Conformita Cyber Resilience Act, completamente automatizzata
Il CRA impone la cybersicurezza per tutti i prodotti con elementi digitali venduti nell'UE. Matproof copre la sicurezza by design, la gestione delle vulnerabilita, la gestione SBOM, la segnalazione a ENISA e la valutazione di conformita.
Richieda una demoCos'e il Cyber Resilience Act (CRA)?
Il Cyber Resilience Act (Regolamento 2024/2847) e un regolamento UE che stabilisce requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali - comprendendo sia hardware che software venduti sul mercato europeo. Pubblicato nella Gazzetta Ufficiale il 20 novembre 2024, affronta i crescenti rischi di cybersicurezza posti dai prodotti connessi, dai dispositivi smart home e router ai sistemi operativi e al software di controllo industriale.
Il CRA colma una significativa lacuna normativa: mentre i quadri normativi UE esistenti affrontano la sicurezza delle reti e delle informazioni (NIS2) e la resilienza settoriale (DORA), nessuna regolamentazione orizzontale richiedeva in precedenza che la cybersicurezza fosse integrata nei prodotti fin dalla fase di progettazione. Il CRA impone che produttori, importatori e distributori garantiscano che i prodotti soddisfino i requisiti essenziali di cybersicurezza per tutto il loro ciclo di vita, inclusa la gestione continua delle vulnerabilita e gli aggiornamenti di sicurezza.
Gli obblighi chiave includono la sicurezza by design e by default (Annex I Parte I), la gestione sistematica delle vulnerabilita (Annex I Parte II), la manutenzione del Software Bill of Materials (SBOM), la segnalazione rapida delle vulnerabilita a ENISA e ai CSIRT nazionali, gli aggiornamenti di sicurezza gratuiti per il periodo di supporto del prodotto (minimo 5 anni) e la valutazione di conformita con marcatura CE. I prodotti sono classificati in categorie predefinita, Classe I, Classe II e critica, con livelli crescenti di rigore nella valutazione.
Il CRA segue un'attuazione graduale: gli obblighi di segnalazione delle vulnerabilita si applicano dall'11 settembre 2026, e il regolamento completo si applica dall'11 dicembre 2027. Cio consente ai produttori di adattare i propri processi di sviluppo dei prodotti, stabilire workflow di gestione delle vulnerabilita e prepararsi alle valutazioni di conformita.
Chi deve conformarsi al CRA?
Il CRA si applica a tutti gli operatori economici coinvolti nell'immissione di prodotti con elementi digitali sul mercato UE. Un prodotto con elementi digitali e qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto che includono una connessione diretta o indiretta, logica o fisica, a un dispositivo o a una rete:
Produttori
- Produttori di hardware (dispositivi IoT, router, prodotti smart home)
- Sviluppatori di software (applicazioni, sistemi operativi, firmware)
- Produttori di sistemi embedded (controllori industriali, ECU automotive)
- Fornitori SaaS in cui il software e un componente del prodotto
- Steward di software open-source (fondazioni commerciali)
- Aziende che integrano componenti di terze parti nei prodotti
Importatori e distributori
- Importatori UE di prodotti fabbricati al di fuori dell'UE
- Distributori che immettono prodotti sul mercato UE
- Marketplace online che vendono prodotti con elementi digitali
- Integratori di sistemi che assemblano prodotti da componenti
- Rivenditori di prodotti software e hardware
- Distributori di prodotti white-label
Da notare che i servizi SaaS puri che non comportano l'immissione di un prodotto sul mercato sono generalmente esclusi dall'ambito del CRA (possono rientrare nel NIS2). Tuttavia, se il SaaS include componenti software scaricabili, firmware o integrazione con dispositivi IoT, tali elementi rientrano nell'ambito. Anche il software open-source sviluppato in un contesto non commerciale e escluso, sebbene gli steward di software open-source (ad es. fondazioni commerciali che mantengono librerie critiche) abbiano obblighi specifici ai sensi dell'Articolo 25.
Not sure if you're compliant?
Take the free CRA readiness assessment — 10 questions, 3 minutes.
Requisiti chiave del CRA
1. Requisiti essenziali di cybersicurezza (Annex I Parte I)
I prodotti devono essere progettati, sviluppati e fabbricati per garantire un livello adeguato di cybersicurezza in base ai loro rischi. Cio include: nessuna vulnerabilita sfruttabile nota al momento dell'immissione sul mercato, configurazione sicura predefinita senza password predefinite, protezione della riservatezza e dell'integrita dei dati, minimizzazione del trattamento dei dati, meccanismi di controllo degli accessi, minimizzazione della superficie di attacco, registrazione delle informazioni rilevanti per la sicurezza e un meccanismo di aggiornamento sicuro. I prodotti devono inoltre essere resilienti agli attacchi denial-of-service.
2. Gestione delle vulnerabilita (Annex I Parte II)
I produttori devono stabilire e mantenere un processo sistematico per l'identificazione, la documentazione e la risoluzione delle vulnerabilita durante l'intero ciclo di vita del prodotto. Cio include test di sicurezza regolari, risoluzione tempestiva tramite aggiornamenti di sicurezza gratuiti, una politica di divulgazione coordinata delle vulnerabilita per i ricercatori esterni, divulgazione pubblica delle vulnerabilita corrette con identificatori CVE, meccanismi per la condivisione delle informazioni sulle vulnerabilita e un meccanismo sicuro di distribuzione degli aggiornamenti. Le patch devono essere fornite gratuitamente e senza indebito ritardo.
3. Gestione SBOM (Annex I.2(9))
I produttori devono generare e mantenere un Software Bill of Materials (SBOM) che documenti tutte le dipendenze di primo livello, i componenti, le librerie e il codice di terze parti inclusi nei loro prodotti. Lo SBOM consente una rapida valutazione delle vulnerabilita quando vengono pubblicate nuove CVE, la trasparenza della catena di fornitura e la segnalazione regolamentare. Deve essere mantenuto aggiornato per tutto il periodo di supporto del prodotto e reso disponibile alle autorita di vigilanza del mercato su richiesta.
4. Segnalazione delle vulnerabilita a ENISA (Articolo 14)
Quando un produttore viene a conoscenza di una vulnerabilita attivamente sfruttata o di un grave incidente di sicurezza, deve segnalarlo al CSIRT designato e a ENISA seguendo tempistiche rigorose: un preallarme entro 24 ore dalla scoperta, una notifica dettagliata della vulnerabilita entro 72 ore comprensiva di valutazione della gravita e stato della risoluzione, e un rapporto finale entro 14 giorni. Gli utenti devono inoltre essere informati senza indebito ritardo della vulnerabilita e delle misure correttive disponibili.
5. Valutazione di conformita e marcatura CE (Articoli 28-32)
Prima di immettere un prodotto sul mercato UE, i produttori devono condurre una valutazione di conformita, preparare una Dichiarazione di conformita UE (Annex V) e apporre la marcatura CE. I prodotti predefiniti possono utilizzare l'autovalutazione (Annex VI Parte I). I prodotti di Classe I (Annex III - ad es. gestione dell'identita, VPN, firewall) richiedono la conformita a standard armonizzati o una valutazione da parte di terzi. I prodotti di Classe II (Annex IV - ad es. sistemi operativi, contatori intelligenti) richiedono una valutazione obbligatoria da parte di terzi. I prodotti critici necessitano dell'esame UE del tipo.
6. Periodo di supporto del prodotto (Articolo 13(7))
I produttori devono definire e comunicare il periodo di supporto del prodotto durante il quale forniranno aggiornamenti di sicurezza - almeno 5 anni o la durata di vita prevista del prodotto, a seconda di quale sia piu lunga. Durante questo periodo, tutti gli aggiornamenti di sicurezza devono essere forniti gratuitamente e senza indebito ritardo. Il periodo di supporto deve essere comunicato chiaramente agli utenti al momento dell'acquisto. I produttori devono inoltre pianificare ed eseguire transizioni di fine vita responsabili al termine del supporto.
7. Documentazione tecnica (Annex VII)
I produttori devono mantenere una documentazione tecnica completa che copra: descrizione e scopo previsto del prodotto, valutazione del rischio di cybersicurezza, informazioni sulla progettazione e lo sviluppo incluse architettura e flussi di dati, informazioni sui processi di gestione delle vulnerabilita, standard armonizzati o specifiche comuni applicate, risultati della valutazione di conformita e prove di come i requisiti essenziali sono soddisfatti. La documentazione deve essere conservata per 10 anni o per il periodo di supporto, a seconda di quale sia piu lungo.
Sanzioni per la non conformita al CRA
Il CRA stabilisce un quadro sanzionatorio a livelli applicato dalle autorita nazionali di vigilanza del mercato. Le sanzioni sono calcolate come il valore piu elevato tra un importo fisso o una percentuale del fatturato annuo globale:
per la non conformita ai requisiti essenziali di cybersicurezza (Annex I) - la categoria piu grave
per la non conformita ad altri obblighi del produttore, inclusa la segnalazione delle vulnerabilita e la valutazione di conformita
per la fornitura di informazioni errate, incomplete o fuorvianti alle autorita di vigilanza del mercato o agli organismi notificati
le autorita possono ordinare il ritiro, il richiamo o la limitazione della disponibilita del prodotto sul mercato UE fino al raggiungimento della conformita
Le autorita di vigilanza del mercato dispongono di ampi poteri, tra cui la possibilita di effettuare test sui prodotti, richiedere documentazione, accedere ai locali e imporre misure correttive vincolanti. I prodotti non conformi possono essere completamente vietati sul mercato UE. Per gli steward di software open-source, le sanzioni sono proporzionate alle loro dimensioni e alla loro quota di mercato.
Come prepararsi alla conformita al CRA
Con gli obblighi di segnalazione delle vulnerabilita a partire dall'11 settembre 2026 e la piena applicazione dall'11 dicembre 2027, i produttori dovrebbero iniziare la preparazione ora:
- 1
Inventario e classificazione dei prodotti
Crei un inventario completo di tutti i prodotti con elementi digitali. Classifichi ciascun prodotto secondo le categorie del CRA: predefinita, Classe I (Annex III), Classe II (Annex IV) o critica. Identifichi la procedura di valutazione di conformita appropriata per ciascuna classe di prodotto.
- 2
Generazione SBOM e mappatura delle dipendenze
Implementi la generazione automatizzata di SBOM per tutti i prodotti. Documenti tutti i componenti, le librerie e le dipendenze. Effettui il confronto con i database CVE e configuri il monitoraggio continuo per le vulnerabilita appena divulgate nella Sua catena di fornitura software.
- 3
Processo di gestione delle vulnerabilita
Istituisca un processo sistematico di gestione delle vulnerabilita che copra identificazione, documentazione, risoluzione e divulgazione. Configuri canali di divulgazione coordinata delle vulnerabilita. Sviluppi la capacita di rispettare le tempistiche di segnalazione ENISA di 24h/72h/14 giorni. Testi il processo con scenari di vulnerabilita simulati.
- 4
Integrazione della sicurezza by design
Integri i requisiti essenziali di cybersicurezza del CRA nel ciclo di vita dello sviluppo dei prodotti. Implementi configurazioni sicure predefinite, controllo degli accessi, minimizzazione della superficie di attacco e meccanismi di aggiornamento sicuro. Conduca test di sicurezza durante lo sviluppo, non solo prima del rilascio.
- 5
Preparazione alla valutazione di conformita
Prepari la documentazione tecnica secondo l'Annex VII. Per i prodotti di Classe I/II, coinvolga organismi notificati per la valutazione da parte di terzi. Predisponga la Dichiarazione di conformita UE e la documentazione per la marcatura CE. Assicuri che il Suo sistema di gestione della qualita supporti la conformita continua.
- 6
Periodo di supporto e infrastruttura di aggiornamento
Definisca i periodi di supporto per tutti i prodotti (minimo 5 anni). Costruisca un'infrastruttura sicura per la distribuzione degli aggiornamenti. Stabilisca processi per la pianificazione del fine vita e la comunicazione agli utenti. Assicuri di poter fornire patch di sicurezza gratuite per l'intero periodo di supporto.
Domande frequenti sul CRA
Cos'e il Cyber Resilience Act?
Il CRA (Regolamento 2024/2847) e un regolamento UE che stabilisce requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali. Impone la sicurezza by design, la gestione delle vulnerabilita, la gestione SBOM e la segnalazione degli incidenti a ENISA. La segnalazione delle vulnerabilita inizia a settembre 2026, la piena applicazione da dicembre 2027.
Chi deve conformarsi al CRA?
Il CRA si applica a produttori, importatori e distributori di prodotti con elementi digitali immessi sul mercato UE. Cio include qualsiasi prodotto hardware o software con una connessione di rete. I servizi SaaS puri sono generalmente esclusi a meno che non includano componenti scaricabili.
Quali sono le tempistiche di segnalazione delle vulnerabilita del CRA?
I produttori devono inviare un preallarme al CSIRT designato entro 24 ore dalla scoperta di una vulnerabilita attivamente sfruttata, una notifica dettagliata entro 72 ore e un rapporto finale entro 14 giorni. Gli utenti devono inoltre essere informati senza indebito ritardo.
Cos'e un SBOM e perche il CRA lo richiede?
Un Software Bill of Materials e un inventario dettagliato di tutti i componenti software di un prodotto. Il CRA richiede gli SBOM per consentire il tracciamento delle vulnerabilita, la trasparenza della catena di fornitura e una risposta piu rapida agli incidenti quando vengono scoperte vulnerabilita in componenti di terze parti.
Come classifica i prodotti il CRA?
I prodotti predefiniti utilizzano l'autovalutazione. I prodotti di Classe I (ad es. VPN, firewall) richiedono la conformita agli standard o la valutazione da parte di terzi. I prodotti di Classe II (ad es. sistemi operativi) richiedono la valutazione obbligatoria da parte di terzi. I prodotti critici necessitano dell'esame UE del tipo.
Qual e il periodo di supporto minimo ai sensi del CRA?
I produttori devono fornire aggiornamenti di sicurezza gratuiti per almeno 5 anni o per la durata di vita prevista del prodotto, a seconda di quale sia piu lunga. Il periodo di supporto deve essere comunicato chiaramente agli utenti al momento dell'acquisto.
CRA Readiness Assessment
Assess your Cyber Resilience Act readiness
Funzionalita principali
Sicurezza by design (Annex I)
Tracci e documenti i requisiti essenziali di cybersicurezza dalla progettazione del prodotto alla consegna. Configurazioni sicure predefinite, minimizzazione della superficie di attacco e controllo degli accessi - tutto comprovato.
Gestione delle vulnerabilita (Annex I.2)
Identificazione, documentazione e risoluzione sistematica delle vulnerabilita. Processi di divulgazione coordinata con tracciamento completo dell'audit e integrazione SBOM.
Gestione SBOM (Annex I.2(9))
Generi e mantenga Software Bill of Materials. Tracci tutti i componenti, le librerie e le dipendenze. Confronto automatico con i database delle vulnerabilita note.
Segnalazione ENISA/CSIRT (Art. 14)
Rispetti le scadenze di preallarme a 24 ore, notifica a 72 ore e rapporto finale a 14 giorni. Template predefiniti, workflow automatizzati e monitoraggio delle scadenze.
Valutazione di conformita (Art. 32)
Autovalutazione per i prodotti predefiniti, valutazione guidata da parte di terzi per Classe I/II. Generazione della Dichiarazione di conformita UE e documentazione per la marcatura CE.
Gestione del periodo di supporto (Art. 13(7))
Monitori i periodi di supporto dei prodotti (minimo 5 anni), la fornitura degli aggiornamenti di sicurezza e le transizioni di fine vita. Avvisi automatizzati e documentazione di conformita.
Perche Matproof
CRA Readiness Assessment
Assess your Cyber Resilience Act readiness
Storie di clienti
Team che non temono più la stagione degli audit.
Matproof ci ha risparmiato mesi di preparazione all'audit. Abbiamo collegato i nostri strumenti il lunedì e venerdì avevamo già le evidenze mappate su DORA. Il nostro revisore è rimasto colpito dalla profondità della pista di audit.
Head of Compliance
Series B Fintech, Germany
* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.