33 risposte
Cos'è il Cyber Resilience Act e perché ne sento parlare adesso?
Il Cyber Resilience Act (Regolamento UE 2024/2847, abbreviato CRA) è la prima legge europea che impone requisiti di cybersicurezza ai "prodotti con elementi digitali" venduti nell'Unione Europea, cioè praticamente tutto ciò che contiene software o si connette a una rete. È entrato in vigore il 10 dicembre 2024, ma gli obblighi principali diventano operativi solo dall'11 dicembre 2027.
Se ne parla ora proprio perché c'è una finestra di transizione: chi progetta e vende prodotti digitali ha il tempo di adeguarsi, ma alcune scadenze intermedie (come gli obblighi di notifica) arrivano già nel 2026.
GiBSeS — Capire se e come il CRA ti tocca è la prima diagnosi che facciamo con le PMI che sviluppano prodotti connessi.
Cosa si intende esattamente per "prodotto con elementi digitali"?
È qualsiasi prodotto hardware o software la cui destinazione d'uso prevede un collegamento — diretto o indiretto, logico o fisico — a un dispositivo o a una rete. In pratica rientrano gli oggetti connessi (telecamere IP, router, elettrodomestici smart, sensori industriali, dispositivi IoT), ma anche il software venduto da solo (applicazioni, sistemi operativi, librerie, firmware).
Sono incluse anche le soluzioni di elaborazione dati a distanza necessarie al funzionamento del prodotto (per esempio la parte cloud di un dispositivo). Restano invece fuori i prodotti già coperti da normative settoriali specifiche, come molti dispositivi medici, l'automotive e l'aviazione.
GiBSeS — Spesso il punto più delicato è capire dove finisce il tuo prodotto e dove inizia un servizio: è una distinzione che aiutiamo a mappare fin dall'inizio.
Come faccio a sapere se la mia azienda è coinvolta dal CRA?
Il CRA si applica a chi immette sul mercato UE prodotti con elementi digitali, con obblighi diversi a seconda del ruolo: i produttori (chi progetta o fabbrica, o fa progettare/fabbricare con il proprio marchio) hanno gli obblighi più stringenti; gli importatori (chi porta nell'UE prodotti di aziende extra-UE) devono verificare che il produttore abbia fatto la sua parte; i distributori devono agire con la dovuta diligenza nella catena di fornitura.
Anche se rivendi con il tuo marchio un prodotto fabbricato da altri, agli occhi del regolamento diventi tu il "produttore". Vale la pena chiarire il ruolo prima di dare per scontato che l'obbligo sia di qualcun altro.
GiBSeS — Definire con precisione il tuo ruolo nella catena — produttore, importatore o distributore — cambia radicalmente la lista di adempimenti, ed è da lì che partiamo.
Vendo solo software, non hardware: sono comunque coinvolto?
Sì. Il CRA copre esplicitamente il software immesso sul mercato in modo autonomo, non solo il software integrato in un dispositivo. Rientrano quindi applicazioni, sistemi operativi, firmware, librerie e componenti software venduti separatamente.
Ciò che conta è che il prodotto sia messo a disposizione sul mercato UE nell'ambito di un'attività commerciale. Il modo in cui è distribuito (download, licenza, abbonamento) non ti esclude dagli obblighi.
GiBSeS — Per una software house i requisiti di sicurezza "by design" e la gestione delle vulnerabilità incidono direttamente sul ciclo di sviluppo: è un adeguamento che conviene pianificare, non improvvisare.
Quali sono in concreto gli obblighi principali per un produttore?
Il cuore del CRA sono due famiglie di obblighi. Primo, la sicurezza "by design": il prodotto deve essere progettato, sviluppato e realizzato per garantire un livello adeguato di cybersicurezza, in base a una valutazione dei rischi (per esempio: configurazione sicura di default, protezione dei dati, superficie di attacco ridotta).
Secondo, la gestione delle vulnerabilità per tutto il ciclo di vita: identificarle e correggerle tempestivamente, distribuire aggiornamenti di sicurezza (gratuiti e, dove possibile, automatici), mantenere una distinta dei componenti software (SBOM) e una politica di divulgazione coordinata delle vulnerabilità. A questo si aggiungono documentazione tecnica, dichiarazione di conformità e marcatura CE.
GiBSeS — Tradurre questi principi in processi concreti dentro un'azienda che non ha un reparto sicurezza dedicato è esattamente il tipo di lavoro operativo su cui affianchiamo le PMI.
Per quanto tempo sono obbligato a fornire aggiornamenti di sicurezza?
Il produttore deve gestire le vulnerabilità e fornire aggiornamenti di sicurezza per l'intero "periodo di supporto", che deve riflettere per quanto tempo ci si aspetta ragionevolmente che il prodotto sia utilizzato. Di regola questo periodo non dovrebbe essere inferiore a cinque anni; se il prodotto è pensato per un uso più breve, il periodo può essere più corto e va comunicato con chiarezza.
Il periodo di supporto va reso noto all'acquirente in modo comprensibile al momento dell'acquisto. Questo ha un impatto economico reale, perché ti impegna a mantenere risorse di sviluppo e sicurezza per anni.
GiBSeS — Dimensionare il periodo di supporto è tanto una scelta tecnica quanto economico-finanziaria: è un equilibrio che aiutiamo a valutare con i numeri in mano, senza sovra-impegnarsi.
Devo davvero segnalare le vulnerabilità e gli incidenti alle autorità?
Sì, ma con una precisazione importante: l'obbligo non riguarda ogni vulnerabilità, bensì le vulnerabilità attivamente sfruttate e gli incidenti gravi che impattano la sicurezza del prodotto. In questi casi il produttore deve attivare una notifica in tempi molto stretti.
La tempistica prevede un "allarme precoce" senza indebito ritardo e comunque entro 24 ore dal momento in cui si viene a conoscenza del problema, seguito da una notifica più completa entro 72 ore, e infine da un rapporto finale. Serve quindi avere in anticipo una procedura interna che scatti in modo automatico quando accade qualcosa.
GiBSeS — Avere pronta una procedura di notifica che rispetti le 24 e 72 ore prima che serva davvero è uno dei preparativi più sottovalutati: meglio provarla a freddo.
A chi vanno segnalate le vulnerabilità sfruttate e gli incidenti?
Le notifiche passano attraverso una piattaforma unica di segnalazione coordinata a livello europeo, che coinvolge l'ENISA (l'Agenzia dell'Unione europea per la cibersicurezza) e i CSIRT nazionali designati come punto di contatto. In sostanza, comunichi tramite il canale nazionale e l'informazione viene instradata verso i soggetti competenti.
I dettagli operativi (quale portale, quali autorità nazionali di riferimento) vengono definiti a livello di ciascuno Stato membro e tramite atti attuativi, quindi conviene verificare il canale specifico per il proprio Paese quando gli obblighi diventeranno operativi.
GiBSeS — Individuare in anticipo il canale corretto per il tuo Paese ed evitare di scoprirlo durante un incidente è parte della preparazione che impostiamo insieme.
Da quando è obbligatorio rispettare il CRA?
Il regolamento è entrato in vigore il 10 dicembre 2024, ma l'applicazione è scaglionata. Gli obblighi principali — requisiti di sicurezza, marcatura CE, dichiarazione di conformità — si applicano dall'11 dicembre 2027. Prima di questa data scattano però alcuni adempimenti anticipati.
In particolare, gli obblighi di notifica delle vulnerabilità sfruttate e degli incidenti gravi si applicano da una data anticipata nel 2026 (intorno a settembre 2026), mentre le disposizioni sugli organismi di valutazione della conformità partono qualche mese prima. Poiché alcune date esatte possono essere precisate da atti attuativi, conviene verificarle sulle fonti ufficiali man mano che ci si avvicina alle scadenze.
GiBSeS — Costruire una roadmap che parta dalle scadenze anticipate del 2026 e non dal 2027 evita di arrivare tardi: è la prima cosa che mettiamo a fuoco insieme.
È vero che alcuni obblighi scattano prima del 2027?
Sì, ed è un punto che molti si perdono. Anche se la maggior parte del CRA diventa operativa a fine 2027, gli obblighi di notifica delle vulnerabilità attivamente sfruttate e degli incidenti gravi si applicano prima, nel corso del 2026. Questo significa che dovrai essere pronto a segnalare determinati eventi mesi prima di dover soddisfare i requisiti tecnici completi del prodotto.
È una scelta deliberata del legislatore: mettere in sicurezza il flusso di informazioni sulle minacce reali prima ancora che tutto l'apparato di conformità sia a regime. La data esatta di questa scadenza intermedia va confermata sulle fonti ufficiali, ma la logica "la notifica arriva prima" è certa.
GiBSeS — Distinguere ciò che serve già nel 2026 da ciò che puoi preparare con calma per il 2027 è esattamente il tipo di priorità che aiutiamo a ordinare.
Devo mettere la marcatura CE anche sul software? E cos'è la dichiarazione di conformità?
Sì: il CRA introduce la marcatura CE anche per i prodotti con elementi digitali, software compreso. La marcatura CE indica che il prodotto è conforme ai requisiti del regolamento e, per il software, può essere apposta in forma digitale (per esempio nella documentazione o sull'interfaccia) quando l'apposizione fisica non è possibile.
La dichiarazione UE di conformità è il documento con cui il produttore attesta, sotto la propria responsabilità, che il prodotto rispetta i requisiti applicabili. Va redatta, tenuta a disposizione delle autorità e accompagnata dalla documentazione tecnica che dimostra come sei arrivato a quella conformità.
GiBSeS — Preparare una documentazione tecnica solida e una dichiarazione difendibile è meno banale di quanto sembri: è un lavoro di metodo che imposti una volta e riusi su ogni prodotto.
Devo far certificare il prodotto da un ente esterno o posso autodichiararlo?
Dipende dalla categoria di rischio del prodotto. Per la grande maggioranza dei prodotti con elementi digitali è sufficiente l'autovalutazione della conformità da parte del produttore. Per le categorie più sensibili — che il CRA chiama prodotti "importanti" e "critici" (per esempio gestori di password, firewall, VPN, sistemi operativi, alcuni dispositivi di sicurezza) — sono previste procedure più rigorose, che in certi casi coinvolgono un organismo di valutazione della conformità terzo o l'adozione di schemi di certificazione europei.
È quindi essenziale classificare correttamente il proprio prodotto fin dall'inizio, perché da lì dipende quanto sarà oneroso il percorso di conformità.
GiBSeS — La classificazione del prodotto è un bivio che determina costi e tempi: verificarla presto, prima di investire nello sviluppo, è una delle diagnosi più utili.
Cosa sono i prodotti "importanti" e "critici" nel CRA?
Il CRA suddivide i prodotti in base al rischio. La categoria di base è soggetta ad autovalutazione. I prodotti "importanti" (elencati nel regolamento e divisi in due classi) svolgono funzioni rilevanti per la sicurezza — pensa a browser, gestori di password, sistemi operativi, router, firewall, antivirus — e richiedono procedure di conformità più impegnative. I prodotti "critici" sono quelli con la funzione più sensibile per la sicurezza dell'intera catena e possono essere soggetti a certificazione europea obbligatoria.
Gli elenchi di queste categorie possono essere aggiornati nel tempo dalla Commissione, quindi vale la pena ricontrollarli periodicamente.
GiBSeS — Sapere in quale fascia cade il tuo prodotto oggi — e monitorare se gli elenchi cambiano — è parte del presidio continuo che aiutiamo a mantenere.
Sviluppo o uso software open source: il CRA mi si applica?
Il software libero e open source sviluppato o fornito al di fuori di un'attività commerciale è in linea di massima escluso dagli obblighi del CRA: un progetto community senza scopo di lucro non è trattato come un produttore commerciale. La situazione cambia quando l'open source viene integrato in un prodotto commerciale e immesso sul mercato: in quel caso la responsabilità ricade su chi commercializza il prodotto finito.
Il regolamento introduce anche una figura intermedia, lo "steward del software open source" (organizzazioni che sostengono in modo strutturato lo sviluppo di open source usato in contesti commerciali), con obblighi più leggeri e proporzionati rispetto ai produttori veri e propri.
GiBSeS — Se il tuo prodotto poggia su componenti open source, capire chi risponde di cosa lungo la catena è un nodo che chiariamo prima che diventi un problema.
Importo prodotti digitali da fuori UE: quali sono i miei obblighi?
Come importatore puoi immettere sul mercato UE solo prodotti conformi al CRA. Devi verificare che il produttore extra-UE abbia svolto la valutazione di conformità, redatto la documentazione tecnica, apposto la marcatura CE e messo a disposizione le istruzioni. Devi anche assicurarti che siano indicati i dati di contatto del produttore e i tuoi.
Se hai motivo di ritenere che un prodotto non sia conforme, non puoi immetterlo sul mercato; e se scopri un rischio dopo, devi attivarti e informare le autorità. In pratica diventi un filtro di responsabilità tra il fabbricante estero e il mercato europeo.
GiBSeS — Impostare una checklist di verifica dei fornitori extra-UE ti protegge da prodotti che ti ritroveresti a difendere tu: è un controllo che vale la pena strutturare.
Sono un distributore/rivenditore: devo fare qualcosa anch'io?
Sì, anche se i tuoi obblighi sono più leggeri di quelli del produttore. Come distributore devi agire con la dovuta diligenza: verificare che il prodotto rechi la marcatura CE, che sia accompagnato dalla documentazione e dalle istruzioni richieste, e che produttore e importatore abbiano adempiuto ai loro obblighi.
Non puoi mettere a disposizione sul mercato un prodotto che sai o dovresti sapere essere non conforme, e se vieni a conoscenza di un rischio devi collaborare e informare gli attori a monte e, se necessario, le autorità.
GiBSeS — Anche una diligenza "leggera" richiede criteri chiari su cosa controllare: definirli una volta ti evita contestazioni caso per caso.
Cosa rischio concretamente se vendo prodotti non conformi nel mercato UE?
Le autorità di vigilanza del mercato possono ordinare misure correttive, imporre il ritiro o il richiamo del prodotto e vietarne o limitarne la messa a disposizione sul mercato UE. Oltre al danno reputazionale, ci sono sanzioni pecuniarie che possono essere molto rilevanti.
Il rischio quindi non è solo la multa: è la possibilità concreta di dover togliere il prodotto dal mercato, con l'impatto economico che ciò comporta su fatturato e clienti. Le decisioni di vigilanza sono affidate alle autorità nazionali degli Stati membri.
GiBSeS — Valutare l'esposizione reale — non solo la multa teorica ma il rischio di ritiro dal mercato — è il tipo di analisi rischi/benefici da cui partiamo prima di qualsiasi decisione.
A quanto ammontano le sanzioni previste dal CRA?
Il regolamento fissa tetti massimi elevati. Per la violazione dei requisiti essenziali di sicurezza e degli obblighi principali del produttore, le sanzioni possono arrivare fino a 15 milioni di euro o al 2,5% del fatturato annuo mondiale, se superiore. Per la violazione di altri obblighi il tetto è di 10 milioni di euro o il 2% del fatturato; per informazioni inesatte o fuorvianti fornite alle autorità, fino a 5 milioni di euro o l'1%.
Sono importi massimi: la sanzione effettiva è decisa dalle autorità nazionali, che devono tenere conto della gravità, della durata e anche delle dimensioni dell'impresa, con attenzione specifica a PMI e microimprese. Gli importi esatti applicabili nel tuo Paese dipendono quindi dalle autorità competenti.
GiBSeS — I tetti fanno impressione, ma la domanda utile è quanto sei esposto tu: dimensionare il rischio reale rispetto alla tua situazione è più concreto di guardare il numero massimo.
Che differenza c'è tra Cyber Resilience Act e NIS2?
Si occupano di cose diverse ma complementari. Il CRA regola la sicurezza dei prodotti: chi progetta e vende hardware e software deve renderli sicuri e mantenerli tali. La direttiva NIS2 regola invece la sicurezza delle organizzazioni e dei loro processi: impone misure di gestione del rischio cyber ai soggetti che operano in settori considerati essenziali o importanti.
In sintesi: il CRA guarda al prodotto che immetti sul mercato, NIS2 guarda a come la tua organizzazione gestisce la sicurezza. Un'azienda può ricadere sotto entrambi, per aspetti diversi.
GiBSeS — Capire quale normativa ti tocca e per quale motivo evita sia i doppioni sia i buchi di conformità: è una mappatura che facciamo in modo integrato.
Se il mio prodotto usa l'intelligenza artificiale, CRA e AI Act si sovrappongono?
Possono applicarsi entrambi, ma su piani diversi. L'AI Act disciplina i rischi legati ai sistemi di intelligenza artificiale (trasparenza, gestione del rischio, obblighi per i sistemi ad alto rischio); il CRA disciplina la cybersicurezza del prodotto con elementi digitali. Un prodotto AI connesso può quindi dover rispettare i requisiti di sicurezza del CRA e, allo stesso tempo, gli obblighi dell'AI Act.
Il legislatore ha cercato di coordinare le due normative per evitare duplicazioni, ma nella pratica serve una lettura combinata caso per caso per capire quali requisiti valgono per il tuo prodotto specifico.
GiBSeS — Leggere insieme AI Act e CRA senza fare due volte lo stesso lavoro è un vantaggio concreto quando un advisor indipendente coordina entrambi i fronti.
I prodotti che ho già sul mercato oggi devono adeguarsi?
In linea generale il CRA si applica ai prodotti immessi sul mercato dopo la data di applicazione degli obblighi principali. Ci sono però regole transitorie e attenzioni particolari per i prodotti già presenti sul mercato che vengono modificati in modo sostanziale dopo tale data, o per la documentazione da mantenere.
Gli obblighi di gestione delle vulnerabilità e di notifica hanno inoltre una logica legata al ciclo di vita, quindi non conviene dare per scontato che il "parco prodotti" esistente sia del tutto fuori portata. Le date e i dettagli transitori vanno verificati sul testo ufficiale in base alla situazione specifica.
GiBSeS — Fare l'inventario di ciò che hai già in commercio e capire cosa richiede attenzione è un passaggio pratico che spesso rivela sorprese: meglio anticiparlo.
Quanto costa adeguarsi al CRA per una PMI?
Non esiste una cifra unica: dipende dalla complessità del prodotto, dalla categoria di rischio, da quanto la sicurezza è già integrata nel tuo processo di sviluppo e dal periodo di supporto che dovrai garantire. I costi principali sono in genere l'adeguamento dei processi di sviluppo (sicurezza by design, SBOM, gestione vulnerabilità), la documentazione tecnica e, per i prodotti a rischio più alto, l'eventuale coinvolgimento di terzi.
La buona notizia è che molto di questo è lavoro "una tantum" sui processi, che poi si riusa su tutti i prodotti. Per una PMI l'errore più costoso è affrontarlo all'ultimo o sovradimensionarlo rispetto al rischio reale.
GiBSeS — Dimensionare l'investimento sul rischio effettivo — senza sotto-conformità né sovra-ingegnerizzazione — è il modo in cui affrontiamo la compliance: prima l'analisi, poi la spesa.
Sono una PMI che produce prodotti digitali: da dove comincio in pratica?
Tre passi concreti. Primo, fai l'inventario: elenca i prodotti con elementi digitali che immetti sul mercato UE e stabilisci per ciascuno il tuo ruolo (produttore, importatore, distributore). Secondo, classifica il rischio: verifica se rientri nella categoria base, "importante" o "critica", perché da questo dipende quanto sarà oneroso il percorso. Terzo, valuta la distanza: confronta i tuoi processi attuali di sviluppo, gestione vulnerabilità e documentazione con quello che il CRA richiede.
Da qui costruisci una roadmap che tenga conto delle scadenze anticipate del 2026 (notifiche) e di quelle principali del 2027. L'obiettivo non è fare tutto subito, ma fare le cose giuste nell'ordine giusto.
GiBSeS — Questo inventario-classificazione-gap è esattamente la diagnosi di partenza che facciamo con le PMI produttrici, in modo indipendente e senza vincolarti a una tecnologia o a un fornitore.
Non ho una sede né una filiale nell'Unione Europea: il Cyber Resilience Act si applica comunque al mio prodotto?
Sì. Il Cyber Resilience Act (Reg. UE 2024/2847) segue una logica di mercato, non di residenza: si applica a chiunque immetta sul mercato dell'Unione un "prodotto con elementi digitali" (hardware o software connettibile), a prescindere da dove abbia sede il fabbricante. Se il vostro dispositivo IoT, la vostra app, il vostro firmware o la vostra libreria vengono venduti o resi disponibili in UE, siete un fabbricante ai sensi del regolamento e ne dovete rispettare gli obblighi.
Non esiste una soglia di fatturato o di volumi che vi esenti in quanto azienda estera: conta il fatto stesso della commercializzazione in Europa.
GiBSeS — GiBSeS aiuta le aziende extra-UE a capire, prima di investire, se e come il CRA impatta il loro prodotto sul mercato europeo.
Mi serve per forza un rappresentante o mandatario in Europa per essere conforme al CRA?
Il CRA non impone al fabbricante extra-UE di nominare obbligatoriamente un mandatario (rappresentante autorizzato): la nomina è una facoltà, formalizzata con un mandato scritto, che vi permette di delegare a un soggetto stabilito in UE alcuni compiti come tenere a disposizione la documentazione tecnica e cooperare con le autorità.
La figura che invece è quasi sempre indispensabile è l'importatore stabilito in UE, perché senza un soggetto europeo che immette il prodotto sul mercato molti obblighi restano di fatto impossibili da assolvere. In pratica un mandatario può semplificare i rapporti con le autorità di sorveglianza, ma la scelta va valutata caso per caso.
GiBSeS — GiBSeS vi aiuta a decidere se conviene un mandatario UE o appoggiarvi all'importatore, senza legarvi a una struttura più pesante del necessario.
Chi è responsabile della conformità al CRA: io produttore estero, l'importatore o il distributore UE?
La responsabilità principale resta sul fabbricante, anche se ha sede fuori UE: valutazione dei rischi di cybersicurezza, conformità ai requisiti essenziali, documentazione tecnica, dichiarazione di conformità, gestione delle vulnerabilità.
L'importatore stabilito in UE ha un ruolo di controllo: può immettere sul mercato solo prodotti conformi e deve verificare che il fabbricante abbia svolto la valutazione di conformità, che il prodotto rechi la marcatura CE e sia accompagnato da dichiarazione di conformità e istruzioni. Il distributore, a valle, deve agire con la dovuta diligenza e verificare la presenza di marcatura e documenti.
Se importatore o distributore modificano sostanzialmente il prodotto o lo vendono a proprio marchio, possono assumersi gli obblighi del fabbricante.
GiBSeS — GiBSeS aiuta a mappare chi fa cosa lungo la vostra catena di vendita europea, così le responsabilità sono chiare prima di firmare accordi con importatori.
Devo apporre la marcatura CE e una dichiarazione di conformità anche se il prodotto è progettato e fabbricato fuori dall'UE?
Sì. Per essere immesso sul mercato UE, il prodotto con elementi digitali deve recare la marcatura CE, che attesta la conformità ai requisiti del CRA (oltre a quelli di altre normative eventualmente applicabili). La marcatura va accompagnata dalla dichiarazione di conformità UE, redatta e firmata dal fabbricante, che se ne assume la responsabilità.
Il luogo di progettazione o produzione è irrilevante: ciò che conta è che, prima della commercializzazione in Europa, siano stati completati la valutazione di conformità appropriata, la documentazione tecnica e l'apposizione della marcatura.
GiBSeS — GiBSeS accompagna le aziende extra-UE nel percorso verso la marcatura CE del CRA, dalla valutazione dei requisiti alla dichiarazione di conformità.
Cosa rischio concretamente se il mio prodotto non è conforme al CRA: mi bloccano la merce alla dogana?
Sì, è uno degli scenari possibili. Le autorità di sorveglianza del mercato e le autorità doganali possono intervenire su prodotti non conformi: sospendere l'immissione, imporre il ritiro o il richiamo dal mercato, vietarne o limitarne la messa a disposizione e, in caso di rischio significativo, fermare le merci alla frontiera.
Oltre al blocco fisico dei prodotti, il CRA prevede sanzioni amministrative che, per le violazioni più gravi, possono raggiungere importi elevati (fino a milioni di euro o una percentuale del fatturato mondiale annuo). Per un'azienda estera il danno maggiore è spesso la perdita improvvisa dell'accesso al mercato europeo.
GiBSeS — GiBSeS aiuta a prevenire i fermi alla frontiera individuando in anticipo le non conformità che le autorità UE cercano.
Gli obblighi di gestione delle vulnerabilità e di notifica degli incidenti valgono anche per un produttore estero?
Sì. Il CRA impone al fabbricante, ovunque abbia sede, di gestire le vulnerabilità per l'intero periodo di supporto del prodotto: fornire aggiornamenti di sicurezza, mantenere una politica di divulgazione coordinata e distribuire una distinta dei componenti software (SBOM) alle autorità su richiesta.
È inoltre previsto l'obbligo di notifica: le vulnerabilità attivamente sfruttate e gli incidenti gravi vanno segnalati, tramite la piattaforma unica di notifica europea, con tempistiche stringenti (un primo preallarme entro 24 ore, seguito da notifiche più dettagliate). Questi obblighi seguono il prodotto, non la residenza del produttore, e sono tra i primi a diventare applicabili.
GiBSeS — GiBSeS aiuta a impostare processi di gestione e notifica delle vulnerabilità compatibili con le scadenze UE, anche operando da fuori Europa.
Da quando devo essere conforme al CRA per continuare a vendere in Europa?
Il regolamento è già in vigore, ma gli obblighi si attivano in modo scaglionato. Gli obblighi di segnalazione delle vulnerabilità sfruttate e degli incidenti gravi si applicano per primi (a partire da settembre 2026), mentre il grosso degli obblighi sui prodotti - requisiti essenziali, marcatura CE, valutazione di conformità - diventa pienamente applicabile a partire da dicembre 2027.
Per un'azienda extra-UE è tempo tecnico prezioso: la progettazione sicura, la documentazione e l'eventuale coinvolgimento di un organismo notificato richiedono mesi. Conviene trattare queste date come traguardi di progetto, non come scadenze lontane.
GiBSeS — GiBSeS aiuta a costruire una roadmap realistica verso le scadenze del CRA, per non trovarsi esclusi dal mercato UE all'ultimo momento.
Vendo solo software o un'app scaricabile in Europa, senza hardware: rientro comunque nel CRA?
In generale sì. Il CRA copre i "prodotti con elementi digitali", categoria che include il software distribuito autonomamente - applicazioni, firmware, librerie, componenti - quando è messo a disposizione sul mercato UE, anche a titolo gratuito nell'ambito di un'attività commerciale.
Ci sono però esclusioni e regimi particolari: alcuni servizi (ad esempio i servizi SaaS puri) ricadono piuttosto in altre normative come la direttiva NIS2, e alcune categorie di prodotti già regolate da normative settoriali seguono regole proprie. La linea di confine dipende da come il prodotto è distribuito e integrato, quindi va verificata sul caso concreto.
GiBSeS — GiBSeS aiuta i vendor software extra-UE a capire se ricadono nel CRA, in NIS2 o in entrambi, prima di aprire il canale europeo.
Come faccio a sapere se il mio prodotto è "importante" o "critico" e richiede una valutazione più severa?
Il CRA distingue tra prodotti "predefiniti" (default), per i quali di norma è ammessa l'autovalutazione della conformità, e categorie di prodotti "importanti" e "critici" elencate negli allegati del regolamento, per i quali sono richieste procedure più rigorose - fino al possibile coinvolgimento di un organismo notificato o all'uso di schemi di certificazione dedicati.
Rientrano nelle categorie a maggior rischio prodotti come gestori di password, firewall, sistemi operativi, componenti di identità e sicurezza di rete. Determinare la categoria corretta è il primo bivio: cambia radicalmente costi, tempi e percorso di conformità.
GiBSeS — GiBSeS aiuta a classificare correttamente il prodotto nelle categorie del CRA, così l'azienda extra-UE dimensiona lo sforzo di conformità sul reale livello di rischio.
Da dove inizio, concretamente, per rendere il mio prodotto conforme al CRA e continuare ad accedere al mercato UE?
Il punto di partenza è capire se e come il regolamento vi riguarda: verificare che il prodotto sia un "prodotto con elementi digitali" venduto in UE, individuarne la categoria (predefinito, importante o critico) e identificare i soggetti della vostra catena europea, in particolare l'importatore.
Da lì si costruisce il percorso: analisi dei requisiti essenziali di cybersicurezza, valutazione dei rischi, predisposizione della documentazione tecnica e della dichiarazione di conformità, impostazione dei processi di gestione e notifica delle vulnerabilità, e infine marcatura CE. Per un'azienda extra-UE è utile impostare tutto questo come un progetto di accesso al mercato, con priorità sulle scadenze più vicine.
GiBSeS — GiBSeS affianca le PMI extra-UE dall'analisi iniziale fino alla marcatura CE, come advisor indipendente che apre la porta del mercato europeo senza legarvi a un unico fornitore.
Questo contenuto è informativo e non costituisce consulenza legale.
Il CRA ti riguarda? Facciamo il punto insieme.
In una sessione mettiamo a fuoco quali prodotti sono coinvolti, il tuo ruolo nella catena, la categoria di rischio e cosa serve davvero entro le scadenze del 2026 e del 2027. Analisi indipendente, priorità concrete, nessun vincolo a un fornitore.
Prenota una diagnosi CRA