Con la fine del 2024 è entrato ufficialmente in vigore il Cyber Resilience Act (CRA), il Regolamento europeo (UE 2024/2847) che promette di rivoluzionare la sicurezza dei prodotti digitali nell’Unione Europea.
L’obiettivo è quello di rafforzare in modo strutturale la resilienza informatica del mercato digitale, proteggendo consumatori, imprese e infrastrutture da minacce sempre più sofisticate. La piena applicazione del regolamento è fissata per l’11 dicembre 2027, ma alcune disposizioni inizieranno a produrre effetti già nel 2026.
Il CRA introduce regole stringenti per tutti quei prodotti che, avendo elementi digitali connessi a una rete, possono rappresentare un potenziale punto debole all’interno dell’ecosistema informatico europeo. Si tratta chiaramente di un numero vastissimo di dispositivi, dal quale però restano esclusi i settori già regolamentati da normative dedicate, come dispositivi medici, veicoli, aeromobili e il software open source non commerciale.
Uno dei cardini del regolamento è l’approccio “by design and by default”, che impone ai produttori di incorporare la sicurezza fin dalle fasi iniziali di progettazione del prodotto, evitando configurazioni vulnerabili di fabbrica. Non si tratta più di una semplice aggiunta a posteriori o di un onere lasciato all’utente finale, ma la sicurezza diventa un elemento strutturale e imprescindibile da mantenere lungo l’intero ciclo di vita del prodotto.
Per garantire questo livello di protezione, il CRA si basa su tre pilastri fondamentali: la sicurezza integrata fin dalla progettazione, la gestione continua del ciclo di vita del prodotto e la governance post-vendita, che prevede una costante sorveglianza da parte delle autorità competenti.
Dal punto di vista operativo, il CRA segue l’approccio europeo, noto come “New Approach”, che stabilisce i requisiti essenziali deleganto però a enti tecnici (CEN, CENELEC ed ETSI) la definizione di norme armonizzate che, pur essendo volontarie, rappresentano lo strumento principale per dimostrare la conformità.
Il valore del CRA va ben oltre il piano normativo: in un contesto in cui l’Internet of Things e l’Industria 4.0 stanno creando interconnessioni sempre più dense tra dispositivi e sistemi, e in cui anche una singola vulnerabilità può compromettere intere filiere, il regolamento mira a elevare il livello di protezione in tutto il mercato europeo, creando un contesto di maggiore fiducia, qualità e competizione leale.
S.B.