Il Cyber Resilience Act (Reg. UE 2024/2847) è in vigore e porta requisiti “security by design/default” per prodotti con elementi digitali (hardware e software) immessi sul mercato UE. Le segnalazioni di vulnerabilità/incidenti partono dall’11 settembre 2026, mentre la maggior parte degli obblighi si applica dall’11 dicembre 2027: senza conformità non si potrà vendere in UE. Per guidare progettazione, post-market e dossier CE, molte aziende stanno formalizzando il ruolo del Product Security & Compliance Lead.
- Cosa richiede davvero il CRA (e cosa rientra nel perimetro)
- Timeline 2026–2027: priorità pratiche per team prodotto/firmware
- SBOM, vulnerability handling e marcatura CE: cosa serve nel dossier
Cosa richiede davvero il CRA (e cosa rientra nel perimetro)
Il CRA è un quadro orizzontale: si applica ai prodotti con elementi digitali (PDE) messi a disposizione sul mercato UE, inclusi componenti software venduti separatamente.
Il regolamento chiede: analisi del rischio lungo l’intero ciclo di vita; requisiti essenziali su progettazione sicura, configurazioni di default, gestione aggiornamenti; processi post-market per vulnerabilità e incidenti; documentazione tecnica e informazioni all’utilizzatore. Alcune famiglie di prodotti sono classificate come “importanti” (Class I e II) o “critiche” (allegati III–IV) e richiedono valutazioni di conformità più rigorose, fino al coinvolgimento di terze parti per la classe II/critica.
Esempi operativi (2025–2026):
- Un router consumer o una smart-lock rientrano nel perimetro e, se classificati “importanti”, possono necessitare di conformità con organismo notificato (classe II)
- Un software di gestione credenziali o un browser rientrano tra i prodotti “importanti” indicati negli allegati, con oneri di documentazione e testing più elevati.
Timeline 2026–2027: priorità pratiche per team prodotto/firmware
- Dall’11 settembre 2026 – segnalazioni obbligatorie: i produttori devono inviare un’“early warning” entro 24 ore da quando sono a conoscenza di vulnerabilità attivamente sfruttate o incidenti gravi che impattano la sicurezza del prodotto, una notifica completa entro 72 ore, e un rapporto finale (entro 14 giorni dalla misura correttiva per le vulnerabilità attivamente sfruttate; entro un mese per gli incidenti). Le segnalazioni passano dalla CRA Single Reporting Platform (SRP) verso il CSIRT competente ed ENISA. Preparare ora runbook e catene decisionali evita ritardi e sanzioni;
- Dall’11 dicembre 2027 – applicazione generale: da questa data i PDE non conformi non possono essere immessi sul mercato UE: diventano cogenti i requisiti di progettazione e post-market, la documentazione e la valutazione di conformità (fino al coinvolgimento di terze parti per classi II/critiche).
Roadmap snella: Q1–Q2 2026: definisci ruoli RACI per disclosure/incidenti e prova la catena SRP su scenari realistici; Q3–Q4 2026: completa policy di supporto e secure update, accordi con fornitori (vuln intake, tempi di patch); 2027: verifica di conformità per famiglie di prodotto (standard armonizzati non appena disponibili), contratti con importatori/distributori allineati a responsabilità CRA.
SBOM, vulnerability handling e marcatura CE: cosa serve nel dossier
Per superare audit e market surveillance, il dossier tecnico deve rendere ripetibile la conformità:
- Inventari software e componenti (incluse dipendenze open source) per supportare gestione vulnerabilità e avvisi sicurezza: molti produttori adottano SBOM come pratica di settore per mappare componenti e collegare CVE/aggiornamenti;
- Politica di aggiornamento e supporto: periodo di supporto dichiarato, auto-update abilitato di default, canali sicuri di distribuzione, note di rilascio con impatti sicurezza;
- Testing e hardening: evidenze di secure development, analisi del rischio, test funzionali/sicurezza (inclusi test su interfacce esposte); per classi “importanti/critiche”, piano di conformità con terza parte dove richiesto;
- Informazioni all’utente: istruzioni per commissioning sicuro, gestione aggiornamenti, decommissioning e rimozione dati, come richiesto dagli allegati CRA.
Marcatura CE e classi: le classi “importanti” (I/II) e le “critiche” determinano il percorso di valutazione (autovalutazione basata su standard armonizzati per molte Class I; terza parte obbligatoria per la Class II/critiche anche in presenza di standard). Pianifica per tempo la disponibilità di standard armonizzati e organismi notificati nel tuo settore.
Esempio (smart home): un produttore di telecamere domestiche documenta: SBOM, threat model, test su update OTA, politica di supporto 5 anni, log di vulnerabilità con tempi di remediation; pre-valuta con organismo notificato se il prodotto ricade in classe II per funzioni/impatti, per evitare sorprese nel 2027.
Il biennio 2026–2027 è il momento di passare da “buone pratiche” a requisiti legali su progettazione, aggiornamenti e gestione delle vulnerabilità. Preparare processi, dossier e supply-chain ora riduce tempi e costi di conformità e migliora la fiducia di clienti e distributori.
