Preparati al nuovo Regolamento UE con il nostro CRA Readiness Check.

Individui o aziende che sviluppano, producono o commercializzano prodotti che contengono elementi digitali, indipendentemente dal fatto che siano a pagamento o gratuiti.

Individui o aziende all'interno dell'UE che immettono sul mercato prodotti con elementi digitali che portano il nome o il marchio di una persona fisica o di un'azienda al di fuori dell'UE.

Individui o aziende che forniscono il mercato dell'UE con prodotti con elementi digitali senza modificare le loro caratteristiche, ad eccezione dei produttori e degli importatori.

Aziende diverse dai produttori che supportano sistematicamente lo sviluppo di specifici prodotti con elementi digitali considerati software open-source per scopi commerciali.

Sistemi elettronici fisici che elaborano, memorizzano o trasmettono dati digitali, inclusi i componenti di tali sistemi.

Software integrato (software embedded), software autonomo e soluzioni software commerciali.

Soluzioni di elaborazione dei dati remoto, come i servizi cloud, offerti dai produttori di elettrodomestici smart e controllati a distanza.

Oggi, la cybersecurity è più critica che mai per governi, aziende e individui. Riconoscendo questo, a settembre, l'UE ha pubblicato il Cyber Resilience Act (CRA), che era stato adottato dal Parlamento Europeo il 12 marzo 2024. L'obiettivo è introdurre requisiti di cybersecurity vincolanti per i “prodotti con elementi digitali” a partire dal 2027, per aumentare la resilienza agli attacchi informatici nell'UE e garantire l'affidabilità dei servizi digitali.

Prima di tutto, il CRA mira a ridurre le vulnerabilità e le debolezze nei prodotti contenenti elementi digitali con l'obiettivo di contribuire a minimizzare il rischio di attacchi informatici e i pericoli associati per gli utenti e per l'intera catena di approvvigionamento. In secondo luogo, il Cyber Resilience Act promuoverà una maggiore responsabilità da parte dei produttori e dei fornitori. Questi sono ora tenuti a garantire che la progettazione e la distribuzione dei loro prodotti siano sicure prima che raggiungano il mercato europeo. Ciò aumenta la sicurezza nell'intero ciclo di vita di un prodotto. Infine, il Cyber Resilience Act mira a migliorare la trasparenza per gli utenti fornendo informazioni chiare sulle caratteristiche di sicurezza e sui potenziali rischi dei prodotti digitali. Questo permetterà ai consumatori di prendere decisioni informate e di essere meglio consapevoli su come utilizzare in sicurezza i loro prodotti digitali.

Il Cyber Resilience Act (CRA) e la Direttiva NIS 2 condividono lo stesso obiettivo di migliorare la cybersecurity nell'UE. Tuttavia, ognuno ha un focus diverso. Mentre il CRA si concentra sulla sicurezza dei prodotti digitali stabilendo standard vincolanti per hardware e software venduti nell'UE, la Direttiva NIS 2 si concentra sulla sicurezza delle reti e dei sistemi informativi che sono vitali per le infrastrutture critiche e per i servizi importanti.

Insieme, i due regolamenti forniscono una strategia di cybersecurity completa nell'UE che copre sia i prodotti che le infrastrutture. Le aziende che producono prodotti e offrono servizi critici devono tenere conto dei requisiti di entrambi i regolamenti e coordinare di conseguenza le proprie misure di sicurezza.

Le violazioni possono comportare multe fino a 15 milioni di euro o il 2,5% del fatturato globale annuale dell'azienda interessata, a seconda di quale importo sia maggiore. Inoltre, i prodotti con elementi digitali che non rispettano i requisiti del CRA una volta entrati in vigore non possono essere immessi sul mercato. Rischiano di essere esclusi dalle catene di approvvigionamento e dalle gare d'appalto.

I produttori sono tenuti a rispettare requisiti di cybersecurity completi, che includono l'identificazione continua e la documentazione degli aspetti di sicurezza e l'eliminazione rapida delle vulnerabilità. Devono anche sottoporre i loro prodotti a una valutazione di conformità e fornire alle autorità le informazioni e le notifiche necessarie.

Gli amministratori di software open-source (OSS) hanno anche una responsabilità importante, poiché sviluppano una strategia di cybersecurity e svolgono compiti amministrativi come la fornitura di documentazione tecnica. Gli importatori sono responsabili di garantire che i prodotti che immettono sul mercato dell'UE rispettino i requisiti del CRA. Devono verificare che i produttori soddisfino i loro obblighi e adottare le necessarie misure correttive in caso di non conformità.

Sia i distributori che gli importatori hanno il dovere di garantire e verificare che il produttore abbia soddisfatto i requisiti del CRA. Se uno di questi due attori economici apporta modifiche significative al prodotto, i distributori e gli importatori sono considerati produttori ai sensi del CRA (non solo assumono gli obblighi dei produttori, ma sono anche produttori in termini giuridici rigorosi rispetto al CRA). I "rappresentanti autorizzati" assumono solo determinati obblighi amministrativi del produttore (non degli importatori).

Per soddisfare i requisiti del Cyber Resilience Act dell'UE e garantire che i loro prodotti siano sicuri per il mercato europeo, le aziende dovrebbero implementare una strategia di cybersecurity completa. Questa strategia dovrebbe includere l'identificazione e la risoluzione continua delle vulnerabilità, la crittografia dei dati e la minimizzazione delle superfici di attacco. È necessaria una classificazione approfondita dei prodotti e una valutazione del rischio per identificare requisiti specifici e intraprendere azioni mirate. Inoltre, è cruciale che le aziende conducano valutazioni regolari di conformità dei loro prodotti e forniscano documentazione tecnica aggiornata per dimostrare la conformità al CRA. Gli aggiornamenti di sicurezza e la manutenzione continua durante l'intero ciclo di vita del prodotto sono anch'essi fondamentali. Formando i loro dipendenti e lavorando con esperti esterni, le aziende possono garantire che le loro misure di cybersecurity siano conformi alle nuove regole, rafforzando così la loro posizione nel mercato europeo.