norppa.io
Guide

Guida CRA · 11 min

Il Cyber Resilience Act dell'UE (CRA): cosa richiede, quando si applica e cosa significa per la vostra supply chain

Il Cyber Resilience Act è la prima legge orizzontale dell'UE sulla cybersicurezza dei prodotti. Mentre NIS2 disciplina il modo in cui le organizzazioni gestiscono la propria sicurezza, il CRA disciplina la sicurezza dell'hardware e del software immessi sul mercato dell'UE (dai dispositivi connessi al software autonomo. È già in vigore, i suoi primi obblighi di notifica iniziano a settembre 2026 e da dicembre 2027 un prodotto che non soddisfa i suoi requisiti non potrà più essere venduto legalmente nell'UE. Questa guida illustra l'ambito di applicazione, il calendario e gli obblighi) e, per i team che acquistano questi prodotti e ne dipendono, cosa chiedere ai vostri fornitori e come dimostrarlo.

Punti chiave

  • Il CRA disciplina i prodotti con elementi digitali (hardware e software) venduti nell'UE; si rivolge anzitutto ai fabbricanti, con obblighi anche per importatori e distributori.
  • Date scaglionate: in vigore da dicembre 2024, notifica di vulnerabilità e incidenti dall'11 settembre 2026, tutti gli obblighi principali dall'11 dicembre 2027.
  • Il SaaS puro è in genere fuori dal CRA, ma se acquistate prodotti o componenti, il vostro obbligo NIS2 sulla supply chain e il CRA puntano ora nella stessa direzione: esigete prove di sicurezza fin dalla progettazione e di gestione delle vulnerabilità.

Cos'è il CRA

Il Cyber Resilience Act (regolamento (UE) 2024/2847) stabilisce requisiti obbligatori di cybersicurezza per i «prodotti con elementi digitali»: qualsiasi prodotto software o hardware, e le relative soluzioni di trattamento dei dati a distanza, che possa essere connesso a un dispositivo o a una rete e sia immesso sul mercato dell'UE. È un regolamento, quindi si applica direttamente in tutti i 27 Stati membri senza recepimento nazionale.

La maggior parte degli obblighi ricade sul fabbricante, che deve progettare, realizzare e mantenere il prodotto in modo sicuro e dimostrarne la conformità (la marcatura CE). Importatori e distributori hanno obblighi propri: possono immettere sul mercato soltanto prodotti conformi e devono attivarsi quando vengono a sapere che un prodotto non lo è. Il regolamento definisce inoltre due categorie a rischio più elevato, i prodotti «importanti» e «critici» (per esempio gestori di password, sistemi di gestione delle reti o moduli di sicurezza hardware), soggetti a procedure di conformità più rigorose.

Nell'ambito di applicazione

Prodotti hardware e software immessi sul mercato dell'UE che possono connettersi a un dispositivo o a una rete: dispositivi connessi, sistemi operativi, applicazioni, librerie e le soluzioni di trattamento dei dati a distanza a essi integrate.

Fuori dall'ambito (in particolare il SaaS)

Il puro software-as-a-service in genere non è un «prodotto» ai sensi del CRA ed è invece disciplinato da NIS2: a meno che una soluzione di trattamento dei dati a distanza sia essenziale per il funzionamento di un prodotto e sviluppata dal fabbricante di quel prodotto. Sono esclusi anche i prodotti già coperti da norme settoriali (ad es. dispositivi medici, veicoli a motore, taluni prodotti aeronautici).

Il calendario che conta

Il CRA si applica per fasi. Due date guidano gran parte della pianificazione:

10 dic 2024

Entrato in vigore. L'orologio della conformità inizia a scorrere; non si applica ancora alcun obbligo sostanziale.

11 set 2026

Iniziano gli obblighi di notifica. I fabbricanti devono notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi (un preallarme entro 24 ore, una notifica entro 72 ore e una relazione finale entro 14 giorni) al proprio CSIRT nazionale e all'ENISA tramite la piattaforma unica di notifica.

11 dic 2027

Piena applicazione. Si applicano tutti i requisiti essenziali; i prodotti con elementi digitali non conformi non possono più essere immessi sul mercato dell'UE.

Cosa devono fare i fabbricanti

I requisiti essenziali attraversano l'intero ciclo di vita del prodotto. In sintesi, un fabbricante conforme deve:

  • Progettare in modo sicuro (sicurezza fin dalla progettazione e per impostazione predefinita): fornire una configurazione sicura, ridurre al minimo la superficie di attacco e proteggere riservatezza e integrità.
  • Gestire le vulnerabilità per l'intero periodo di supporto: individuarle, documentarle e correggerle, e fornire aggiornamenti di sicurezza gratuiti per un periodo di supporto che rifletta la vita utile attesa del prodotto (la Commissione indica almeno cinque anni per molti prodotti).
  • Fornire una distinta base del software (SBOM): mantenere un inventario leggibile dalla macchina dei componenti, così che, quando emerge una nuova vulnerabilità in una dipendenza, i prodotti interessati siano individuati rapidamente.
  • Adottare una politica di divulgazione coordinata delle vulnerabilità: pubblicare un punto di contatto e un processo per segnalare le vulnerabilità (il ruolo che security.txt svolge nella pratica).
  • Notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi: secondo il calendario 24 h / 72 h / 14 giorni, dall'11 settembre 2026.
  • Dimostrare la conformità e apporre la marcatura CE: mediante autovalutazione per la maggior parte dei prodotti, o valutazione da parte di terzi per le categorie «importanti» e «critiche», supportata da documentazione tecnica.

Come il CRA si rapporta a NIS2

NIS2 e il CRA sono complementari, non concorrenti. NIS2 riguarda i soggetti (il modo in cui un soggetto essenziale o importante governa e gestisce la propria sicurezza, compreso il rischio informatico dei suoi fornitori (art. 21, par. 2, lett. d). Il CRA riguarda i prodotti) se le cose immesse sul mercato sono sicure fin dalla progettazione e correttamente mantenute. L'uno regola l'operatore; l'altro ciò che l'operatore acquista e utilizza.

È proprio lì che si incontrano. L'obbligo sulla supply chain di un soggetto NIS2 comprende sempre più la domanda «i prodotti e i componenti che acquistiamo sono pronti per il CRA?». Il fornitore gestisce le vulnerabilità, rilascia aggiornamenti, pubblica un canale di divulgazione e fornisce una SBOM? Da dicembre 2027 la marcatura CE risponderà in parte a questo; fino ad allora, e poi in modo continuo, gli acquirenti hanno comunque bisogno della propria garanzia che la sicurezza di un fornitore regga nella pratica.

Il CRA è un regolamento di tipo sicurezza dei prodotti, e alcuni confini (in particolare la linea tra SaaS e trattamento dei dati a distanza e le categorie «importanti» e «critiche») possono essere sfumati. Verificate come si applica a un prodotto specifico con una consulenza qualificata e il testo ufficiale.

Cosa significa per voi

I vostri obblighi dipendono dal vostro ruolo nella catena. Un rapido orientamento:

Un fabbricante di prodotti con elementi digitali

Il CRA si applica direttamente. Costruite ora le capacità di sicurezza fin dalla progettazione, gestione delle vulnerabilità, SBOM, divulgazione e notifica: l'obbligo di notifica è in vigore da settembre 2026 e la piena conformità è richiesta entro dicembre 2027.

Un importatore o distributore

Potete immettere sul mercato dell'UE soltanto prodotti conformi e dotati di marcatura CE, dovete verificare che il fabbricante abbia adempiuto i propri obblighi e dovete attivarvi (e informare le autorità) quando venite a sapere che un prodotto comporta un rischio significativo di cybersicurezza.

Un acquirente o operatore (in particolare soggetto a NIS2)

Il CRA non vi regola direttamente come acquirenti, ma ridefinisce cosa è «buono» negli acquisti. Esigete prove di gestione delle vulnerabilità, una SBOM, una politica di divulgazione e un periodo di supporto, e monitorate se i fornitori mantengono davvero gli impegni.

Un fornitore di solo SaaS

In genere fuori dal CRA (rientrate invece in NIS2): a meno che il vostro servizio sia una soluzione di trattamento dei dati a distanza essenziale per un prodotto regolamentato. In ogni caso, la due diligence dei vostri clienti porrà le stesse domande di sicurezza.

Fonti: Regolamento (UE) 2024/2847 (Cyber Resilience Act) e le pagine della Commissione europea dedicate al Cyber Resilience Act. Date e ambito riflettono il regolamento pubblicato; verificate i dettagli per i vostri prodotti con una consulenza qualificata.

Come aiuta norppa.io

norppa.io non renderà un prodotto conforme al CRA (è compito del fabbricante) ma fornisce ad acquirenti e operatori la prova esterna che gli acquisti e la due diligence NIS2 ora richiedono. I segnali su cui si fonda il CRA sono proprio quelli che monitoriamo in continuo: software a fine vita e vulnerabilità non corrette (gestione delle vulnerabilità carente), l'assenza di un canale di divulgazione coordinata e servizi esposti o mal configurati.

I questionari di autovalutazione colgono le parti che nessuna scansione esterna vede (disponibilità della SBOM, il periodo di supporto e aggiornamento dichiarato, lo stato di conformità) e ogni risposta viene affiancata al profilo tecnico in tempo reale. Il risultato è una prova attuale e corroborata del livello di sicurezza di un fornitore, pronta per il vostro fascicolo fornitori, anziché un'affermazione una tantum.

La prova che i vostri fornitori reggono davvero

Guardate un rapporto fornitore di esempio (rilievi, prove e mappatura degli articoli) in circa due minuti.

Vedi rapporto di esempio
Guarda la dashboard di esempio

Guide correlate

Come conformarsi a NIS2: una roadmap passo dopo passo

I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

NIS2 e il requisito della supply chain: cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

NIS2 Art. 21(2): checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il tuo obbligo.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

ISO 27001 e NIS2: cosa copre già il tuo SGSI, e le lacune che restano

Se hai la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi

In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.

Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)

Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.