Resilience Act
I prodotti saranno marcati CE per indicare che soddisfano i requisiti del regolamento. I principali obblighi della legge si applicheranno a partire dall'11 dicembre 2027.
- 12.2024: Entrata in vigore del CRA
- 12.2026: Gli organismi di valutazione della conformità possono valutare la conformità ai requisiti del CRA.
- 12.2027: I nuovi prodotti devono soddisfare tutti i requisiti del CRA.
Il Ufficio federale per la sicurezza delle informazioni (BSI) raccomanda alle aziende di tenere conto dei requisiti del CRA già nella fase di sviluppo del prodotto. I produttori devono effettuare una valutazione del rischio per i loro prodotti e affrontare i potenziali rischi per la sicurezza informatica.
Secondo il principio di progettazione "secure by design", i prodotti in rete devono essere progettati tenendo conto della sicurezza informatica, ad esempio garantendo che i dati memorizzati o trasmessi con il prodotto siano crittografati e che la superficie di attacco sia ridotta al minimo.
Secondo il principio della configurazione "sicura per impostazione predefinita", le impostazioni predefinite dei prodotti in rete devono contribuire ad aumentarne la sicurezza, ad esempio vietando password predefinite deboli, installando automaticamente gli aggiornamenti di sicurezza, ecc.
La gestione obbligatoria delle vulnerabilità dei prodotti deve essere presa in considerazione già durante lo sviluppo. La base è l'integrazione di strumenti per la creazione di distinte base del software (SBOM). Per il software, una SBOM è l'equivalente di un elenco di ingredienti per gli alimenti. Elenca le librerie e gli altri componenti software utilizzati nel prodotto. Il CRA prescrive la creazione di una SBOM, ma non è necessario pubblicarla.
Suggerimento di lettura: Direttiva NIS 2 - Queste società sono interessate
Ulteriori requisiti CRA
Dichiarazione di conformità
I produttori hanno bisogno di una dichiarazione di conformità per dimostrare che il rispettivo prodotto con elementi digitali soddisfa tutti i requisiti del CRA. La procedura di valutazione della conformità da applicare dipende dalla categoria di prodotto. Per la maggior parte dei prodotti, si tratta di un'autovalutazione da parte del produttore, mentre per alcuni prodotti si tratta di una valutazione da parte di un organismo notificato.
Obbligo di segnalazione
Per facilitare lo scambio di informazioni sulle vulnerabilità attivamente sfruttate e sugli incidenti di sicurezza gravi, verrà creata una nuova piattaforma di segnalazione centrale. Le segnalazioni di vulnerabilità devono essere inviate tramite la piattaforma di segnalazione.
Obbligo di supporto
Gli aggiornamenti di sicurezza devono essere resi disponibili all'utente finale durante l'intero ciclo di vita del prodotto.
La legge sulla resilienza informatica integra il quadro di sicurezza informatica NIS2, entrato in vigore lo scorso anno. Fa parte di una serie di misure globali che l'UE sta adottando per rafforzare la sicurezza informatica in un'Europa sempre più digitale e interconnessa.
Fonte: FAQ dell'Ufficio federale per la sicurezza informatica sulla legge sulla resilienza informatica
German 
English 
Italian 
French