La cybersecurity è una questione di pubblico interesse e gli attacchi informatici generano inevitabili impatti su economia, democrazia, sicurezza e salute.
Con l’obiettivo di definire un quadro giuridico uniforme sui requisiti essenziali di cybersicurezza per l’immissione sul mercato europeo di prodotti con elementi digitali, l’Unione Europea ha pubblicato, lo scorso ottobre, il CRA-Cyber Resilience Act (Regolamento UE 2024/2847), che modifica e supera le precedenti normative sul tema.
Il CRA introduce un approccio innovativo nella gestione dei rischi legati alla sicurezza informatica dei prodotti con elementi digitali, ovvero connessi direttamente o indirettamente a un dispositivo o a una rete, assicurando che tali prodotti soddisfino elevati standard di qualità.
Si applica a tutte le fasi del ciclo di vita del prodotto, dalla progettazione alla realizzazione fino alla manutenzione, imponendo agli sviluppatori di identificare e mitigare i rischi informatici.
Il Regolamento entra in vigore l’11 dicembre 2027 ma, già a partire dal 11 settembre 2026, i fabbricanti sono obbligati a notificare al CSIRT e all’ENISA* qualsiasi vulnerabilità e/o qualsiasi incidente grave che abbia un impatto sulla sicurezza del prodotto, nel momento in cui ne vengono a conoscenza.
Le scadenze sono dunque ravvicinate: per gli imprenditori del mondo manifatturiero è perciò fondamentale conoscere da subito i contenuti del Regolamento CRA, per capire quali siano gli obblighi cui è necessario adeguarsi, affinché i prodotti con elementi digitali rispettino le nuove conformità in tema di sicurezza informatica.
In questo contesto bisogna anche considerare che alcune disposizioni del Cyber Resilience Act vanno talvolta a sovrapporsi ad altre normative in vigore – ad esempio il Regolamento Macchine UE 2023/1230 – e che, in assenza di norme armonizzate specifiche per le diverse tipologie di prodotti, sarà comunque necessario adeguarsi a quanto previsto dal Regolamento CRA per garantirne la conformità in tema di cybersecurity.
In attesa della pubblicazione delle norme tecniche di attuazione del nuovo Regolamento, ICIM Consulting è a disposizione per informare e formare gli imprenditori su novità, obblighi e scadenze del CRA e ha già messo a disposizione sul proprio sito un primo elenco di FAQ consultabile a questo LINK.
________
* rispettivamente l’Agenzia nazionale ed Europea per la cybersicurezza.
07 aprile 2025
Non è una corrispondenza, ma una newsletter personalizzata.
Rimani sempre aggiornato con le nostre newsletter sul Gruppo ICIM.
