Il Cyber Resilience Act (CRA), adottato nel 2024, è un regolamento europeo che impone requisiti di sicurezza informatica a qualsiasi prodotto hardware o software immesso sul mercato europeo, per tutto il suo ciclo di vita. Introduce inoltre l'obbligo di notificare le vulnerabilità e aumenta la trasparenza per gli utenti.
Si applica a produttori, importatori e distributori di prodotti digitali immessi sul mercato europeo.
L'ARC entrerà pienamente in vigore nel 2027, con un periodo di transizione di 36 mesi.
Il regolamento CRA si basa sulla strategia dell'UE per la sicurezza informatica 2020 e sulla strategia dell'Unione della sicurezza. Esso integra altri strumenti legislativi fondamentali, in particolare la direttiva NIS2.
L'obiettivo del CRA è duplice: rafforzare la protezione dei consumatori e delle imprese di fronte ai crescenti incidenti di sicurezza informatica, armonizzando al contempo i requisiti per creare un mercato interno più sicuro e competitivo.
[FC1]Link alla scheda del regolamento
| PUNTI CHIAVE | CHIARIMENTO |
|---|---|
| "Security by design" e "Security by default". | I prodotti digitali devono essere progettati con misure di sicurezza informatica integrate fin dall'inizio (sicurezza per il design) e le impostazioni di sicurezza attivate per impostazione predefinita (sicurezza per impostazione predefinita). |
| Gestione delle vulnerabilità | I produttori devono mettere in atto un processo per individuare, correggere e monitorare le vulnerabilità e pubblicare aggiornamenti di sicurezza per tutta la durata di vita del prodotto. |
| Trasparenza e informazione | Gli utenti devono essere informati dei rischi di cybersecurity, delle migliori pratiche e della durata degli aggiornamenti di sicurezza. |
| Conformità e monitoraggio | Il prodotto deve essere sottoposto a una valutazione di conformità (autodichiarazione o di terzi), deve essere accompagnato da una documentazione tecnica e deve rispettare gli obblighi di notifica in caso di incidente. |
Il Cyber Resilience Act segna una svolta importante: la cybersecurity non è più un'opzione, ma una proprietà essenziale prevista in fase di progettazione. Richiedendo il controllo di ogni componente integrato, la legge va al cuore del modello cloud, che si basa su catene di software interconnesse in cui la fiducia è costruita sulla trasparenza. L'Europa sta lanciando un segnale forte: la cybersicurezza sta diventando una leva per la competitività e la sovranità tecnologica.
Sebbene il CRA preveda esenzioni per i progetti open source senza scopo di lucro e non commerciali, la sua applicazione diventa restrittiva quando il software open source viene integrato in prodotti o servizi offerti in un contesto commerciale.
Questi requisiti includono una documentazione tecnica completa, la gestione proattiva delle vulnerabilità, la dichiarazione di conformità, la marcatura e la fornitura di una nomenclatura del software.
Ciò implica una profonda trasformazione dei processi di sviluppo, monitoraggio e manutenzione, con un significativo impatto operativo e finanziario.