Cyber Resilience Act (CRA) 2024
2 min

Cyber Resilience Act (CRA): guida ai requisiti UE

Definizione del CRA e destinatari

Articolo di: Federico Talentino Data: 04 Jun 2026

CYBER RESILIENCE ACT: COS'È E LINEE GUIDA PER LA NUOVA ERA DELLA CYBERSECURITY

Il Cyber Resilience Act (CRA) è stato votato dal Parlamento Europeo, poi adottato dal Consiglio EU nel 2024 e prevede un periodo di transizione di tre anni una volta promulgato ufficialmente sulla Gazzetta Ufficiale dell'UE.

Il Cyber Resilience Act è solo l’ultimo tassello di un lungo percorso volto all’innalzamento dei livelli di cybersecurity all’interno dell’Unione Europea. A partire dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR) nel 2018, seguito immediatamente dal Cybersecurity Act nel 2019 che propone un quadro generale per la certificazione di prodotti e servizi rispetto alla cybersecurity, l’UE ha introdotto diversi strumenti volti a incrementare i livelli di sicurezza cyber negli stati membri, sottolineando l’importanza di questa tematica nel mondo contemporaneo.

Ecco cosa occorre sapere per prepararsi al meglio al CRA.

 

Cos’è il cyber resilience act e quali sono le scadenze?

Il Cyber Resilience Act (CRA) è un quadro giuridico di riferimento che introduce i requisiti obbligatori di cybersecurity dell'UE per i prodotti hardware e software durante il loro ciclo di vita. Si applica ai Product Digital Elements (PDE) o prodotti hardware e software fabbricati, importati e distribuiti nell'Unione Europea (UE), come laptop, dispositivi mobili, sensori e fotocamere, router, firmware, app, videogiochi, schede video e processori. Il regolamento rintroduce dei requisiti di cybersecurity per ottenere il marchio CE sui prodotti digitali.

L'obiettivo del CRA è garantire che i prodotti con elementi digitali siano meno vulnerabili e che la gestione della cybersecurity avvenga durante l'intero ciclo di vita del prodotto. Questo rafforza la fiducia e la protezione degli utenti migliorando trasparenza e affidabilità.

Per quanto riguarda le scadenze, esistono due date fondamentali da considerare in tema CRA:

  • Dall’11 settembre 2026, la segnalazione delle vulnerabilità attivamente sfruttate contenute nel prodotto sarà obbligatoria per i fabbricanti secondo le tempistiche specificate in precedenza
  • Dall’11 dicembre 2027 sarà richiesta la piena applicazione del CRA e quindi per ogni prodotto sarà necessaria la conformità, pena la non possibilità di vendita nel mercato UE


Vuoi capire come prepararti alle scadenze del Cyber Resilience Act? I nostri esperti possono supportarti con una valutazione iniziale del tuo livello di conformità.

Contatta i nostri esperti

 

Perché il Cyber Resilience Act è importante?

Il Cyber Resilience Act nasce in risposta alla crescita dei rischi legati a IoT, software e prodotti digitali connessi. Con l’aumento degli attacchi informatici, aziende, consumatori e istituzioni chiedono standard più chiari per la cybersecurity e la protezione dei dati.

Oggi non sono a rischio solo PC e smartphone, ma anche elettrodomestici smart, dispositivi wearable, sistemi di videosorveglianza e stampanti connesse. Se vulnerabili, questi prodotti possono diventare un punto di accesso a dati personali, reti domestiche e infrastrutture aziendali.

F. Brunello

Nel caso di una rete domestica, per esempio, la violazione di una lavatrice smart può portare i malintenzionati ad accedere ad altre risorse private sulla rete come PC contenenti dati personali. Traslando il discorso su una rete aziendale, una stampante smart vulnerabile potrebbe mettere in pericolo dati confidenziali contenuti in server critici.

Fabiano Brunello

PS Cyber Coordinator

  
Per questo il CRA impone un approccio orientato a sicurezza, aggiornamenti e conformità lungo tutto il ciclo di vita del prodotto. Per le aziende, adeguarsi significa ridurre i rischi, proteggere i clienti e rafforzare la competitività sul mercato UE.

 

Cosa prevede il CRA e a cosa si applica

Il CRA si applica a quei prodotti che contengono elementi digitali il cui utilizzo previsto includa connessioni logiche o fisiche, dirette o indirette verso altri dispositivi o verso delle reti. I prodotti digitali interessati in particolare, si possono classificare in quattro categorie:

  • Prodotti di default: prodotti per i quali la valutazione della conformità ai requisiti essenziali di cybersicurezza può essere effettuata dal fabbricante sotto la propria esclusiva responsabilità
  • Prodotti Importanti di Classe I (rischio di sicurezza elevato): prodotti per cui è possibile utilizzare il modulo di autovalutazione rispetto a delle norme armonizzate qualora siano disponibili, in caso contrario è necessaria la verifica da parte di terzi
  • Prodotti Importanti di Classe II (rischio di sicurezza molto elevato): prodotti per cui è necessaria la verifica da parte di enti terzi
  • Prodotti Critici (rischio di sicurezza massimo): prodotti per cui è necessaria la verifica da parte di organismi terzi oltre alla certificazione europea di cybersecurity

Inoltre, oltre al prodotto in sé, il CRA prevede che vengano considerate tutte le soluzioni collegate all’utilizzo del prodotto stesso che prevedono la possibilità di elaborare dati da remoto. Sia per i prodotti che per le soluzioni di elaborazione menzionate è importante fin da subito chiarire se essi rientrano o meno nella normativa, alla luce del fatto che diversi prodotti con le caratteristiche indicate, potrebbero non rientrare in scope perché già coperti da altri regolamenti più specifici.

 

Quali sono i requisiti essenziali del CRA?

Il CRA si basa su una serie di obblighi a livello organizzativo e di prodotto che non riguardano solamente i produttori che fabbricano il prodotto digitale, bensì anche eventuali importatori e distributori, che sono tenuti a verificare e garantire la conformità dei prodotti quando questi vengono immessi nel mercato UE. Esistono quindi degli obblighi specifici ben definiti per tutte e tre le categorie, dettagliate in articoli diversi del CRA.

La normativa si basa su alcuni requisiti essenziali di cybersicurezza tra i quali:

  • La sicurezza by design, cioè l’idea di considerare l’aspetto della cybersecurity sin dalle prime fasi di progettazione del prodotto
  • La corretta gestione degli aggiornamenti del prodotto durante tutto il ciclo di vita previsto
  • La corretta gestione delle vulnerabilità collegate ad ogni componente insieme alla creazione di una procedura di responsible disclosure che sia utile a gestire e risolvere le vulnerabilità stesse; a questo proposito viene utile un altro requisito, ovvero la redazione di un documento SBOM (Software Bill Of Materials) che serve a tracciare tutte le componenti software del prodotto ma può, di conseguenza, risultare utile a tracciare le vulnerabilità collegate ad ognuno di essi
  • La corretta gestione degli incidenti, con le opportune segnalazioni alle autorità competenti entro le tempistiche previste:
    • Avviso preventivo entro 24 ore in caso di evidenze di vulnerabilità sfruttate attivamente o incidenti con impatto sul prodotto
    • Report dettagliato entro 72 ore in caso di evidenze di vulnerabilità sfruttate attivamente o incidenti con impatto sul prodotto
    • Report finale sulle vulnerabilità entro 14 giorni dalla pubblicazione di una patch
    • Report finale sull’incidente entro 1 mese dall’accadimento
    • Avviso ai consumatori in entrambi i casi considerati, in modo rapido e appropriato alla situazione
  • La redazione dell’opportuna documentazione tecnica, che deve essere mantenuta per almeno dieci anni dall’immissione sul mercato e che deve comprendere: il già menzionato SBOM e l’elenco delle vulnerabilità, la valutazione del rischio del prodotto in base alle sue caratteristiche, la documentazione utente, i report con le evidenze dei test di sicurezza eseguiti e la dichiarazione formale di conformità ai requisiti CRA

 

Cosa succede se i prodotti non sono conformi?

Un aspetto da sottolineare è poi quello delle significative sanzioni finanziarie che il CRA introduce per le non conformità:

  • Fino a 15 milioni di € (o il 2,5% del fatturato globale) per la violazione di requisiti essenziali.
  • Fino a 10 milioni di € (o il 2% del fatturato globale) per la violazione di altri obblighi non essenziali relativi a specifici articoli della norma
  • Fino a 5 milioni di € (o l’1% del fatturato globale) per la diffusione di informazioni fuorvianti

Gli aspetti elencati fin qui sono solamente i principali temi cui porre attenzione per quanto riguarda il CRA, che presenta però altri aspetti molto importanti che sono trattati in altri specifici articoli, ad esempio, la gestione del software open source e la gestione delle modifiche sostanziali ai prodotti effettuate in seguito alla loro commercializzazione.

 

Il lavoro di TÜV SÜD al fianco dei propri clienti

Il supporto fornito da TÜV SÜD per la conformità al CRA può essere suddiviso e organizzato in quattro fasi temporali di interazione con il cliente:

  1. TÜV SÜD eroga una serie di attività di workshop e training iniziali, durante i quali effettua una raccolta di informazioni interagendo e confrontandosi con il cliente, grazie alle quali può effettuare la gap analysis sul prodotto da verificare
  2. Il cliente esegue un approfondimento relativo alla gap analysis effettuata da TÜV SÜD ed effettua, anche grazie ad un confronto preliminare con TÜV SÜD, la pianificazione delle attività necessarie per ottenere la conformità
  3. Il cliente esegue le attività necessarie a colmare il gap rilevato dai professionisti TÜV SÜD
  4. TÜV SÜD si occupa della validazione dell’attività con l’esecuzione dei test necessari e il rilascio finale di:
    1. Un CRA test report che evidenzia le caratteristiche di conformità del prodotto
    2. Un certificato rilasciato dall’ente accreditato di TÜV SÜD (quando richiesto)

La prima fase è stata pensata per permettere ai partner di approfondire la normativa tramite diverse attività di workshop e training con gli esperti di TÜV SÜD, in modo da fornire al cliente gli opportuni strumenti utili alla comprensione della norma, delle attività necessarie, dello stato di sicurezza del prodotto e degli articoli della normativa che si applicano allo stesso. Una volta chiara la situazione e l’ambito di applicazione è possibile procedere con l’analisi delle caratteristiche del prodotto, identificando eventuali carenze e aspetti da correggere o migliorare su cui il cliente potrà lavorare, per poi arrivare all’effettiva esecuzione degli opportuni test di sicurezza, che sono mirati alla redazione di un test report finale. Quando necessario, in quanto ente certificatore, TÜV SÜD può rilasciare la necessaria certificazione anche per quei prodotti che rientrano nelle classi più critiche previste dalla normativa-

Preparati al Cyber Resilience Act con il supporto di TÜV SÜD -I nostri esperti ti accompagnano nel percorso verso la conformità, dalla valutazione iniziale alla certificazione.

Contattaci

I servizi di TÜV SÜD per il CRA

I servizi che TÜV SÜD può fornire ai propri clienti in tema di Cyber Resilience Act sono di vario genere e tra questi vi sono:

  • CRA Awareness e CRA Readiness (workshop e training)
  • Applicabilità e scopo per i prodotti secondo i requisiti CRA
  • Principi generali di resilienza: threat modeling, analisi del rischio, produzione e distribuzione sicura
  • Supply Chain Due Diligence (attività di training e audit)
  • Gestione delle vulnerabilità e SBOM (Software Bill Of Materials)
  • CRA test report e certificazione

Infine, i professionisti di TÜV SÜD sono sempre disponibili a ritagliare servizi su misura per ogni specifico cliente, cercando di soddisfare anche le necessità più particolari grazie a soluzioni customizzate che possano essere efficaci nel risolvere anche le problematiche più complesse e inusuali. L’obbiettivo di TÜV SÜD resta quello di stabilire un rapporto proficuo con i partner che permetta di favorire lo sviluppo di una cultura della sicurezza che tenga al sicuro le aziende e i consumatori dalle minacce del mondo cibernetico.

Come possiamo aiutarti?

// Contattaci
// Newsletter
// Uffici
LinkedIn Instagram Youtube

Site Selector

Global

Americas

Asia

Europe

Middle East and Africa