Tra le normative dell’UE orientate alla sicurezza, il CRA si distingue come il quadro generale di sicurezza più ampiamente applicabile e richiede un intervento da parte di ogni fabbricante, importatore e distributore di prodotti digitali nell’UE.
Richiedi una consulenza gratuitaTempo di lettura: 8 minuti
Non esiste una definizione giuridica di cyber-resilienza. Il termine può essere inteso come la capacità di un’azienda di resistere agli attacchi hacker e di prepararsi al guasto di componenti critici per il sistema. Per creare in Europa una resilienza generale agli attacchi informatici basata su una moderna sicurezza IT e sicurezza delle informazioni, l’UE ha avviato diverse normative orientate alla sicurezza, tra cui il Cyber Resilience Act (CRA), la direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) e il Digital Operational Resilience Act (DORA).
Tra queste normative, il CRA si distingue come il quadro generale di sicurezza più ampiamente applicabile. Il CRA mira a rafforzare la sicurezza dei prodotti digitali fabbricati e venduti in tutta l’UE. Ai sensi del CRA, tutti i prodotti digitali devono essere sottoposti a una valutazione di conformità e, in alcuni casi, recare la marcatura CE prima di essere immessi sul mercato.
Il Cyber Resilience Act introduce un nuovo insieme di requisiti di sicurezza vincolanti emanati dalla Commissione europea. Il CRA mira a rafforzare la sicurezza dei prodotti digitali venduti in tutta l’UE. Ai sensi del CRA, tutti i prodotti con elementi digitali devono essere sottoposti a una valutazione di conformità e, in alcuni casi, recare la marcatura CE prima di essere immessi sul mercato.
Il Cyber Resilience Act definisce tre requisiti fondamentali per tutti i prodotti digitali presenti sul mercato dell'UE.
Il CRA si applica a tutti i prodotti digitali venduti ai consumatori finali negli Stati membri dell’UE. Rientrano nel campo di applicazione sia prodotti finiti, come gli smartphone, sia componenti, come chip e sistemi operativi. Inoltre, il CRA si applica allo stesso modo a tutti i prodotti digitali messi a disposizione sul mercato dell’UE. Non sono previste eccezioni in base alla dimensione del mercato. Il CRA richiede inoltre valutazioni di sicurezza per l’infrastruttura IT e il software utilizzati nell’ambito della “catena di fornitura digitale” nei processi IT interni di un’azienda.
Per i prodotti venduti sul mercato dell’UE, il CRA distingue i prodotti digitali in base alla loro criticità per la sicurezza dei consumatori, la cyber-resilienza delle aziende e la sicurezza nazionale e regionale.
Rappresentazione a quattro livelli (standard, importanti classe I, classe II, critici) della classificazione dei prodotti ai sensi del CRA.
Il Cyber Resilience Act definisce le seguenti classificazioni dei prodotti:
Ne fanno parte chip di memoria, app mobili, smart speaker, videogiochi e altri prodotti digitali di uso comune.
Ne fanno parte gestione degli accessi IT, browser e sistemi operativi, VPN, nonché gestione di rete e dispositivi smart home.
Ne fanno parte hypervisor e sistemi container, firewall e IDS/IPS, nonché microcontrollori e processori antimanomissione.
Ne fanno parte smart card, lettori di carte sicuri, tachigrafi e HSM, nonché gateway per smart meter e sistemi crittografici.
La Commissione europea prevede che la maggior parte dei prodotti interessati rientri nella categoria standard e sia soggetta soltanto all’autovalutazione da parte del fabbricante. I prodotti elencati nelle categorie “Importanti” e “Critici” sono invece soggetti a requisiti più rigorosi per quanto riguarda la valutazione di conformità. I fabbricanti di prodotti classificati come critici potrebbero essere tenuti a ottenere uno specifico certificato europeo di cybersicurezza; la conformità dovrà essere indicata sul prodotto tramite la marcatura CE, con un’ulteriore sorveglianza nazionale del mercato dopo l’immissione sul mercato per garantirne la corretta attuazione.
| Categoria | Valutazione di conformità | Marcatura CE | Esempi |
|---|---|---|---|
| Standard | Autovalutazione da parte del fabbricante | Obbligatoria | Chip di memoria, app mobili, smart speaker, videogiochi |
| Classe I | Regole più rigorose, possibile valutazione da parte di terzi | Obbligatoria | Gestione degli accessi IT, browser, sistemi operativi, VPN, gestione di rete, dispositivi smart home |
| Classe II | Valutazione da parte di terzi obbligatoria | Obbligatoria | Hypervisor, runtime container, firewall, IDS/IPS, microcontrollori antimanomissione |
| Critici | Organismo certificato obbligatorio, possibile certificato europeo di cybersicurezza | Obbligatoria | Smart card, lettori di carte sicuri, tachigrafi, HSM, gateway per smart meter |
Il Cyber Resilience Act definisce il proprio ambito di applicazione attraverso il concetto di “operatori economici”. Rientrano in questa definizione fabbricanti, mandatari, importatori, distributori e tutte le persone fisiche o giuridiche coinvolte nella fabbricazione o nella distribuzione di prodotti digitali nell’UE. Sono interessati sia i produttori di dispositivi finali, come gli smartphone, sia i fornitori di singoli componenti, come chip o sistemi operativi. La normativa si applica inoltre indipendentemente dalla sede dell’azienda. Anche i fabbricanti al di fuori dell’UE devono rispettare i requisiti se offrono i propri prodotti sul mercato europeo.
Il Cyber Resilience Act definisce gli “operatori economici” come segue:
Il Cyber Resilience Act stabilisce una serie di obblighi per gli operatori economici coinvolti nella fabbricazione o nella distribuzione di prodotti digitali nell’UE. In linea generale, gli attori interessati devono adottare misure per rafforzare la sicurezza dei prodotti lungo l’intero ciclo di vita, dalla progettazione alla dismissione, implementare processi per la gestione e la segnalazione delle vulnerabilità e consentire agli utenti finali di applicare misure correttive.
Progettazione sicura del prodotto e ciclo di vita, valutazioni di sicurezza e SBOM, gestione delle vulnerabilità e obblighi di segnalazione.
A seconda della gravità, le violazioni del CRA possono comportare sanzioni significative.
OPENVAS SECURITY INTELLIGENCE supporta la compliance al CRA on premise o nel cloud. Contattateci per saperne di più.
Il CRA è stato adottato il 23 ottobre 2024 come atto legislativo dell’UE ed è entrato ufficialmente in vigore il 10 dicembre 2024. Alcune scadenze di compliance al CRA si applicano in modo graduale e porteranno alla piena applicazione il 11 dicembre 2027. La Commissione continuerà a monitorare il rispetto delle nuove norme UE in materia di cybersicurezza e, se necessario, sanzionerà le violazioni.
Calendario delle fasi critiche dell’introduzione del CRA:
Dall’11 settembre 2026, i produttori dovranno rispettare rigorose scadenze di segnalazione per vulnerabilità attivamente sfruttate e incidenti gravi.
Prima notifica a ENISA e al CSIRT nazionale.
Prodotti coinvolti, dettagli della vulnerabilità e indicazioni per la mitigazione.
Dettagli conclusivi sulle misure adottate dopo un aggiornamento di sicurezza o un workaround.
Da oltre 15 anni Greenbone aiuta i propri clienti a prepararsi al miglior standard di sicurezza possibile. Vediamo nel Cyber Resilience Act un’opportunità per offrire supporto e costruire la massima cyber-resilienza possibile. La piattaforma OPENVAS SECURITY INTELLIGENCE aiuta le aziende a soddisfare i requisiti on premise o nel cloud.
Dashboard OPENVAS SECURITY INTELLIGENCE con risultati delle scansioni delle vulnerabilità, distribuzione della gravità CVSS e inventario degli asset, allineato ai requisiti di segnalazione del CRA.
Flusso di processo orizzontale: scansione degli asset, valutazione della SBOM, prioritizzazione delle CVE, generazione del report, notifica all’ENISA.
Che cos’è la cyber-resilienza?
Non esiste una definizione giuridica di cyber-resilienza. Il termine può essere inteso come la capacità di un’azienda di resistere agli attacchi hacker e di prepararsi al guasto di componenti critici per il sistema.
Che cos’è il Cyber Resilience Act (CRA) dell’UE?
Il Cyber Resilience Act introduce un nuovo insieme di requisiti di sicurezza vincolanti emanati dalla Commissione europea. Mira a rafforzare la sicurezza dei prodotti digitali venduti in tutta l’UE. Ai sensi del CRA, tutti i prodotti con elementi digitali devono essere sottoposti a una valutazione di conformità e, in alcuni casi, recare la marcatura CE prima di essere immessi sul mercato.
Quali prodotti sono interessati dal Cyber Resilience Act?
Il Cyber Resilience Act si applica a tutti i prodotti digitali venduti ai consumatori finali negli Stati membri dell’UE. Rientrano nel campo di applicazione sia prodotti finiti, come gli smartphone, sia componenti, come chip e sistemi operativi. Non sono previste eccezioni in base alla dimensione del mercato. Il CRA richiede inoltre valutazioni di sicurezza per l’infrastruttura IT e il software utilizzati nell’ambito della “catena di fornitura digitale” nei processi IT interni di un’azienda.
Il CRA si applica anche ai fabbricanti al di fuori dell’UE?
Sì. Il CRA non è limitato ai fabbricanti con sede principale nell’UE. I fabbricanti al di fuori dell’UE sono soggetti ai requisiti del CRA se vendono prodotti nell’UE. Importatori e distributori sono inoltre responsabili di verificare che il fabbricante abbia completato i passaggi di compliance richiesti prima che un prodotto sia messo a disposizione sul mercato dell’UE.
Che cos’è una valutazione di conformità ai sensi del CRA?
Una valutazione di conformità è la procedura con cui un fabbricante dimostra che un prodotto soddisfa i requisiti essenziali di sicurezza del CRA. La maggior parte dei prodotti nella categoria standard è soggetta alla sola autovalutazione da parte del fabbricante. I prodotti nelle categorie Importanti classe I, classe II e Critici sono soggetti a requisiti più rigorosi. I fabbricanti di prodotti critici potrebbero dover ottenere uno specifico certificato europeo di cybersicurezza, con la conformità indicata tramite la marcatura CE.
Quali obblighi di segnalazione delle vulnerabilità prevede il CRA?
A partire dall’11 settembre 2026, i fabbricanti interessati dovranno segnalare all’ENISA entro 24 ore le vulnerabilità note e gli exploit noti, comunicare gli incidenti di sicurezza agli utenti del prodotto insieme ai passaggi necessari per la correzione e segnalare ai rispettivi fornitori terzi le vulnerabilità identificate nei componenti di terze parti.
Che cos’è una Software Bill of Materials (SBOM) e perché il CRA la richiede?
Una Software Bill of Materials (SBOM) è un inventario completo di tutti i componenti software presenti in un prodotto digitale. Il CRA richiede ai fabbricanti di eseguire scansioni delle vulnerabilità, incluse valutazioni SBOM, per assicurare che i prodotti siano privi di vulnerabilità note e di fornire ai clienti a valle una SBOM con i componenti software del prodotto.
Il CRA si applica anche al software open source?
Il software open source distribuito commercialmente può rientrare negli obblighi previsti dal CRA. I contributi FOSS non commerciali sono generalmente esclusi.
I responsabili di progetti open source possono essere soggetti a obblighi più limitati, come il mantenimento di una policy di cybersicurezza, il coordinamento della divulgazione delle vulnerabilità e la collaborazione con le autorità di vigilanza del mercato.
Quando sarà pienamente applicabile il CRA?
Il CRA è stato adottato il 23 ottobre 2024 come atto legislativo dell’UE ed è entrato ufficialmente in vigore il 10 dicembre 2024. Le scadenze di compliance si applicano in modo graduale: disposizioni del capitolo IV sugli organismi di valutazione della conformità dall’11 giugno 2025, obblighi di segnalazione delle vulnerabilità ai sensi dell’articolo 14 dall’11 settembre 2026 e piena applicazione di tutti gli altri requisiti dall’11 dicembre 2027.
Qual è il rapporto tra CRA, NIS2 e DORA?
Il CRA, la direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS) e il Digital Operational Resilience Act (DORA) fanno tutti parte del quadro normativo dell’UE orientato alla sicurezza. Tra questi, il CRA si distingue come il quadro generale di sicurezza più ampiamente applicabile, perché copre tutti i prodotti digitali messi a disposizione sul mercato dell’UE, indipendentemente dal settore o dalle dimensioni dell’azienda.
In che modo Greenbone aiuta nella compliance al CRA?
Da oltre 15 anni Greenbone aiuta i clienti a prepararsi al miglior standard di sicurezza possibile. La piattaforma OPENVAS SECURITY INTELLIGENCE di Greenbone supporta le aziende nelle analisi continuative delle vulnerabilità e negli audit esterni richiesti dal CRA, on premise o nel cloud.
La piena applicazione inizierà a dicembre 2027, ma l’obbligo di segnalazione delle vulnerabilità entrerà in vigore già a settembre 2026. Parlate ora con noi e scoprite come OPENVAS SECURITY INTELLIGENCE può supportare il vostro programma di compliance al CRA, on premise o nel cloud.
