In vigore da oltre un anno, il Regolamento europeo sulla sicurezza dei prodotti digitali è rimasto finora sullo sfondo. Ma con i primi obblighi di segnalazione in arrivo a settembre 2026 e la piena applicazione fissata a dicembre 2027, il tempo per prepararsi si sta riducendo rapidamente.
Il Cyber Resilience Act (CRA), Regolamento UE 2024/2847, è in vigore dal 10 dicembre 2024, eppure molte aziende — fabbricanti e utilizzatrici — lo hanno finora trattato come un adempimento lontano. Comprensibile, considerando che nel frattempo l’attenzione si è concentrata sulle scadenze più immediate della NIS2 e sugli obblighi già operativi del GDPR. Ora, però, il calendario del CRA inizia a farsi concreto: a settembre 2026 scattano i primi obblighi di notifica, e chi produce o distribuisce prodotti con elementi digitali — dal software gestionale al router, dal dispositivo IoT industriale al firmware di un macchinario — non può più permettersi di rimandare.
Perché un regolamento sui prodotti
Finora la normativa europea sulla cybersecurity si è concentrata soprattutto sulle organizzazioni: il GDPR impone misure tecniche e organizzative a chi tratta dati personali, la Direttiva NIS2 obbliga i soggetti essenziali e importanti ad adottare politiche di gestione del rischio informatico. Ma nessuna norma affrontava in modo sistematico il problema a monte, ovvero la sicurezza dei prodotti che quelle organizzazioni acquistano e utilizzano ogni giorno.
Il CRA colma questa lacuna. L’idea di fondo è semplice: se un’azienda è tenuta a proteggere le proprie reti e i dati che tratta (come richiesto da NIS2 e GDPR), deve poter contare su prodotti che siano sicuri by design e by default. La responsabilità della sicurezza non può ricadere solo sull’utilizzatore finale, ma deve partire dal fabbricante.
A chi si applica
Il regolamento si rivolge a fabbricanti, importatori e distributori di prodotti con elementi digitali, ovvero qualsiasi hardware o software la cui destinazione d’uso preveda una connessione diretta o indiretta a un dispositivo o a una rete. Il perimetro è vastissimo: telecamere IP, smart TV, router, sistemi operativi, applicazioni desktop e mobile, software industriale, componenti embedded.
Sono esclusi i prodotti già coperti da normative settoriali specifiche che garantiscono un livello equivalente di protezione, come i dispositivi medici (regolati dal MDR), i veicoli a motore e i sistemi aeronautici. Anche il software open source sviluppato al di fuori di un’attività commerciale è generalmente escluso, ma attenzione: se il software FOSS viene integrato in un prodotto commerciale o monetizzato, rientra nel campo di applicazione del CRA.
Le PMI non godono di esenzioni, ma il regolamento prevede misure di facilitazione per ridurre l’onere di adeguamento.
Gli obblighi principali
Il cuore del CRA sta nei requisiti essenziali di cybersecurity dell’Allegato I, che i fabbricanti devono rispettare lungo l’intero ciclo di vita del prodotto — dalla progettazione alla dismissione. Tra gli aspetti più rilevanti vi sono la valutazione dei rischi, la minimizzazione della superficie di attacco, la protezione dell’integrità e riservatezza dei dati trattati dal prodotto, la gestione sicura degli aggiornamenti e la documentazione tecnica completa, inclusa la generazione di un SBOM (Software Bill of Materials).
Il fabbricante è inoltre tenuto a implementare un processo strutturato di gestione delle vulnerabilità per tutta la durata del supporto dichiarato, e a fornire aggiornamenti di sicurezza gratuiti per almeno cinque anni dall’immissione sul mercato.
Un obbligo particolarmente impattante è quello della notifica: a partire dall’11 settembre 2026, i fabbricanti dovranno segnalare al CSIRT nazionale e all’ENISA qualsiasi vulnerabilità attivamente sfruttata entro 24 ore dalla scoperta, con una valutazione iniziale entro 72 ore e un report finale entro 14 giorni dalla disponibilità di una correzione.
Le scadenze
Il calendario di applicazione è strutturato in tre fasi. A giugno 2026, entrano in funzione le regole sulla notifica degli organismi di valutazione della conformità. Da settembre 2026, scattano gli obblighi di segnalazione delle vulnerabilità e degli incidenti gravi. La piena applicazione del regolamento è fissata per l’11 dicembre 2027: da quel momento, nessun prodotto con elementi digitali potrà essere immesso nel mercato UE senza la marcatura CE che attesti la conformità al CRA.
Tre anni possono sembrare un orizzonte ampio, ma per un’azienda che deve ripensare i propri processi di sviluppo, formare i team, produrre la documentazione tecnica e affrontare — dove necessario — percorsi di certificazione con enti terzi, il tempo è tutt’altro che abbondante.
Il rapporto con NIS2, GDPR e ISO 27001
Il CRA non opera in isolamento, ma si inserisce in un ecosistema normativo che sta progressivamente convergendo. Comprendere le relazioni tra queste norme è essenziale per costruire una strategia di compliance integrata.
La NIS2 impone obblighi di cybersecurity alle organizzazioni classificate come soggetti essenziali o importanti (con scadenza per l’adozione delle misure di sicurezza a ottobre 2026). Il CRA agisce a monte, garantendo che i prodotti utilizzati da tali soggetti abbiano un livello minimo di sicurezza. Le due norme si completano a vicenda: un soggetto NIS2 che utilizza prodotti conformi al CRA avrà un vantaggio significativo nel dimostrare l’adeguatezza delle proprie misure tecniche. Allo stesso modo, la catena di approvvigionamento — tema centrale della NIS2 — beneficia direttamente di un mercato in cui i prodotti digitali devono rispettare standard minimi di sicurezza.
Il GDPR entra in gioco ogni volta che il prodotto con elementi digitali tratta dati personali, e le situazioni sono più frequenti di quanto si possa pensare: un dispositivo IoT che raccoglie dati ambientali in un ufficio, un’applicazione che gestisce credenziali, un firmware che registra log di accesso. Il principio di protezione dei dati fin dalla progettazione (art. 25 GDPR) e l’obbligo di misure tecniche adeguate (art. 32 GDPR) trovano nel CRA un alleato naturale. Un prodotto conforme al CRA, che garantisce integrità, riservatezza e disponibilità dei dati trattati, contribuisce direttamente alla compliance GDPR dell’organizzazione che lo utilizza. E in caso di violazione dei dati originata da una vulnerabilità del prodotto, la conformità al CRA del fabbricante diventerà un elemento rilevante nella valutazione delle responsabilità.
Infine, la ISO/IEC 27001 — lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni — offre un framework operativo che può supportare sia la conformità NIS2 sia quella CRA. Un’organizzazione certificata ISO 27001 che integra nei propri controlli la verifica della sicurezza dei prodotti acquistati e la gestione delle vulnerabilità di prodotto avrà una base solida per rispondere ai requisiti di più normative contemporaneamente.
Cosa fare adesso
Per i fabbricanti di prodotti digitali — software house, produttori di hardware connesso, sviluppatori di firmware e componenti embedded — il percorso di adeguamento dovrebbe partire subito, con una mappatura dei prodotti in perimetro, una gap analysis rispetto ai requisiti essenziali dell’Allegato I e la definizione di un processo di gestione delle vulnerabilità conforme al regolamento.
Per le organizzazioni utilizzatrici — e in particolare per quelle soggette a NIS2 e GDPR — il CRA rappresenta sia un’opportunità che un nuovo parametro di valutazione: la sicurezza dei prodotti digitali acquistati non sarà più solo una buona prassi, ma un requisito normativo. È il momento di inserire criteri di conformità CRA nei processi di procurement e nelle valutazioni dei fornitori.
Argo Business Solutions assiste le organizzazioni nella definizione di strategie di compliance integrata tra GDPR, NIS2 e Cyber Resilience Act, con un approccio multidisciplinare che unisce competenze legali, tecniche e organizzative. Per maggiori informazioni: argobs.com/contatti