Comprendere il Regolamento sulla Ciberresilienza

Il Regolamento sulla Ciberresilienza (Regolamento (UE) 2024/2847) è un regolamento dell'UE di carattere orizzontale che introduce requisiti obbligatori di sicurezza informatica per i prodotti con elementi digitali (PED) immessi sul mercato dell'UE. È entrato in vigore l'11 dicembre 2024.

Il CRA si applica per tutto il ciclo di vita del prodotto, dalla progettazione e sviluppo fino alla fine del supporto. Stabilisce requisiti essenziali di sicurezza (Allegato I), obblighi documentali, un regime di segnalazione delle vulnerabilità e procedure di valutazione della conformità. L'obiettivo è garantire che i prodotti hardware e software siano sicuri fin dalla progettazione e rimangano sicuri per tutta la loro vita supportata.

Il CRA si applica a qualsiasi operatore economico che:

• Produce prodotti con elementi digitali e li immette sul mercato dell'UE, inclusi hardware con software integrato e prodotti software autonomi
• Importa prodotti da produttori non UE e li immette sul mercato dell'UE con il proprio nome o marchio
• Distribuisce prodotti sul mercato dell'UE senza modificarli
• Gestori di software open source che forniscono sistematicamente software gratuito/open source destinato all'uso commerciale

I produttori non UE che vendono prodotti nell'UE rientrano pienamente nell'ambito di applicazione. Devono designare un rappresentante autorizzato stabilito nell'UE (articolo 17).

Un prodotto con elementi digitali (PED) è qualsiasi prodotto software o hardware e la sua soluzione di elaborazione dei dati da remoto, che dispone di una connessione dati diretta o indiretta a un dispositivo o a una rete. Questa definizione intenzionalmente ampia comprende:

• Dispositivi IoT consumer (casa intelligente, wearable, router)
• Hardware industriale con connettività di rete
• Applicazioni software autonome (desktop, mobile, server)
• Sistemi operativi e hypervisor
• Componenti software e librerie immessi sul mercato
• Dispositivi connessi al cloud in cui il produttore controlla il backend

Determinati settori sono parzialmente o totalmente esclusi, tra cui i dispositivi medici ai sensi del MDR/IVDR, i veicoli a motore ai sensi della normativa sull'omologazione, l'aviazione civile e le attrezzature marine.

Non tutti i PDE sono trattati allo stesso modo. Il CRA suddivide i prodotti rientranti nel suo ambito in quattro classi in base al loro profilo di rischio per la cibersicurezza, come stabilito negli Allegati III e IV:

• Predefinito — tutti i prodotti rientranti nell'ambito non elencati nell'Allegato III o IV. La grande maggioranza dei PDE rientra in questa categoria.
• Importante — Classe I (Allegato III, Classe I) — prodotti che presentano un rischio significativo per la cibersicurezza, come software per la gestione delle identità, browser, gestori di password e sistemi operativi per uso generale.
• Importante — Classe II (Allegato III, Classe II) — prodotti ad alto rischio, tra cui hypervisor, TPM, software di automazione industriale e gateway per contatori intelligenti.
• Critico (Allegato IV) — i prodotti a rischio più elevato, tra cui moduli di sicurezza hardware (HSM), smart card e dispositivi hardware con box di sicurezza.

La classificazione determina la procedura di valutazione della conformità che un produttore deve seguire prima di apporre la marcatura CE:

Classe	Autovalutazione (Modulo A)	Organismo notificato (Modulo B+C / H)
Predefinito	Sempre disponibile	Facoltativo
Importante — Classe I	Se si applicano norme armonizzate	Obbligatorio senza norme armonizzate
Importante — Classe II	Non disponibile	Obbligatorio
Critico	Non disponibile	Obbligatorio (o certificazione di cibersicurezza UE)

→ Utilizzare lo strumento di classificazione dei prodotti per trovare la classe e la procedura di conformità

Il CRA stabilisce un sistema graduato di sanzioni amministrative ai sensi dell'Articolo 64. Le autorità di sorveglianza del mercato di ciascuno Stato membro dell'UE possono irrogare tali sanzioni a fabbricanti, importatori, distributori e gestori di software open source.

Livello 1 — fino a 15 000 000 € o il 2,5 % del fatturato annuo mondiale (il valore più elevato):

Mancato rispetto dei requisiti essenziali di cibersicurezza dell'Allegato I, o violazioni relative alla marcatura CE, alla valutazione della conformità, alla documentazione tecnica o all'obbligo del rappresentante autorizzato (Articoli 13, 16, 19–22, 24).

Livello 2 — fino a 10 000 000 € o il 2 % del fatturato annuo mondiale (il valore più elevato):

Violazioni degli obblighi di notifica delle vulnerabilità e degli incidenti di sicurezza ai sensi dell'Articolo 14, mancata notifica agli organismi di valutazione della conformità o mancata cooperazione con le autorità di sorveglianza del mercato (Articoli 15, 17, 18, 23).

Livello 3 — fino a 5 000 000 € o l'1 % del fatturato annuo mondiale (il valore più elevato):

Fornitura di informazioni errate, incomplete o fuorvianti a organismi notificati o autorità di sorveglianza del mercato.

Per le grandi organizzazioni con ricavi globali significativi, il massimale basato sul fatturato supererà tipicamente il massimo fisso. Gli Stati membri possono altresì imporre sanzioni aggiuntive ai sensi del diritto nazionale. La scadenza dell'Articolo 14 dell'11 settembre 2026 è il primo momento in cui le sanzioni di livello 2 diventano applicabili.