Il nuovo Regolamento Europeo 2024/2847 relativo a requisiti orizzontali (ovvero generali) di cybersecurity per i prodotti con elementi digitali (cosiddetto “Cyber Resilience Act” – “CRA”) è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea lo scorso 20 novembre. Un passo sostanziale per l’incremento della sicurezza in tutti i prodotti IoT, connessi tra loro e/o alla Rete.

Di seguito cerchiamo di ripercorrere le principali disposizioni del CRA partendo, ovviamente, da quali sono i suoi obiettivi, il suo oggetto, il suo ambito applicativo e le sue peculiarità.

Inoltre, non è possibile compiere un’analisi esaustiva del CRA senza considerare l’intero ecosistema normativo riguardante la cyber security emanato, pubblicato o già entrato in vigore nel corso di questi ultimi anni da parte dell’Unione Europea.

In ultimo, vedremo quali sono le tappe applicative di questo nuovo Regolamento: informazione fondamentale per le aziende che dovranno prepararsi alla compliance.

Perché il Cyber Resilience Act: ce n’era bisogno?

Per chi pensasse si tratti di ennesima “superfetazione” normativa, l’Unione supporta l’introduzione del CRA con una valutazione di impatto di cui basta citare quanto segue.

In breve: il CRA è stato introdotto per affrontare le crescenti minacce informatiche che colpiscono hardware e software, con un costo globale stimato del cybercrimine pari a 5,5 trilioni di euro nel 2021.

Molti prodotti digitali presentano vulnerabilità diffuse e ricevono aggiornamenti di sicurezza insufficienti o incoerenti, esponendo utenti e società a rischi significativi.

Inoltre, la mancanza di informazioni adeguate impedisce agli utenti di scegliere e utilizzare prodotti con caratteristiche di sicurezza adeguate.

Poiché i prodotti digitali spesso attraversano i confini nazionali, un incidente informatico può propagarsi rapidamente in tutto il mercato interno.

Attualmente, gran parte dell’hardware e del software non è coperta da una legislazione dell’UE che ne affronti la sicurezza informatica, in particolare per il software non incorporato. Nonostante gli attacchi informatici mirino sempre più alle loro vulnerabilità specifiche, causando costi sociali ed economici significativi. Esempi recenti includono lo spyware Pegasus e il ransomware WannaCry, che hanno sfruttato vulnerabilità in dispositivi mobili e sistemi operativi, colpendo a livello mondiale.

Il Cyber Resilience Act è dunque stato introdotto per colmare, a livello comune europeo, lacune specifiche non coperte da normative esistenti, come il GDPR e la Direttiva NIS 2 e che pure in parte potrebbero considerarsi pertinenti per questi temi.

Quando applicare il CRA; il supporto alle PMI

In un mondo caratterizzato sempre più da prodotti che contengono elementi digitali, se l’obiettivo principale del CRA è quello di rafforzare la sicurezza di tali prodotti, il fine ultimo è senz’altro quello di aumentare la sicurezza degli utilizzatori finali, in primis, e, di conseguenza, dell’intero ecosistema digitale.

Quanto agli utilizzatori, si badi da subito che il Cyber Resilience Act è indifferente al contesto B2C o B2B, quindi si applica sia a contesti aziendali che consumeristici.

Il CRA stabilisce dei requisiti essenziali di cyber security per la progettazione, lo sviluppo e la produzione di prodotti con elementi digitali, oltre a veri e proprio obblighi, sempre di cyber security, per gli operatori economici in relazione a tali prodotti.

Non solo, sono altresì presenti requisiti della medesima natura anche i per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cyber security dei prodotti in questione.

In altri termini, il CRA si applica “ai prodotti con elementi digitali messi a disposizione sul mercato la cui finalità prevista o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete”[1].

Innanzitutto, ai sensi dell’articolo 3, per «prodotto con elementi digitali» si intende “qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immesso sul mercato separatamente”; mentre, per «connessione logica» si intende una “rappresentazione virtuale di una connessione dati realizzata attraverso un’interfaccia software”.

Differenziandosi dalla definizione di «connessione fisica», la quale invece consiste in “qualsiasi connessione tra sistemi di informazione elettronici o componenti realizzata con mezzi fisici, anche attraverso interfacce elettriche, ottiche o meccaniche, fili od onde radio”.

Le eccezioni di applicabilità del Cyber Resilience Act

Sussistono, però, non poche eccezioni, in quanto non tutti i prodotti sopra menzionati rientrano nell’ambito applicativo del CRA. Infatti, in via preliminare, quest’ultimo non si applica ai prodotti con elementi digitali già “coperti” dal Regolamento sui dispositivi medici[2], dal Regolamento sui dispositivi medico-diagnostici in vitro[3] e dal Regolamento relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi[4].

Non si applica nemmeno ai prodotti con elementi digitali certificati in conformità al Regolamento riguardante le norme in tema di aviazione civile[5], né all’equipaggiamento che rientra nell’ambito di applicazione della Direttiva sull’equipaggiamento marittimo[6].

Infine, non si applica neppure ai pezzi di ricambio “messi a disposizione sul mercato per sostituire componenti identici in prodotti con elementi digitali e fabbricati secondo le stesse specifiche dei componenti che sono destinati a sostituire” e ai prodotti con elementi digitali “sviluppati o modificati esclusivamente per scopi di sicurezza nazionale o di difesa o ai prodotti specificamente progettati per trattare informazioni classificate”[7].

Occorre, invece, prestare particolare attenzione a quei prodotti con elementi digitali contemplati da altre normative UE che stabiliscono requisiti relativi ai rischi, tutti o solo in parte, contemplati dal CRA nel suo Allegato I.

Infatti, in tal caso, l’applicazione dello stesso Cyber Resilience Act a tali prodotti può essere limitata o, addirittura, esclusa se tale limitazione o esclusione è sia “coerente” con il quadro normativo generale applicabile a tali prodotti (cioè rispettare e integrarsi con la struttura normativa esistente, senza creare contraddizioni o conflitti) e sia che le norme settoriali conseguano lo stesso livello o un livello maggiore di protezione rispetto a quanto previsto dal presente regolamento. La Commissione europea potrà intervenire per chiarire meglio questo punto, uno dei frangenti applicativi chiave per evitare incertezze critiche.

Le PMI non sono esentate dall’applicazione del regolamento

Infine, va osservato che le PMI non sono esentate dall’applicazione del regolamento (così come accade per il GDPR). Nondimeno beneficiano di misure specifiche per facilitare l’adempimento degli obblighi, per es. la Commissione Europea istituirà un modulo semplificato per la documentazione tecnica, adattato alle esigenze delle PMI.

Questo modulo aiuterà le PMI a fornire le informazioni richieste in modo conciso, riducendo l’onere amministrativo a loro carico.

Cosa cambia per i prodotti con elementi digitali

L’articolo 6 del Cyber Resilience Act, in via assolutamente categorica, sancisce che i prodotti con elementi digitali possono essere messi a disposizione sul mercato soltanto se sono rispettate due condizioni:

1. sono soddisfatti, secondo determinate condizioni, i requisiti essenziali di cyber security (di cui all’Allegato I, parte I), e
2. i processi messi in atto dal fabbricante sono conformi ai requisiti essenziali di cyber security (dell’Allegato I, parte II).

In via preliminare, occorre precisare che anche il CRA adotta un approccio basato sul rischio[8]. Invero, il suo articolo 13, al paragrafo secondo, impone ai fabbricanti una valutazione dei rischi di cyber security associati al prodotto in oggetto, onde perimetrare le contromisure di difesa informatica.

Detto ciò, la parte I dell’Allegato I impone una lunga serie di requisiti essenziali, i quali devono basarsi, in ogni caso, sulla predetta valutazione dei rischi. Tra questi troviamo, ad esempio, la messa a disposizione sul mercato senza vulnerabilità sfruttabili note (restano fuori logicamente gli attacchi “zero-day”, ignoti) o, ancora, la necessità che i prodotti in questione siano “progettati, sviluppati e prodotti per limitare le superfici di attacco, comprese le interfacce esterne”. Sicuramente di estremo interesse è l’inserimento tra i requisiti essenziali del principio di “minimizzazione dei dati”, noto in ambito protezione dei dati personali[9], estendendolo però anche ai dati non personali[10].

Nella parte II del medesimo Allegato, invece, i requisiti di gestione delle vulnerabilità, tra i quali troviamo, ad esempio, la necessità di effettuare “prove e riesami efficaci e periodici della sicurezza” del prodotto in questione. La periodicità è rimessa all’accountability del produttore e alla sua valutazione di rischio.

Attenzione ai prodotti con elementi digitali “importanti” e “critici”

Peculiarità del CRA è l’individuazione di due sottocategorie di prodotti: quelli i cui elementi digitali sono “importanti” e quelli che, invece, li possiedono “critici”. Tale distinzione incide in merito alla relativa procedura di valutazione di conformità del prodotto stesso.

Ai fini del presente paragrafo, giova precisare che i prodotti con elementi digitali che hanno la funzionalità principale di una categoria di prodotti di cui all’Allegato III del CRA (es. sistemi di gestione delle password, sistemi operativi ecc.) sono considerati “prodotti con elementi digitali importanti”.

A tal fine, però, deve essere soddisfatto almeno uno dei criteri individuati dall’articolo 7(2) lettere a) e b), ovverosia: che tale prodotto svolga principalmente funzioni essenziali per la cyber security di altri prodotti, reti o servizi; oppure che svolga una funzione che comporta un “rischio significativo di avere effetti negativi in ragione della sua intensità e capacità di perturbare, controllare o danneggiare un gran numero di altri prodotti o la salute, la sicurezza o l’incolumità dei suoi utenti attraverso la manipolazione diretta”.

Si badi, inoltre, che la Commissione dovrà intervenire entro l’11 dicembre 2025 fornendoci le specifiche tecniche delle categorie individuate nel predetto Allegato III.

Quanto ai prodotti con elementi digitali critici, invece, diventano cruciali l’intervento della Commissione e il dettato del cd. Cybersecurity Act[11]. Infatti, la Commissione dovrà adottare disposizioni atte a determinare quali prodotti con elementi digitali aventi la funzionalità principale di una categoria di prodotti di cui all’Allegato IV del CRA (es. dispositivi hardware con cassette di sicurezza) – per poter dimostrare la conformità ai requisiti essenziali di cui all’Allegato I (tutti o solo in parte) – debbano necessariamente ottenere un certificato europeo di cyber security a un livello di affidabilità almeno «sostanziale» nell’ambito di un sistema europeo di certificazione della cibersicurezza di cui proprio al Cybersecurity Act, ove presente.

IA e prodotti con elementi digitali: i casi ad alto rischio (dell’AI Act)

Di particolare interesse risulta essere il dettato dell’articolo 12 del CRA il quale si interseca con un’altra neonata e citatissima disciplina, il Regolamento europeo sull’intelligenza artificiale (“AI Act”). In tale Regolamento trovano spazio importante i sistemi di IA ad alto rischio. A questi ultimi sono dedicate varie disposizioni contenenti numerosi requisiti e obblighi. Il legislatore europeo, nella stesura del predetto articolo 12, si è giustamente preoccupato di disciplinare l’interrelazione tra queste due normative con riferimento proprio ai sistemi di IA ad alto rischio.

Fatti salvi determinati aspetti dell’AI Act, i prodotti con elementi digitali “coperti” dal CRA che sono classificati come sistemi di IA ad alto rischio ai sensi proprio dell’AI Act debbono considerarsi conformi ai requisiti di cybersecurity stabiliti dall’articolo 15 dell’AI Act. Sempre che siano soddisfatti i requisiti dell’Allegato I del CRA e il conseguimento del livello di protezione della cyber security richiesta ex art. 15 AI Act sia dimostrato nella dichiarazione di conformità UE, rilasciata a norma del Cyber Resilience Act.

Un’importante disposizione di coordinamento – i cui dettagli sono maggiormente specificati nello stesso articolo 12 – per tutti gli stakeholders che dovranno navigare nella compliance tra normative spesso interconnesse. Questa “interoperabilità” normativa cerca di garantire che i requisiti di cyber security restino coerenti e omogenei, evitando duplicazioni o contrasti.

Il CRA nel nuovo contesto europeo di cyber security

L’AI Act non è il solo “parente” normativo del Cyber Resilience Act a cui porre attenzione. Il CRA si colloca infatti all’interno di un quadro normativo europeo in continua evoluzione, volto a consolidare un ecosistema digitale sicuro e resiliente. L’approccio integrato trova un forte punto di connessione con il già citato Cybersecurity Act (che definisce il sistema europeo di certificazione della sicurezza informatica) e con la Direttiva NIS2 (entrata in vigore il 16 gennaio 2023 e che impone obblighi di gestione dei rischi e notifiche di incidenti a numerosi settori strategici).

L’introduzione del Cyber Resilience Act rappresenta, in questo senso, un’operazione di cesura per le lacune legislative esistenti e creare sinergie tra strumenti regolatori che operano a livelli diversi, evitando per quanto possibile ridondanze, duplicazioni, incertezze per chi poi queste regole le deve “mettere a terra”. Un elemento chiave del CRA è la volontà (vedremo nel tempo quanto riuscita) armonizzazione con altre normative di settore, come l’AI Act, che disciplina i sistemi di intelligenza artificiale.

Il Cyber Resilience Act non opera in isolamento ma riconosce il ruolo di normative settoriali, come quelle relative ai dispositivi medici o all’equipaggiamento marittimo, che prevedono requisiti di sicurezza equivalenti o più stringenti. Questa flessibilità cerca di evitare sovrapposizioni normative e consente di ottimizzare le risorse degli operatori economici, focalizzandosi sugli aspetti di cyber security specifici del prodotto.

Pensando ai dati personali (se coinvolti), Il CRA integra le disposizioni già presenti del GDPR sulla sicurezza, concentrandosi sulla sicurezza dei citati prodotti con elementi digitali – garantendo che tali prodotti non compromettano la protezione dei dati personali trattati.

Va citato anche il regolamento Data Governance Act (“DGA”)[12], entrato in vigore il 23 giugno 2022, e che mira a facilitare la condivisione dei dati tra enti pubblici e privati, promuovendo un’economia dei dati basata sulla fiducia. Il CRA supporta questo obiettivo assicurando che i prodotti digitali utilizzati per la condivisione dei dati soddisfino standard di sicurezza elevati, prevenendo accessi non autorizzati e garantendo l’integrità dei dati condivisi.

Infine, il correlato regolamento Data Act[13], entrato in vigore dal gennaio scorso, regolamenta l’accesso e l’utilizzo dei dati generati dai dispositivi connessi, promuovendo l’innovazione e la concorrenza. Il CRA si allinea a questa iniziativa, assicurando che i dispositivi connessi siano progettati e sviluppati con misure di sicurezza adeguate, prevenendo vulnerabilità che potrebbero essere sfruttate per accedere ai dati senza autorizzazione.

In definitiva, il Cyber Resilience Act non è solo un atto normativo che introduce requisiti tecnici per i prodotti con elementi digitali bensì uno strumento centrale per l’attuazione di una strategia europea più ampia.

Rafforzando la sicurezza dei prodotti immessi sul mercato, il regolamento vuole contribuire alla costruzione di un mercato unico digitale più sicuro, migliorando la resilienza collettiva contro le crescenti minacce informatiche e proteggendo gli utenti finali. Parliamo di fiducia, in buona sostanza. Comunque sia, l’attuazione pratica potrebbe rivelarsi complessa nel mosaico normativo complesso e affollato dell’UE, con il rischio di conflitti interpretativi e oneri amministrativi aggiuntivi per le aziende.

Da ultimo: per chi possa pensare che l’ondata di “cyber security policies” dell’Unione sia così arrivata a destinazione sbaglia, per es. è in discussione un ulteriore regolamento, il c.d. EU Cyber Solidarity Act per la risposta e il coordinamento unionale degli incidenti di sicurezza, approntando un European Cybersecurity Alert System.

Il perimetro del Cyber Resilience Act farà sicuramente parte del sistema in costruzione.

Spinta all’enforcement: sanzioni rilevanti

Uno degli elementi distintivi del CRA è l’introduzione di un sistema di enforcement particolarmente incisivo, volto a garantire il rispetto dei requisiti di cyber security essenziali e a promuovere comportamenti virtuosi tra gli operatori economici.

Il testo prevede un regime rigoroso, basato su una scala progressiva di penalità commisurate alla gravità delle violazioni e al loro impatto sul mercato e sulla sicurezza. Per massimali, come già sperimentato per es. dal GDPR.

L’articolo 53 del CRA stabilisce che le violazioni più gravi – come l’immissione sul mercato di prodotti con elementi digitali privi dei requisiti essenziali di cyber security di cui all’Allegato I – possono comportare una sanzione amministrativa pecuniaria fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo totale dell’operatore economico, a seconda dell’importo maggiore nel caso.

Per violazioni meno gravi – come l’inadempienza agli obblighi di notifica di vulnerabilità o incidenti – le sanzioni possono raggiungere un massimale i 10 milioni di euro o il 2% del fatturato globale.

Il regolamento attribuisce inoltre un ruolo centrale alle autorità competenti nazionali che saranno responsabili di monitorare l’applicazione del CRA, effettuare controlli e adottare provvedimenti sanzionatori. Tra i poteri di enforcement rientrano anche il ritiro dal mercato di prodotti non conformi, il richiamo obbligatorio e il divieto di immissione sul mercato per i prodotti che presentano rischi significativi per la sicurezza. In Italia potrebbero entrare in gioco l’ACN e/o l’AGCM, pensando alle autorità esistenti pertinenti per materie.

Un aspetto cruciale del CRA è l’obbligo per i fabbricanti di notificare alle autorità competenti qualsiasi vulnerabilità sfruttabile o incidente di sicurezza significativo entro 24 ore dalla loro identificazione. Questo obbligo, disciplinato dall’articolo 11, garantisce una risposta tempestiva alle minacce emergenti e consente alle autorità di intervenire rapidamente per mitigare i rischi.

Quando il Cyber Resilience Act andrà applicato

Pubblicato in Gazzetta Ufficiale dell’Unione Europea il 20 novembre 2024, il testo in parola entra in vigore, come di consueto, il ventesimo giorno successivo alla pubblicazione stessa (ovvero a inizio dicembre).

Tuttavia, il CRA si applicherà in maniera differita: solo a far data dall’11 dicembre 2027.

Mentre alcune misure specifiche relative alle categorie di prodotti con elementi digitali “importanti” o “critici” saranno attuate secondo un calendario differenziato, che include interventi della Commissione Europea.

In particolare, entro l’11 dicembre 2025, la Commissione Europea è tenuta a definire specifiche tecniche dettagliate per le categorie di prodotti individuate negli Allegati III e IV del CRA. Queste indicazioni saranno cruciali per chiarire gli obblighi relativi ai prodotti con elementi digitali “importanti” e “critici” e per garantire un’applicazione uniforme del regolamento in tutti gli Stati membri.

Altre eccezioni si trovano per es. all’articolo 14 – concernente gli obblighi di segnalazione da parte dei fabbricanti in relazione ad una vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali di cui viene a conoscenza – il quale si applicherà a partire dall’11 settembre 2026 e per il Capo IV – concernente la notifica degli organismi di valutazione della conformità – che si applicherà a decorrere dall’11 giugno 2026.

Conclusioni

Nonostante il Cyber Resilience Act rappresenti, lo possiamo azzardare, una pietra miliare per la sicurezza digitale nell’Unione Europea visto il campo di applicazione ormai onnipervadente, un atto fin troppo rimandato, saranno da sondare alcuni dubbi significativi riguardo ai risultati applicativi del regolamento.

Due aspetti principali emergono come criticità: anzitutto l’impatto sul software open source, perché il Cyber Resilience Act potrebbe avere conseguenze non intenzionali sullo sviluppo e sulla diffusione di questa tipologia. I requisiti di conformità previsti – come la necessità di una valutazione continua della sicurezza e la gestione delle vulnerabilità – potrebbero imporre un onere sproporzionato su progetti open source non commerciali o gestiti da piccole comunità di sviluppatori. Questo scenario rischia di disincentivare l’innovazione e la collaborazione tipiche dell’open source, favorendo invece ecosistemi chiusi gestiti da grandi aziende, in grado di sostenere i costi della compliance.

D’altro canto, altri esperti (come Bruce Schneier) hanno sottolineato le difficoltà operative che potrebbero emergere nella fase applicativa del CRA, soprattutto per quanto riguarda la gestione delle vulnerabilità. Per esempio: l’obbligo di notificarle alle autorità competenti entro la tempistica – stringentissima – delle 24 ore è considerato problematico; potrebbe scoraggiare le aziende dal divulgare apertamente le falle di sicurezza per paura di sanzioni amministrative o conseguenze reputazionali.

Tali preoccupazioni mettono in discussione la capacità del CRA di garantire un equilibrio tra sicurezza e mercato. Il CRA, come molte delle norme europee destinate al digitale, tendono a favorire un approccio forse più burocratico alla sicurezza informatica, concentrandosi secondo molti più sulla conformità formale che sulla risoluzione effettiva dei problemi di cyber security.

Questo potrebbe portare le aziende a investire più in n risorse legali piuttosto che in soluzioni tecniche innovative, con un impatto potenzialmente negativo sulla competitività europea nel settore digitale.

Le criticità evidenziate richiedono un’attenta analisi e un monitoraggio costante da parte delle istituzioni europee per l’attuazione del Cyber Resilience Act. Un equilibrio tra requisiti di sicurezza rigorosi e flessibilità per garantire l’innovazione sarà fondamentale per il successo del regolamento.

Solo attraverso un dialogo continuo con gli stakeholder, inclusi i rappresentanti delle comunità open source e delle imprese, sarà possibile mitigare i rischi e massimizzare i benefici di questa nuova disciplina normativa.

[1] Articolo 2(1), CRA.

[2] Regolamento (UE) 2017/745 del 5 aprile 2017, relativo ai dispositivi medici.

[3] Regolamento (UE) 2017/746 del 5 aprile 2017, relativo ai dispositivi medico-diagnostici in vitro.

[4] Regolamento (UE) 2019/2144 del 27 novembre 2019 relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi. nonché di sistemi, componenti ed entità tecniche destinati a tali veicoli, per quanto riguarda la loro sicurezza generale e la protezione degli occupanti dei veicoli e degli altri utenti.

[5] Regolamento (UE) 2018/1139 del 4 luglio 2018, recante norme comuni nel settore dell’aviazione civile, che istituisce un’Agenzia dell’Unione europea per la sicurezza aerea.

[6] Direttiva 2014/90/UE del 23 luglio 2014, sull’equipaggiamento marittimo.

[7] Articolo 2(6) e (7) CRA.

[8] Cfr., mutatis mutandis, Regolamento (UE) 2016/679 (“GDPR) e Regolamento (UE) 2024/1689 (“AI Act”).

[9] V. art. 5(1) lett. c) GDPR.

[10] Allegato I, parte I CRA, paragrafo 2, lett. g): trattano solo dati, personali o di altro tipo, adeguati, pertinenti e limitati a quanto necessario in relazione alla finalità prevista del prodotto con elementi digitali («minimizzazione dei dati»);

[11] Regolamento (UE) 2019/881 del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione («regolamento sulla cibersicurezza»)

[12] Regolamento (UE) 2022/868 del 30 maggio 2022, relativo alla governance europea dei dati.

[13] Regolamento (UE) 2023/2854 del 13 dicembre 2023, riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo.