Il Cyber Resilience Act (CRA) è il regolamento UE che porta requisiti di sicurezza by-design nei prodotti con elementi digitali (hardware, software e componenti), lungo tutto il loro ciclo di vita: progettazione, sviluppo, immissione sul mercato e manutenzione. È entrato in vigore il 10 dicembre 2024; dal 11 settembre 2026 partono gli obblighi di segnalazione di vulnerabilità attivamente sfruttate e di incidenti gravi tramite la Single Reporting Platform gestita da ENISA; dal 11 dicembre 2027 i requisiti si applicano per intero. Nel mezzo, dal 11 giugno 2026 si avvia la designazione degli organismi notificati per le valutazioni di conformità.
Pensa al CRA come a una “marcatura sicurezza”: per vendere in UE un prodotto digitale dovrai poter dimostrare come lo proteggi e come lo mantieni sicuro nel tempo. Nel 2026 conviene muoversi su quattro assi: mappare i componenti (SBOM), organizzare un processo di gestione vulnerabilità con ruoli e tempi, preparare la documentazione tecnica che prova la conformità e aggiornare i contratti di filiera (chi patcha cosa e in quanto tempo). Le date faro sono 11/09/2026 (inizio del reporting via piattaforma unica) e 11/12/2027 (applicazione completa dei requisiti).
- Cosa cambia e chi è coinvolto
- Vulnerability Handling, SBOM e aggiornamenti: come organizzarsi
- Contratti di filiera: ruoli, marcatura e gestione recall
- Angolo Lokky: coperture per errori, incidenti e contenziosi
Cosa cambia e chi è coinvolto
Il CRA copre la gran parte dei prodotti con elementi digitali immessi sul mercato UE: non solo dispositivi finiti e app, ma anche componenti (sistemi operativi, librerie, firmware) e la relativa catena di fornitura. Chiede a produttori, importatori e distributori di assicurare valutazione dei rischi, documentazione tecnica, periodo di supporto dichiarato, sorveglianza post-commercializzazione e, ove richiesto, valutazioni di conformità. Il regolamento è in vigore; il capitolo sugli organismi notificati si applica dal 11 giugno 2026, le segnalazioni di cui all’art. 14 dal 11 settembre 2026, e tutti gli altri obblighi dal 11 dicembre 2027.
Spiegato semplice: dal 2027 non potrai più “limitarti a patch occasionali”. Dovrai mostrare prima dell’immissione sul mercato che il prodotto è stato progettato e testato con criteri di sicurezza e che esiste un piano credibile di aggiornamenti e gestione incidenti.
Vulnerability Handling, SBOM e aggiornamenti: come organizzarsi
Nel 2026 serve impostare un programma strutturato che tenga insieme processi, strumenti ed evidenze:
- Gestione delle segnalazioni: definisci canali ufficiali (es. security.txt o portale), triage e priorità; prepara il flusso per l’early warning e la notifica dettagliata verso la Single Reporting Platform (tempistiche e contenuti sono scanditi dall’art. 14). La piattaforma ENISA sarà operativa per la data di avvio degli obblighi;
- Inventario componenti (SBOM): tieni l’elenco aggiornato di librerie/OS/driver per identificare in ore — non in settimane — dove impatta una CVE e su quali release; senza SBOM è difficile rispettare le finestre di mitigazione e il reporting;
- Politica di aggiornamento: definisci finestre di rilascio, firme/hash degli update, messaggi agli utenti e fine supporto esplicitata; considera come gestire i dispositivi già sul mercato quando scatta il reporting 2026;
- Qualità e test di robustezza: documenta hardening, test e default sicuri nella technical file che accompagna la marcatura/conformità.
Spiegato in maniera semplice: una SBOM è la “distinta base” del tuo software: senza non sai che cosa aggiornare. E quando scopri una vulnerabilità già sfruttata, devi avvisare tramite la piattaforma unica ed essere in grado di rilasciare rapidamente la correzione.
Contratti di filiera: ruoli, marcatura e gestione recall
Aggiorna capitolati e contratti con fornitori e rivenditori per riflettere gli obblighi CRA.
- Flow-down: trasferisci a valle gli impegni su patch, tempi di risposta, disclosure e supporto ad audit/ispezioni
- Conformità e marcatura: chiarisci chi redige e conserva la documentazione tecnica, chi gestisce la valutazione di conformità e come si coordina l’eventuale organismo notificato. Gli Stati membri stanno lavorando alla capacità degli organismi per evitare colli di bottiglia già dal 2026
- Piano di richiamo/aggiornamento forzato: definisci criteri, messaggistica ai clienti e registri delle azioni correttive; ricorda che marketplace e schede prodotto devono coincidere con il periodo di supporto dichiarato.
Spiegato in maniera semplice: metti per iscritto chi patcha cosa e entro quando. Tieni pronto un runbook per richiami e update urgenti e assicurati che la promessa commerciale (anni di supporto) sia allineata a ciò che puoi davvero mantenere.
Angolo Lokky: coperture per errori, incidenti e contenziosi
- RC Professionale: protegge da errori od omissioni effettuate involontariamente durante lo svolgimento della propria professione, con possibili ripercussioni patrimoniali
- Cyber Risk: tutela da data breach e indisponibilità durante incidenti o roll-out patch, con business interruption su linee di produzione/servizi.
- Tutela legale: assistenza legale per contenzioni e denunce in atto con clienti/autorità.
Il CRA rende la sicurezza un requisito di prodotto. Impostare nel 2026 un programma credibile di vulnerability handling, una SBOM viva, documentazione tecnica completa e contratti allineati ti evita corse nel 2027 e rende la conformità difendibile verso clienti e autorità. Con Lokky puoi combinare RC Professionale, Cyber Riske Tutela legale per ridurre l’esposizione economica durante la transizione e operare con serenità.
