News sulla cybersecurity e protezione dei dati

Cyber Resilience Act: cosa devono fare le aziende per adeguarsi

La Commissione europea ha reso pubblica la propria guida ufficiale per l’applicazione del Cyber Resilience Act (Regolamento UE 2024/2847), un documento atteso da tempo che fornisce indicazioni concrete a produttori di software, hardware connesso e integratori di sistemi operanti nel mercato digitale europeo.

Il CRA è entrato in vigore il 10 dicembre 2024 e diventerà pienamente applicabile dall’11 dicembre 2027. Si tratta della prima normativa UE orizzontale dedicata ai requisiti di cybersecurity per i prodotti con elementi digitali.

Chi rientra nel perimetro

Contrariamente a quanto si potrebbe pensare, il CRA non riguarda solo dispositivi IoT o hardware connesso. La guida chiarisce che il perimetro comprende app standalone, firmware, hardware con software integrato e qualsiasi combinazione di questi elementi. Il criterio discriminante è la capacità del prodotto di scambiare informazioni digitali in modo intenzionale.

Software open source e FOSS

Il CRA non esclude automaticamente il FOSS dal proprio ambito: se viene monetizzato, anche indirettamente tramite versioni premium o accesso condizionato agli aggiornamenti, si considera “immesso sul mercato” e ricade nelle obbligazioni del Regolamento.

Obblighi principali per le imprese

Le aziende produttrici devono garantire un periodo minimo di supporto di cinque anni, gestire le vulnerabilità in modo continuativo e notificare gli incidenti gravi all’ENISA e ai CSIRT nazionali entro 24 ore per l’early warning e 72 ore per la notifica completa.