22/05/2026
🚀 𝗥𝗶𝘃𝗼𝗹𝘂𝘇𝗶𝗼𝗻𝗲 𝗻𝗲𝗹𝗹𝗮 𝗦𝗶𝗰𝘂𝗿𝗲𝘇𝘇𝗮 𝗗𝗶𝗴𝗶𝘁𝗮𝗹𝗲 𝗶𝗻 𝗘𝘂𝗿𝗼𝗽𝗮: 𝗘𝗰𝗰𝗼 𝗹𝗲 𝗻𝗼𝘃𝗶𝘁𝗮̀ 𝗱𝗲𝗹 𝗖𝘆𝗯𝗲𝗿 𝗥𝗲𝘀𝗶𝗹𝗶𝗲𝗻𝗰𝗲 𝗔𝗰𝘁 (𝗖𝗥𝗔)ⵑ 🛡️
L'Unione Europea ha ufficialmente introdotto il 𝗖𝘆𝗯𝗲𝗿 𝗥𝗲𝘀𝗶𝗹𝗶𝗲𝗻𝗰𝗲 𝗔𝗰𝘁 (𝗖𝗥𝗔), un regolamento storico che stabilisce per la prima volta requisiti orizzontali obbligatori di cibersicurezza per tutti i prodotti con elementi digitali, sia hardware che software, immessi sul mercato dell'UE.
L'obiettivo? Proteggere consumatori e aziende, assicurando che la sicurezza sia presa in seria considerazione per l'intero ciclo di vita di un prodotto.
Ecco le principali novità introdotte dal CRA:
🔒 𝗦𝗲𝗰𝘂𝗿𝗲 𝗯𝘆 𝗗𝗲𝘀𝗶𝗴𝗻 𝗲 𝗦𝗲𝗰𝘂𝗿𝗲 𝗯𝘆 𝗗𝗲𝗳𝗮𝘂𝗹𝘁: I prodotti dovranno essere progettati per essere sicuri fin dal primo utilizzo e configurati in modo sicuro per impostazione predefinita. Soprattutto, non dovranno presentare vulnerabilità note sfruttabili al momento del rilascio sul mercato.
🔄 𝗚𝗲𝘀𝘁𝗶𝗼𝗻𝗲 𝗱𝗲𝗹𝗹𝗲 𝗩𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝘁𝗮̀ 𝗲 𝗔𝗴𝗴𝗶𝗼𝗿𝗻𝗮𝗺𝗲𝗻𝘁𝗶: I produttori avranno l'obbligo di gestire le vulnerabilità e rilasciare tempestivamente aggiornamenti di sicurezza gratuiti. Ove tecnicamente possibile, gli aggiornamenti di sicurezza dovranno essere forniti separatamente dagli aggiornamenti delle funzionalità e dovranno potersi installare in modo automatico.
📅 𝗣𝗲𝗿𝗶𝗼𝗱𝗼 𝗱𝗶 𝗔𝘀𝘀𝗶𝘀𝘁𝗲𝗻𝘇𝗮 𝗚𝗮𝗿𝗮𝗻𝘁𝗶𝘁𝗼: Viene introdotto un "periodo di assistenza" in cui il produttore si impegna a gestire efficacemente le vulnerabilità. Questo periodo deve riflettere la durata di utilizzo prevista del dispositivo e, in linea generale, non potrà essere inferiore a 5 anni.
🚨 𝗦𝗲𝗴𝗻𝗮𝗹𝗮𝘇𝗶𝗼𝗻𝗲 𝗥𝗮𝗽𝗶𝗱𝗮 (𝗥𝗲𝗽𝗼𝗿𝘁𝗶𝗻𝗴): I produttori dovranno inviare una notifica di preallarme entro 24 oreall'ENISA e ai CSIRT (team di risposta agli incidenti) competenti in caso di vulnerabilità attivamente sfruttate o incidenti gravi che abbiano un impatto sulla sicurezza del prodotto.
🏷️ 𝗖𝗹𝗮𝘀𝘀𝗶𝗳𝗶𝗰𝗮𝘇𝗶𝗼𝗻𝗲 𝗲 𝗠𝗮𝗿𝗰𝗮𝘁𝘂𝗿𝗮 𝗖𝗘: Per circolare nel mercato interno, i prodotti dovranno recare la marcatura CE che attesti la conformità al CRA. I prodotti sono stati inoltre classificati in base al rischio: i prodotti con elementi digitali "importanti" (Classe I e II) o "critici" (come firewall, smart card, router o sistemi operativi) saranno soggetti a procedure di valutazione della conformità più rigorose.
⏳ 𝗤𝘂𝗮𝗻𝗱𝗼 𝗲𝗻𝘁𝗿𝗮 𝗶𝗻 𝘃𝗶𝗴𝗼𝗿𝗲?
Il regolamento si applicherà pienamente a partire dall'11 dicembre 2027, ma attenzione: gli obblighi di segnalazione rapida delle vulnerabilità e degli incidenti diventeranno operativi già dall'11 settembre 2026.
Produttori, importatori e distributori: è il momento di iniziare a prepararsi per garantire un ecosistema digitale più resiliente! 🌐
