News

Cyber Resilience Act (CRA) per la sicurezza di componenti e dispositivi

Cosa prevede il regolamento europeo per la cybersecurity e quali sono i risvolti per produttori, distributori e utilizzatori di prodotti e componenti che contengono elementi digitali?

Condividi
cra---cyber-resilience-act---digimax.png

Pubblicato il 7 agosto 2025 - 10:00

Il Cyber Resilience Act (CRA) si struttura come un regolamento articolato in materia di sicurezza informatica all’interno del quadro normativo dell’Unione Europea.

Presentato dalla Commissione Europea nel corso del 2022, è stato sviluppato con l’obiettivo di analizzare e definire i requisiti minimi obbligatori per l’immissione sul mercato di prodotti hardware e software dotati di “elementi digitali” (PDE) e in grado, dunque, di connettersi a reti internet. La normativa si propone inoltre di attribuire ai produttori la responsabilità dei propri prodotti (security-by-design), garantendo elevati standard di sicurezza durante l’intero ciclo di vita, dalla progettazione alla manutenzione, passando per la realizzazione e la distribuzione. L’approccio vuole inoltre sviluppare una conoscenza e una consapevolezza diffusa dei rischi legati all’utilizzo superficiale di dispositivi connessi.

Il Cyber Resilience Act rappresenta dunque un passo deciso verso la costruzione di uno spazio digitale europeo più sicuro, affidabile e conforme agli standard internazionali.

Come si inserisce il CRA all’interno del quadro normativo esistente

Il quadro normativo europeo risulta molto complesso e articolato e la sicurezza informatica non fa eccezione. Oltre alle direttive e i regolamenti legati alla protezione della privacy e dei dati personali, esistono infatti una serie di direttive intrecciate tra loro in quest’ambito.

Il Cyber Resilience Act si allinea dunque ad una serie di fonti come la direttiva NIS e NIS2, il Cybersecurity Act, la direttiva RED, la direttiva CER, lo standard IEC 62443 ed il regolamento generale sulla protezione dei dati dell'UE (2016/679).

L’obiettivo è offrire la miglior e più estesa tutela in ambito di cybersicurezza sia per apparecchi hardware sia per software, prendendo in considerazione l’intero ciclo di vita del dispositivo o dell’applicativo.

Garantire un quadro normativo armonizzato all’interno dell’intera UE è dunque il fine ultimo del legislatore europeo, evitando eccessive frammentazioni tra le varie legislazioni nazionali.

cra-e-iec-62443.png

Mercato, presente e futuro

La costante e crescente minaccia legata ad attacchi informatici ha portato a rivedere la strategia europea in materia di cybersicurezza, riconoscendo i rischi non solo privati ma anche industriali e nazionali.

La diffusione di dispositivi IoT connessi e prodotti smart comporta infatti rischi crescenti in ambito cybersecurity e aumenta considerevolmente l’esposizione ad attacchi ransomware, malware e phishing (solo per citarne alcuni).

Produttori di dispositivi e componenti, cosa cambia con il CRA

Il legislatore, con il concetto di security-by-design, attribuisce al produttore la valutazione dei rischi in ambito di cybersicurezza, prendendo in considerazione gli usi previsti, prevedibili e le condizioni di utilizzo.

Per verificare il rispetto dei requisiti essenziali di cybersicurezza, i produttori dovranno dunque redigere un’autovalutazione di conformità per tutti prodotti standard considerati a basso rischio, si stima che questi dispositivi rappresentino circa il 90% del mercato.

Per il restane 10% dei prodotti presenti nel mercato, considerati particolarmente critici (Classe I e II), dovranno invece essere coinvolte terze parti autorizzate e indipendenti al fine di garantire la sicurezza informatica; stiamo in questo caso parlando di interfacce di rete, firewall industriali, sistemi operativi, microcontrollori, CPU e altri elementi strutturali.

Il Cyber Resilience Act per la filiera di distribuzione

All’interno del CRA gli obblighi non sono tutti in capo al produttore; anche importatori e distributori dovranno eseguire delle specifiche verifiche prima di immettere nel mercato dell’Unione Europea Prodotti con Elementi Digitali (PDE).

Nello specifico avranno l’obbligo di:

  • verificare la presenza della marcatura CE;

  • verificare la presenza della valutazione di conformità in capo al produttore;

  • verificare la presenza di tutta la documentazione tecnica richiesta.

Quali sono i prodotti e i componenti interessati dal CRA

L’intera normativa fa riferimento a prodotti che contengono elementi digitali (PDE), commercializzati all’interno dell’Unione Europea. Risulta dunque subito comprensibile quanto il CRA sia potenzialmente diffuso, considerando il fatto che la grande maggioranza di hardware e software sono ora in grado di connettersi ad una rete.

Non solo computer, tablet, smartphone, wearable device o smart TV, ma anche sensori wi-fi, ricevitori bluetooth e tutti quei dispositivi che li contengono; senza contare tutti gli applicativi software che rispondono alle stesse caratteristiche.

Volendo fare un elenco non esaustivo, il CRA si riferisce a:

HARDWARE

- laptop
- tablet/smartphone
- switch/router
- pc e schede industriali
- display interattivi
- sensori/ricevitori/trasmettitori
- telecamere
- smart robo

SOFTWARE

- sistemi operativi
- app
- aggiornamenti firmware
- librerie software
- firewall
- password manager

La proposta Digimax in linea con il Cyber Resilience Act

Digimax si propone come partner strategico e innovativo nei confronti delle aziende che desiderano ottenere il massimo dai propri investimenti.

La spinta innovativa e i rapporti diretti con i principali produttori a livello globale garantiscono dispositivi all’avanguardia e un supporto costante e aggiornato.

Verifica il livello di sicurezza dei dispositivi utilizzati nella tua azienda e valuta l’adozione di soluzioni integrate per la protezione della tua rete aziendale con Digimax.