La normativa impone scadenze ravvicinate, a partire da settembre 2026 per la segnalazione delle vulnerabilità, e richiede un ripensamento radicale dei processi di progettazione e manutenzione dei prodotti.
[In pillole] La sintesi per chi va di fretta:
Il Cyber Resilience Act (CRA) dell'Unione Europea impone ai produttori la responsabilità sulla sicurezza informatica dei prodotti con elementi digitali per l'intero ciclo di vita. Il regolamento, in vigore dal 10 dicembre 2024, introduce obblighi severi, come la segnalazione delle vulnerabilità entro 24 ore, e sanzioni fino a 10 milioni di euro, con adeguamento completo entro l'11 dicembre 2027.
Una tabella di marcia con scadenze ravvicinate
Il percorso verso la piena conformità non è immediato, ma è scandito da tappe precise e sempre più stringenti, pensate per dare alle imprese il tempo di adattarsi, sebbene i margini siano tutt’altro che ampi.
La data ultima per l’adeguamento completo è fissata per l’11 dicembre 2027, ma il calendario è fitto di scadenze intermedie che richiedono un’attenzione immediata.
Già entro l’11 giugno 2026, ad esempio, gli Stati membri dovranno aver designato le autorità nazionali competenti e dovranno entrare in vigore le norme per gli organismi di valutazione della conformità, cioè le entità che certificheranno la sicurezza dei prodotti, come si legge nella pagina informativa della Commissione Europea.
Tuttavia, il vero punto di svolta per i produttori arriverà l’11 settembre 2026. A partire da quella data, scatterà un obbligo di segnalazione delle vulnerabilità particolarmente severo.
Le aziende dovranno notificare all’ENISA, l’Agenzia dell’Unione Europea per la cybersicurezza, qualsiasi vulnerabilità “attivamente sfruttata” seguendo una procedura a tre fasi: una notifica preliminare entro 24 ore dalla scoperta, un rapporto più dettagliato entro 72 ore e un’analisi finale e completa entro 14 giorni.
Questo meccanismo di segnalazione rapida è pensato per creare un sistema di allerta coordinato a livello europeo, ma impone alle aziende una capacità di reazione e analisi degli incidenti che oggi poche possono vantare.
La rapidità richiesta solleva dubbi sulla capacità di molte strutture, specialmente quelle meno organizzate, di fornire analisi accurate in tempi così brevi senza rischiare di generare falsi allarmi o, al contrario, di sottovalutare minacce complesse.
Cosa cambia, in pratica, per chi produce
Al di là delle scadenze, adeguarsi al Cyber Resilience Act significa per un’azienda ripensare radicalmente il modo in cui progetta, sviluppa e mantiene i propri prodotti.
Il regolamento, infatti, non si limita a imporre controlli a posteriori, ma esige un cambiamento culturale che parte dalle fondamenta: i prodotti devono essere concepiti secondo i principi di secure-by-design e by-default.
La sicurezza, in altre parole, non può più essere un’aggiunta finale o una funzionalità opzionale, ma deve essere una caratteristica intrinseca del progetto, integrata fin dalla prima riga di codice o dal primo schema di un circuito.
Questo si traduce in una serie di obblighi pratici molto dettagliati.
– Leggi anche: Guerra fredda per l’IA: Anthropic sfida il Pentagono con l’appoggio dei rivali Google e OpenAI
Le aziende dovranno implementare processi costanti di gestione delle vulnerabilità, che includono il monitoraggio continuo, la valutazione della gravità delle falle scoperte e la loro correzione tempestiva. Dovranno inoltre fornire aggiornamenti di sicurezza per tutta la durata di vita prevista del prodotto, comunicando in modo trasparente quando il supporto terminerà.
Si tratta di un impegno che, specialmente per i prodotti a basso costo e con lunghi cicli di vita, solleva interrogativi non banali sulla sua sostenibilità economica.
Inoltre, viene richiesta una documentazione tecnica completa e una sorta di “lista degli ingredienti” del software, nota come Software Bill of Materials (SBOM), che elenchi tutte le componenti e le librerie utilizzate. Un livello di trasparenza descritto nel dettaglio da Cycode che molte aziende, abituate a proteggere la propria proprietà intellettuale, potrebbero trovare difficile da accettare.
La responsabilità, poi, non ricade solo sui produttori: anche importatori e distributori avranno l’obbligo di verificare che i prodotti che commercializzano siano conformi e dotati della marcatura CE, diventando di fatto dei controllori lungo l’intera catena di fornitura.
La corsa contro il tempo per gli standard europei
Un quadro normativo così ambizioso poggia, però, su fondamenta non ancora del tutto consolidate. Uno dei punti più delicati dell’intera implementazione del CRA riguarda infatti la definizione degli “standard armonizzati”. Si tratta di specifiche tecniche dettagliate, elaborate dagli organismi di normazione europei (come il CEN e il CENELEC), il cui rispetto garantirà ai produttori una presunzione di conformità con i requisiti del regolamento.
In parole semplici, seguire questi standard sarà la via maestra, e la più sicura, per dimostrare di essere in regola, riducendo notevolmente l’onere della certificazione.
Il problema è il tempo.
La Commissione Europea si è impegnata a pubblicare questi standard almeno un anno prima della scadenza finale, quindi entro dicembre 2026. Tuttavia, il processo di standardizzazione è notoriamente lento e complesso, e tra gli addetti ai lavori c’è una crescente preoccupazione per possibili ritardi.
Le prime bozze sono attese non prima del terzo trimestre del 2026, lasciando alle aziende pochissimi mesi per studiarle, comprenderle e, soprattutto, implementarle nei loro processi produttivi prima che l’obbligo di conformità diventi pienamente operativo. Questa stretta finestra temporale crea una situazione di incertezza, in cui le aziende sono chiamate a prepararsi per rispettare requisiti i cui dettagli tecnici non sono ancora stati definiti.
Il rischio è che molte imprese, soprattutto le piccole e medie, si trovino a dover affrontare una corsa contro il tempo per adeguarsi, con il pericolo di commettere errori o di dover sostenere costi imprevisti.
Di fronte a questa situazione, il consiglio che arriva da più parti è di non attendere la pubblicazione degli standard. Le aziende sono invitate a iniziare fin da ora a lavorare sui propri processi interni, testando i prodotti rispetto agli standard di sicurezza già esistenti e sviluppando quelle capacità di monitoraggio e segnalazione che diventeranno obbligatorie a breve.
Nel frattempo, istituzioni come l’ENISA e i CSIRT nazionali (Computer Security Incident Response Teams) si stanno strutturando per diventare i punti di coordinamento per la gestione delle vulnerabilità a livello europeo. L’intero sistema è in fase di costruzione, e la Commissione sta già lavorando a ulteriori atti per chiarire aspetti specifici, come le circostanze eccezionali in cui una notifica di vulnerabilità può essere ritardata.
La scadenza dell’11 dicembre 2027, che oggi può sembrare lontana, si avvicina rapidamente, e la conformità al Cyber Resilience Act richiederà uno sforzo organizzativo e operativo che poche aziende possono permettersi di sottovalutare.
