Cyber Resilience Act: cosa cambia per i prodotti digitali dall’11 settembre 2026

Il Cyber Resilience Act è il nuovo Regolamento UE sulla cibersicurezza dei prodotti digitali. È già in vigore, ma diventerà pienamente applicabile solo l’11 dicembre 2027.

La prima scadenza operativa, però, è molto più vicina: l’11 settembre 2026. Una scadenza che tocca anche i prodotti già in commercio.

Cos’è il Cyber Resilience Act

Il Regolamento (UE) 2024/2847, noto come Cyber Resilience Act (CRA), è il primo regolamento europeo che impone requisiti orizzontali di cibersicurezza a tutti i prodotti digitali venduti nell’Unione. È stato adottato il 23 ottobre 2024, pubblicato nella Gazzetta Ufficiale UE il 20 novembre 2024 ed è entrato in vigore il 10 dicembre 2024.

L’obiettivo è duplice: ridurre il numero di vulnerabilità nei prodotti connessi e garantire che chi li acquista abbia informazioni chiare sul loro uso sicuro e sulla durata degli aggiornamenti di sicurezza.

Quali prodotti sono coinvolti

Il CRA si applica ai “prodotti con elementi digitali” (PDE). La definizione è volutamente ampia: rientra nell’ambito qualsiasi prodotto hardware o software che, direttamente o indirettamente, si connette a un altro dispositivo o a una rete.

In concreto si tratta di categorie come:

• illuminazione smart e strisce LED connesse;
• climatizzatori ed elettrodomestici Wi-Fi (lavatrici, frigoriferi, forni);
• serrature e sistemi di allarme smart;
• telecamere di videosorveglianza per la casa;
• robot aspirapolvere;
• smartwatch e fitness tracker;
• altoparlanti intelligenti;
• giocattoli connessi a internet;
• router e modem domestici;
• software venduti separatamente come antivirus o password manager.

Non rientrano invece nell’ambito del Cyber Resilience Act:

• i dispositivi medici;
• i veicoli a motore;
• l’equipaggiamento aeronautico e marittimo;
• i servizi cloud puri (SaaS, PaaS, IaaS), disciplinati dalla Direttiva NIS 2;
• il software libero non fornito nell’ambito di un’attività commerciale.

Chi è obbligato

Il CRA individua tre ruoli con responsabilità diverse.

Il fabbricante ha la responsabilità primaria: progetta il prodotto sicuro fin dall’origine, gestisce le vulnerabilità per tutto il ciclo di vita, redige la documentazione tecnica, appone la marcatura CE e fornisce le informazioni all’utente.

L’importatore verifica a monte che il fabbricante abbia eseguito la valutazione di conformità, redatto la documentazione e apposto la marcatura CE. Deve indicare i propri dati sul prodotto e conservare la Dichiarazione di conformità UE per dieci anni.

Il distributore esercita un controllo formale di diligenza: verifica la presenza della marcatura CE e della documentazione prima di mettere in vendita il prodotto.

Cosa deve fare il fabbricante

Gli obblighi del fabbricante si raggruppano in quattro aree.

• Progettazione: il prodotto deve essere immesso sul mercato senza vulnerabilità note sfruttabili, con una configurazione sicura di default.
• Ciclo di vita: il fabbricante deve garantire aggiornamenti di sicurezza gratuiti per un “periodo di assistenza” di almeno cinque anni (salvo cicli di vita del prodotto più brevi), compilare una distinta dei componenti software (SBOM) e designare un punto di contatto unico per le segnalazioni di vulnerabilità.
• Conformità documentale: documentazione tecnica, valutazione di conformità, Dichiarazione di conformità UE, marcatura CE e istruzioni all’utente.
• Segnalazioni alle autorità: area che diventa operativa per prima, l’11 settembre 2026.

Le scadenze del CRA

• 10 dicembre 2024: il CRA entra in vigore.
• 11 giugno 2026: diventano operativi gli organismi notificati.
• 11 settembre 2026: scatta l’obbligo di notifica delle vulnerabilità e degli incidenti (Art. 14).
• 11 dicembre 2027: il Regolamento diventa pienamente applicabile.

Cosa succede l’11 settembre 2026

Dall’11 settembre 2026 i fabbricanti di prodotti digitali dovranno saper notificare alle autorità europee due tipi di eventi.

Il primo è una vulnerabilità attivamente sfruttata: un difetto del prodotto che qualcuno sta già utilizzando per violare la sicurezza di chi lo possiede.

Il secondo è un incidente grave con impatto sulla sicurezza del prodotto: una compromissione dei processi interni del fabbricante, per esempio del canale di distribuzione degli aggiornamenti firmware, che può mettere a rischio gli utenti.

In entrambi i casi l’Art. 14 stabilisce tempistiche molto strette:

• entro 24 ore dalla conoscenza del fatto: il fabbricante invia un preallarme;
• entro 72 ore: una notifica strutturata con la valutazione iniziale e le misure correttive in corso;
• entro 14 giorni: una relazione finale per le vulnerabilità (dalla disponibilità della patch) o entro 1 mese per gli incidenti gravi.

Le notifiche vanno alla piattaforma unica di segnalazione gestita dall’ENISA (Agenzia UE per la cibersicurezza), che le inoltra ai CSIRT nazionali. La piattaforma diventa operativa proprio l’11 settembre 2026.

Le sanzioni

L’Art. 64 del CRA prevede sanzioni pesanti: fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo, il maggiore dei due, per le violazioni degli obblighi più gravi, inclusi quelli di notifica.

Va precisato che il regime sanzionatorio pieno diventa esigibile dall’11 dicembre 2027, con l’applicazione generale del Regolamento. Nel frattempo, restano comunque esposizione alla responsabilità civile verso i clienti, rischio reputazionale significativo e i poteri ordinativi delle autorità di vigilanza del mercato.

Come prepararsi

Azioni prioritarie:

• mappare il catalogo per identificare quali prodotti rientrano nella definizione di PDE;
• designare un punto di contatto unico (SPOC) per le segnalazioni di vulnerabilità;
• predisporre un processo interno minimo di “incident response” compatibile con le tempistiche di 24 e 72 ore;
• iniziare a rivedere il fascicolo tecnico in ottica CRA, in vista dell’applicazione piena del dicembre 2027.

Domande frequenti (FAQ)

Un prodotto con Wi-Fi rientra nel Cyber Resilience Act?

Molto probabilmente sì. La definizione di prodotto con elementi digitali (PDE) data dall’Art. 3 del Reg. (UE) 2024/2847 è volutamente ampia e include qualsiasi prodotto hardware o software che si connette a una rete, anche solo in modo indiretto. Rientrano quindi nel Cyber Resilience Act illuminazione smart, elettrodomestici Wi-Fi, telecamere per la casa, smartwatch, giocattoli connessi, router domestici e moltissime altre categorie di consumo.

Un software venduto in cloud (SaaS) rientra nel CRA?

No. I servizi cloud puri, ovvero SaaS, PaaS e IaaS, sono disciplinati dalla Direttiva NIS 2 e non dal CRA. Rientrano invece nell’ambito del Cyber Resilience Act i software installati sul prodotto e quelli venduti separatamente come prodotto autonomo (per esempio antivirus, password manager, firmware aggiornabile).

Gli obblighi CRA valgono anche per prodotti già a catalogo?

L’obbligo di notifica delle vulnerabilità e degli incidenti, previsto dall’Art. 14 del CRA, si applica anche ai prodotti digitali già immessi sul mercato prima dell’11 settembre 2026, in forza dell’Art. 69, paragrafo 3 del Regolamento. Gli altri obblighi (documentazione tecnica, marcatura CE “cyber”, Dichiarazione di conformità UE) si applicano invece solo ai prodotti immessi sul mercato dall’11 dicembre 2027.

Il CRA sostituisce la cibersicurezza delle apparecchiature radio (Reg. delegato RED 2022/30)?

Nel tempo sì. Durante la fase di transizione le due normative coesistono; dall’11 dicembre 2027 il Cyber Resilience Act assorbe i requisiti di cibersicurezza della RED per i prodotti che rientrano in entrambi gli ambiti, rendendo il CRA l’unico riferimento regolatorio. Il tema del passaggio è approfondito nell’articolo dedicato alla cibersicurezza delle apparecchiature radio.

Cosa cambia per la marcatura CE con il Cyber Resilience Act?

La marcatura CE resta unica: la conformità al CRA si somma agli altri regolamenti applicabili (per esempio LVD, EMC, RED). La Dichiarazione di conformità UE può essere unica per tutte le normative applicabili al prodotto, con un unico documento che attesta la conformità a più atti legislativi europei.