Il Cyber Resilience Act (CRA) è la prima normativa dell'UE a stabilire requisiti vincolanti di sicurezza informatica per i prodotti con elementi digitali. Il regolamento è entrato in vigore l'11 dicembre 2024. Le aziende hanno ora tre anni di tempo per implementare i requisiti. Cosa devono considerare ora.
Questi prodotti sono coperti dal Cyber Resilience Act.
Il regolamento attribuisce ai produttori una maggiore responsabilità nel garantire la sicurezza dei prodotti hardware e software. Al centro della legge ci sono i nuovi obblighi per i produttori di fornire aggiornamenti software che correggano le vulnerabilità di sicurezza e di fornire assistenza ai consumatori in materia di sicurezza. Migliorando la trasparenza sui rischi informatici e sulla sicurezza dei prodotti, la legge consente ai consumatori di fare scelte più informate sui prodotti disponibili sul mercato dell'UE.
Tutti i prodotti venduti nell'UE che contengono "elementi digitali" devono soddisfare i requisiti del CRA. Ciò include prodotti di consumo a basso costo, nonché software B2B e sistemi industriali complessi di fascia alta. I "prodotti con elementi digitali" sono definiti nel CRA come prodotti che possono essere collegati a un dispositivo o a una rete e comprendono sia prodotti hardware con funzioni di rete (ad esempio smartphone, computer portatili, prodotti per la casa intelligente, smartwatch, giocattoli collegati in rete, ma anche microprocessori, firewall e contatori intelligenti) sia prodotti software puri (ad esempio software di contabilità, giochi per computer, app per dispositivi mobili).
I prodotti software open source non commerciali sono esenti dal CRA e quindi non devono soddisfare i requisiti del CRA.
Cosa succederà con il Cyber Resilience Act
I prodotti saranno marcati CE per indicare che soddisfano i requisiti del regolamento. I principali obblighi della legge si applicheranno a partire dall'11 dicembre 2027.
- 12.2024: Entrata in vigore del CRA
- 12.2026: Gli organismi di valutazione della conformità possono valutare la conformità ai requisiti del CRA.
- 12.2027: I nuovi prodotti devono soddisfare tutti i requisiti del CRA.
L'Ufficio federale tedesco per la sicurezza informatica (BSI) raccomanda alle aziende di tenere conto dei requisiti del CRA già nella fase di sviluppo del prodotto. I produttori devono effettuare una valutazione del rischio per i loro prodotti e affrontare i potenziali rischi per la sicurezza informatica.
Secondo il principio di progettazione "secure by design", i prodotti in rete devono essere progettati tenendo conto della sicurezza informatica, ad esempio garantendo che i dati memorizzati o trasmessi con il prodotto siano crittografati e che la superficie di attacco sia ridotta al minimo.
Secondo il principio della configurazione "sicura per impostazione predefinita", le impostazioni predefinite dei prodotti in rete devono contribuire ad aumentarne la sicurezza, ad esempio vietando password predefinite deboli, installando automaticamente gli aggiornamenti di sicurezza, ecc.
La gestione obbligatoria delle vulnerabilità dei prodotti deve essere presa in considerazione già durante lo sviluppo. La base è l'integrazione di strumenti per la creazione di distinte base del software (SBOM). Per il software, una SBOM è l'equivalente di un elenco di ingredienti per gli alimenti. Elenca le librerie e gli altri componenti software utilizzati nel prodotto. Il CRA prescrive la creazione di una SBOM, ma non è necessario pubblicarla.
Suggerimento di lettura: Direttiva NIS 2 - Queste società sono interessate
Ulteriori requisiti CRA
Dichiarazione di conformità
I produttori hanno bisogno di una dichiarazione di conformità per dimostrare che il rispettivo prodotto con elementi digitali soddisfa tutti i requisiti del CRA. La procedura di valutazione della conformità da applicare dipende dalla categoria di prodotto. Per la maggior parte dei prodotti, si tratta di un'autovalutazione da parte del produttore, mentre per alcuni prodotti si tratta di una valutazione da parte di un organismo notificato.
Obbligo di segnalazione
Per facilitare lo scambio di informazioni sulle vulnerabilità attivamente sfruttate e sugli incidenti di sicurezza gravi, verrà creata una nuova piattaforma di segnalazione centrale. Le segnalazioni di vulnerabilità devono essere inviate tramite la piattaforma di segnalazione.
Obbligo di supporto
Gli aggiornamenti di sicurezza devono essere resi disponibili all'utente finale durante l'intero ciclo di vita del prodotto.
La legge sulla resilienza informatica integra il quadro di sicurezza informatica NIS2, entrato in vigore lo scorso anno. Fa parte di una serie di misure globali che l'UE sta adottando per rafforzare la sicurezza informatica in un'Europa sempre più digitale e interconnessa.
Fonte: FAQ dell'Ufficio federale per la sicurezza informatica sulla legge sulla resilienza informatica
Italian 
German 
English 
French