01Che cos'è il CRA
Il regolamento sulla ciberresilienza è la prima legge a livello dell'UE a stabilire requisiti obbligatori di cibersicurezza per prodotti con elementi digitali; hardware e software; durante l'intero ciclo di vita. Sposta la responsabilità della sicurezza sulle organizzazioni che immettono tali prodotti sul mercato, anziché lasciarla agli utenti. Art. 1
In pratica, un prodotto può essere messo a disposizione sul mercato dell'UE solo se soddisfa i requisiti essenziali stabiliti nell'Allegato I e se il fabbricante ha adempiuto agli obblighi a esso connessi. La conformità è segnalata dalla Marcatura CE.
Se il prodotto presenta elementi digitali e raggiunge il mercato dell'UE, deve essere progettato, costruito e mantenuto secondo uno standard di cibersicurezza definito; e occorre essere in grado di dimostrarlo.
02A chi si applica
Il regolamento riguarda i prodotti con elementi digitali il cui uso previsto o ragionevolmente prevedibile include una connessione dati diretta o indiretta. Gli obblighi sono distribuiti lungo la catena di approvvigionamento: Art. 13–28
- Fabbricanti; sono soggetti agli obblighi primari: progettazione, documentazione, valutazione della conformità e gestione delle vulnerabilità.
- Importatori; possono immettere sul mercato solo prodotti conformi e devono verificare che gli obblighi del fabbricante siano stati rispettati.
- Distributori; devono agire con la dovuta diligenza e verificare la presenza della marcatura CE e della documentazione.
I prodotti già disciplinati da norme settoriali; quali dispositivi medici, veicoli a motore e aviazione civile; sono esclusi, così come i componenti open source non commerciali.
03Classi di prodotto
La procedura di conformità richiesta dipende dal grado di criticità del prodotto. La maggior parte dei prodotti effettua l'autovalutazione; le categorie a rischio più elevato elencate negli allegati sono soggette a procedure più rigorose. Art. 6–7 · Annex III–IV
| Classe | Esempi | Percorso di conformità |
|---|---|---|
| Predefinito | La maggior parte dei prodotti con elementi digitali | Autovalutazione |
| Importante; I | Gestori di password, gestione di rete, VPN | Norme o valutazione da parte di terzi |
| Importante; II | Sistemi operativi, firewall, microprocessori | Valutazione da parte di terzi |
| Critico | Contatori intelligenti, smart card, elementi sicuri | Certificazione obbligatoria |
04Obblighi principali
I requisiti essenziali dell'Allegato I si suddividono in due gruppi; le proprietà che il prodotto deve possedere e i processi che il fabbricante deve attuare. Allegato I
- Sicurezza fin dalla progettazione e per impostazione predefinita; forniti con una configurazione sicura e una superficie di attacco ridotta al minimo.
- Nessuna vulnerabilità sfruttabile nota; forniti privi di difetti sfruttabili noti.
- Gestione delle vulnerabilità; un processo per individuare, documentare, correggere e divulgare i problemi.
- Aggiornamenti di sicurezza; aggiornamenti gratuiti e tempestivi per tutto il periodo di supporto definito.
- Distinta base del software (SBOM); mantenere un SBOM che copra i componenti del prodotto.
- Segnalazione; notificare all'ENISA e al CSIRT competente le vulnerabilità sfruttate attivamente e gli incidenti gravi, con un preallarme entro 24 ore.
05Cronologia e sanzioni
Il regolamento è già in vigore; i suoi obblighi entrano in applicazione gradualmente negli anni successivi. Art. 71
- Ott 2024Adottato e promulgato.
- Dic 2024Entrato in vigore.
- Set 2026Si applicano gli obblighi di segnalazione (21 mesi dopo l'entrata in vigore).
- Dic 2027Applicazione integrale; si applica la maggior parte delle disposizioni (36 mesi).
La non conformità ai requisiti essenziali può comportare sanzioni fino a €15 milioni o al 2,5% del fatturato mondiale annuo totale, se superiore.
06Cosa fare in seguito
Iniziare confermando se il regolamento si applica al proprio prodotto, quindi seguire gli orientamenti redatti per il proprio ruolo.