Cyber Resilience Act (Reg. UE 2024/2847)¶
Il Cyber Resilience Act (CRA), Regolamento (UE) 2024/2847, è il primo atto orizzontale dell'Unione che impone requisiti di cibersicurezza lungo l'intero ciclo di vita ai prodotti con elementi digitali (PDE) immessi sul mercato europeo. Si pone come perno regolatorio per la sicurezza dei prodotti hardware e software e si integra — senza sovrapporsi — con gli altri atti del Digital Decade: la NIS2 (sui soggetti), il GDPR (sui dati personali), l'AI Act (sui sistemi di IA), la PLD (sulla responsabilità per prodotto difettoso), il DSA (sui servizi intermediari) e il pacchetto-dati UE (Data Act + DGA).
Identificativi¶
| Titolo | Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio del 23 ottobre 2024 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) n. 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza) |
| CELEX | 32024R2847 |
| GU UE | L 2024/2847 del 20.11.2024 |
| Data adozione | 23 ottobre 2024 |
| Entrata in vigore | 10 dicembre 2024 |
| Piena applicabilità | 11 dicembre 2027 (con applicazione anticipata di alcune disposizioni: vedi Stato di applicabilità) |
| Rettifiche | nessuna alla data di pubblicazione di questa pagina |
Struttura¶
- 8 capi (I–VIII) per un totale di 71 articoli
- 130 considerando
- 8 allegati (I–VIII):
- I — Requisiti essenziali di cibersicurezza
- II — Informazioni e istruzioni per l'utilizzatore
- III — Prodotti con elementi digitali importanti (classi I e II)
- IV — Prodotti con elementi digitali critici
- V — Dichiarazione di conformità UE
- VI — Dichiarazione di conformità UE semplificata
- VII — Contenuto della documentazione tecnica
- VIII — Procedure di valutazione della conformità
Ambito di applicazione¶
Il CRA si applica ai prodotti con elementi digitali (PDE) — definiti come prodotti software o hardware e relative soluzioni di trattamento dati a distanza, compresi i componenti software o hardware destinati a essere immessi sul mercato separatamente — la cui finalità prevista o ragionevolmente prevedibile include una connessione logica o fisica diretta o indiretta a un dispositivo o a una rete (art. 2).
Sono esclusi dall'ambito di applicazione (art. 2, parr. 2-7):
- dispositivi medici, dispositivi medico-diagnostici in vitro, veicoli a motore, prodotti dell'aviazione civile, dispositivi marittimi (per i quali si applicano normative settoriali);
- prodotti sviluppati o modificati esclusivamente per la sicurezza nazionale o militare;
- software libero e open source sviluppato o fornito al di fuori di un'attività commerciale (art. 2, par. 6 e considerando 18-19); il regolamento riconosce un non-commercial carve-out, ma estende a determinati operatori del FOSS (gli open source software stewards) un regime alleggerito (art. 24).
Il CRA introduce tre categorie di prodotti a complessità crescente:
- prodotti standard (default): valutazione di conformità basata su autovalutazione del fabbricante con marcatura CE;
- prodotti importanti (allegato III, classi I e II — es. browser, password manager, sistemi di gestione delle reti, firewall, microcontroller, smart speaker): valutazione rafforzata, con possibilità di organismi notificati;
- prodotti critici (allegato IV — hardware con secure boxes, smart meter gateway, smart card): valutazione obbligatoria con organismo notificato e, ove previsto, certificazione European Cybersecurity Certification (Reg. (UE) 2019/881).
Ai fabbricanti si applicano gli obblighi sostanziali del capo II: rispetto dei requisiti essenziali (allegato I), valutazione del rischio di cibersicurezza, fornitura di aggiornamenti di sicurezza per il support period (di norma 5 anni), notifica delle vulnerabilità attivamente sfruttate e degli incidenti gravi tramite la Single Reporting Platform gestita da ENISA (art. 14), documentazione tecnica (allegato VII), marcatura CE.
Cross-reference settuple con AI Act, GDPR, Data Act, DGA, PLD, DSA e NIS2¶
Il CRA interagisce con sette atti UE pubblicati su questo sito: l'AI Act (per i sistemi di IA che sono prodotti con elementi digitali — doppia conformità), il GDPR (per la protezione dell'integrità dei dati personali integrata nei requisiti essenziali CRA), il Data Act (perché molti PDE sono prodotti connessi che generano dati ai sensi del Data Act), il DGA (per la sicurezza dei servizi di intermediazione dei dati operanti su PDE), la PLD (per la responsabilità del fabbricante in caso di prodotti difettosi, con la cybersecurity CRA che concorre alla nozione di non-difettosità), il DSA (per il software di moderazione e di raccomandazione delle piattaforme online qualificato come PDE) e la NIS2 (binomio orizzontale: il CRA regola i prodotti, la NIS2 regola i soggetti).
Asse CRA ↔ AI Act (sistemi di IA come prodotti con elementi digitali)¶
| CRA | AI Act | Natura dell'intersezione |
|---|---|---|
| Art. 2, par. 1; art. 3, punto 1 («prodotto con elementi digitali») | AI Act, art. 3, punto 1 («sistema di IA») | I sistemi di IA che sono software immessi sul mercato come prodotti rientrano tipicamente nella nozione di PDE del CRA: i due regimi si cumulano sul medesimo prodotto |
| Art. 12 (sistemi di IA ad alto rischio); considerando 50 | AI Act, art. 6; allegato III | Lex specialis: per i sistemi di IA ad alto rischio AI Act, la conformità ai requisiti di cibersicurezza dell'AI Act (art. 15) è presunta soddisfare i requisiti essenziali CRA (allegato I) nei limiti coperti dall'AI Act. Evita la doppia certificazione per gli stessi rischi |
| Allegato I, sezione 1 (requisiti essenziali); art. 13, par. 5 (valutazione del rischio) | AI Act, art. 15 (accuracy, robustness, cybersecurity); art. 9 (sistema di gestione dei rischi) | Convergenza tecnica: i requisiti CRA di robustezza, integrità, riservatezza e disponibilità dei dati e i requisiti AI Act di accuratezza, robustezza e cybersecurity poggiano sugli stessi standard tecnici (norme armonizzate) |
| Art. 14 (notifica vulnerabilità e incidenti gravi via Single Reporting Platform) | AI Act, art. 73 (notifica incidenti gravi alle autorità) | Notifiche parallele: lo stesso evento (incidente di sicurezza su sistema IA-PDE) può richiedere notifica sia tramite la Single Reporting Platform CRA sia all'autorità di vigilanza del mercato AI Act; il CRA prevede coordinamento per evitare duplicazioni (considerando 76) |
| Allegato III, classe II (sistemi che gestiscono accesso/identità: PAM, IDM, gestione di chiavi) | AI Act, allegato III, punti 1, 6 (identificazione biometrica; law enforcement) | I sistemi di IA biometrica e di gestione identità sono al contempo prodotti importanti CRA (classe II) e sistemi IA ad alto rischio AI Act: regime di valutazione massimo per entrambi |
Asse CRA ↔ GDPR (integrità dei dati personali nei requisiti essenziali)¶
| CRA | GDPR | Natura dell'intersezione |
|---|---|---|
| Art. 2, par. 8; considerando 17 | Tutto il GDPR | Clausola di salvaguardia: il CRA si applica senza pregiudizio del GDPR; in caso di conflitto prevale il GDPR |
| Allegato I, sezione 1, punti 2(b), 2(e), 2(f) (riservatezza, integrità, disponibilità di dati e funzioni) | GDPR, art. 5, par. 1, lett. f (principio di integrità e riservatezza); art. 32 (sicurezza del trattamento) | Convergenza sostanziale: i requisiti essenziali CRA su riservatezza, integrità e disponibilità sono il riflesso prodotto-side del principio di sicurezza GDPR; un PDE conforme CRA contribuisce — ma non è da solo sufficiente — alla conformità GDPR del titolare |
| Allegato I, sezione 1, punto 2(h) (minimizzazione dei dati nel prodotto) | GDPR, art. 5, par. 1, lett. c (principio di minimizzazione); art. 25 (data protection by design) | Rinvio sostanziale: il CRA impone security/privacy by design a livello di prodotto, dando attuazione operativa alla data protection by design del GDPR per la dimensione hardware/software del trattamento |
| Art. 14 (notifica vulnerabilità sfruttate e incidenti gravi); art. 11 (segnalazione coordinata vulnerabilità) | GDPR, artt. 33, 34 (notifica del data breach all'autorità e all'interessato) | Notifiche distinte ma coordinate: il CRA notifica vulnerabilità del prodotto a ENISA/CSIRT, il GDPR notifica violazioni di dati personali al Garante; il medesimo evento (es. vulnerability sfruttata che causa esfiltrazione di dati personali) può attivare entrambi gli obblighi |
| Capo VI — artt. 60-63 (riservatezza); considerando 121, 122 | GDPR, art. 35 (DPIA) | I dati raccolti dalle autorità di vigilanza del mercato CRA possono includere informazioni personali; il loro trattamento è soggetto al GDPR e può richiedere DPIA |
| Considerando 16 | Tutto il GDPR | Riconoscimento sistematico: la cibersicurezza dei prodotti è precondizione tecnica dell'effettività delle garanzie GDPR; il CRA è strumento abilitante della data protection |
Asse CRA ↔ Data Act (prodotti connessi e dati generati)¶
| CRA | Data Act | Natura dell'intersezione |
|---|---|---|
| Art. 3, punto 1 («prodotto con elementi digitali») | Data Act, art. 2, punto 5 («prodotto connesso») | Sovrapposizione frequente: i «prodotti connessi» del Data Act (IoT, dispositivi che generano dati) sono nella maggior parte dei casi anche PDE del CRA. Lo stesso prodotto è soggetto ai requisiti di cibersicurezza CRA e agli obblighi di accesso/portabilità dei dati Data Act |
| Allegato I, sezione 1, punti 2(b), 2(e), 2(f) (integrità e disponibilità) | Data Act, capo II — artt. 3-7 (accesso e condivisione dati); considerando 8 (sicurezza) | Precondizione di interoperabilità: l'accesso ai dati di prodotti connessi previsto dal Data Act presuppone integrità e disponibilità del prodotto e dei dati — requisiti garantiti dal CRA. Senza CRA, il Data Act sarebbe operativamente fragile |
| Art. 13, par. 8 (durata del support period); allegato I, sezione 2 (gestione delle vulnerabilità) | Data Act, capo VI — artt. 23-31 (switching dei servizi cloud) | I servizi cloud connessi a PDE sono regolati dal Data Act (portabilità, interoperabilità) e dal CRA (cibersicurezza dei related services in quanto componenti del PDE) |
| Art. 23 (importatori e distributori); art. 24 (open source software stewards) | Data Act, art. 2, punti 13, 14 («titolare dei dati», «destinatario dei dati») | I ruoli economici CRA (fabbricante, importatore, distributore) e i ruoli funzionali Data Act (titolare/destinatario dei dati) non coincidono ma possono cumularsi nello stesso operatore |
Asse CRA ↔ DGA (servizi di intermediazione dei dati e prodotti digitali)¶
| CRA | DGA | Natura dell'intersezione |
|---|---|---|
| Art. 2, par. 1; art. 3, punto 1 (PDE) | DGA, art. 2, punto 11 («servizio di intermediazione dei dati») | I fornitori di servizi di intermediazione dei dati che operano tramite software o piattaforme rientrano tipicamente nell'ambito CRA (il software è PDE); doppia conformità: requisiti essenziali CRA + requisiti operativi DGA |
| Allegato I, sezione 1 (requisiti essenziali) | DGA, art. 12 (condizioni per la fornitura di servizi di intermediazione) | Convergenza: i requisiti DGA di sicurezza per i servizi di intermediazione (art. 12, lett. h, m) trovano attuazione tecnica nei requisiti essenziali CRA per il software che eroga il servizio |
| Capo III — artt. 26-32 (organismi notificati) | DGA, capo IV — artt. 16-25 (organizzazioni per l'altruismo dei dati) | Le piattaforme tecniche delle organizzazioni di altruismo dei dati DGA — quando software — sono PDE soggetti al regime di valutazione di conformità CRA |
Asse CRA ↔ PLD (cibersicurezza e non-difettosità del prodotto)¶
| CRA | PLD | Natura dell'intersezione |
|---|---|---|
| Allegato I (requisiti essenziali); art. 13 (obblighi del fabbricante) | PLD, considerando 32; art. 7, par. 2, lett. f | Rinvio sostanziale: la conformità ai requisiti CRA di cibersicurezza concorre a determinare la non difettosità del prodotto ai sensi PLD; specularmente, vulnerabilità non sanate possono integrare la difettosità PLD |
| Art. 13, par. 8 (support period e aggiornamenti di sicurezza); allegato I, sezione 2 (gestione vulnerabilità) | PLD, considerando 50, 51; art. 11, par. 2 | Esclusione dell'esonero PLD: il fabbricante non si libera della responsabilità PLD invocando l'eccezione defectiveness came after marketed se il difetto deriva da mancato rilascio di aggiornamenti di sicurezza nel support period CRA |
| Art. 14 (notifica incidenti gravi); allegato I, sezione 1, punti 2(c), 2(d) (configurazione sicura by default) | PLD, art. 7, par. 2 (presunzione di difettosità in casi complessi) | La documentazione CRA (notifiche di vulnerabilità, valutazioni di rischio, documentazione tecnica) può costituire elemento probatorio rilevante in giudizio PLD per dimostrare difettosità o per attivare la presunzione semplice |
| Art. 3, punto 1 (PDE include software) | PLD, art. 4, punto 1; considerando 13 | Coerenza definitoria: il software è prodotto in entrambi gli atti; il fabbricante CRA è tipicamente il fabbricante PLD |
Asse CRA ↔ DSA (software di moderazione e raccomandazione)¶
| CRA | DSA | Natura dell'intersezione |
|---|---|---|
| Art. 3, punto 1 (PDE include software) | DSA, art. 3, lett. s, t («sistema di raccomandazione», «moderazione dei contenuti») | I sistemi automatizzati di moderazione e di raccomandazione delle piattaforme online sono software e quindi tipicamente PDE soggetti al CRA, oltre che oggetto degli obblighi DSA di trasparenza algoritmica |
| Allegato I, sezione 1 (requisiti essenziali) | DSA, capo III, sezione 5 — art. 34 (valutazione rischio sistemico VLOPs) | Cumulo per le VLOPs/VLOSEs: la valutazione di rischio sistemico DSA include rischi per la sicurezza pubblica e per i diritti fondamentali; il CRA copre la dimensione tecnica della cibersicurezza dei sistemi algoritmici impiegati |
| Art. 14 (notifica vulnerabilità e incidenti gravi) | DSA, art. 32 (notifica di sospetto reato penale) | Notifiche distinte: la notifica CRA riguarda vulnerabilità del prodotto, la notifica DSA riguarda contenuti illeciti; un singolo evento (compromissione di un sistema di raccomandazione che diffonde contenuti illegali) può attivare entrambe |
Asse CRA ↔ NIS2 (prodotti vs soggetti — binomio orizzontale)¶
CRA e NIS2 sono i due pilastri orizzontali della cibersicurezza UE: il CRA disciplina i prodotti (cibersicurezza by design lungo il ciclo di vita), la NIS2 disciplina i soggetti (gestione del rischio e segnalazione degli incidenti per soggetti essenziali e importanti). I due regimi sono complementari e operano in modo cumulativo: un soggetto NIS2 utilizza prodotti CRA, e i due insieme costituiscono il baseline europeo della cibersicurezza.
| CRA | NIS2 | Natura dell'intersezione |
|---|---|---|
| Considerando 2, 3; intero impianto | Tutta la NIS2, in particolare art. 1 | Binomio strutturale: il CRA garantisce che i prodotti immessi sul mercato siano sicuri by design; la NIS2 garantisce che i soggetti che li utilizzano abbiano misure di gestione del rischio adeguate. Insieme realizzano il baseline UE di cibersicurezza |
| Art. 14 (notifica vulnerabilità sfruttate e incidenti gravi via Single Reporting Platform) | NIS2, art. 23 (segnalazione di incidenti significativi) | Notifiche complementari: il fabbricante notifica via CRA a ENISA/CSIRT le vulnerabilità del prodotto; il soggetto NIS2 colpito dall'incidente notifica al CSIRT nazionale ai sensi della NIS2. Il considerando 76 CRA prevede coordinamento per evitare duplicazioni |
| Art. 13, par. 8 (support period e aggiornamenti di sicurezza) | NIS2, art. 21 (misure di gestione del rischio); allegato I (settori ad alta criticità) | Catena della fiducia: i soggetti essenziali NIS2 (energia, trasporti, sanità, ecc.) si avvalgono di prodotti CRA per i quali il fabbricante mantiene la responsabilità degli aggiornamenti durante il support period; la NIS2 obbliga il soggetto a una patch management coerente |
| Allegato III, classe II; allegato IV (prodotti importanti e critici) | NIS2, allegato I, II (settori) | Allineamento tra categorie di prodotto critico CRA e settori critici NIS2: i prodotti importanti/critici CRA sono tipicamente quelli utilizzati nei settori NIS2 (es. firewall, IDM, smart meter) |
| Capo IV — artt. 33-46 (notifica organismi di valutazione della conformità) | NIS2, art. 24 (uso di schemi europei di certificazione della cibersicurezza) | Schemi di certificazione comuni: le procedure di valutazione della conformità CRA possono richiamare schemi di certificazione europei (Reg. (UE) 2019/881) che la NIS2 può imporre ai soggetti essenziali |
| Considerando 76 | NIS2, art. 23; art. 30 (condivisione delle informazioni) | Cooperazione operativa: le autorità di vigilanza del mercato CRA cooperano con i CSIRT e le autorità competenti NIS2 per la condivisione di informazioni su vulnerabilità e incidenti |
Settetto definitorio¶
Sette nozioni chiave attraversano simultaneamente CRA e gli altri sette atti, con il CRA che introduce un proprio vocabolario tecnico (PDE, fabbricante, support period, vulnerabilità sfruttata):
| Concetto | CRA | AI Act | GDPR | Data Act | DGA | PLD | DSA | NIS2 |
|---|---|---|---|---|---|---|---|---|
| Prodotto / sistema | art. 3, punto 1 (PDE) | art. 3, punto 1 (sistema di IA) | n/a | art. 2, punto 5 (prodotto connesso) | n/a | art. 4, punto 1 | n/a | n/a |
| Fabbricante / fornitore | art. 3, punto 12 | art. 3, punti 3, 4 | art. 4, punti 7, 8 | art. 2, punti 13, 14 | art. 2, punto 11 | art. 4, punto 10 | art. 3, lett. b | art. 6, punto 38 |
| Dati personali | considerando 17 (rinvio al GDPR) | art. 3, punto 50 | art. 4, punto 1 | art. 2, punto 3 | art. 2, punto 3 | art. 4, punto 6 | (rinvio implicito al GDPR) | art. 6, punto 14 (rinvio al GDPR) |
| Vulnerabilità / incidente | art. 3, punti 41, 42 | art. 3, punto 49 (incidente grave) | art. 33 (violazione di dati personali) | n/a | n/a | n/a | n/a | art. 6, punto 6 (incidente); art. 6, punto 8 (vulnerabilità) |
| Cibersicurezza / security by design | allegato I; art. 13 | art. 15 | art. 32 | (rilevante) | n/a | (rinvio sostanziale) | n/a | art. 21 |
| Servizio correlato / di trattamento dati a distanza | art. 3, punto 2 | n/a | n/a | art. 2, punto 6 | n/a | art. 4, punto 4 (componente) | n/a | n/a |
| Notifica / reporting di sicurezza | art. 14 | art. 73 | artt. 33, 34 | n/a | n/a | n/a | art. 32 | art. 23 |
Modifiche e rettifiche¶
Alla data di pubblicazione di questa pagina il CRA non ha ricevuto rettifiche né modifiche.
Il CRA modifica espressamente:
- il Reg. (UE) n. 168/2013 (omologazione veicoli a 2 o 3 ruote);
- il Reg. (UE) 2019/1020 (vigilanza del mercato);
- la Direttiva (UE) 2020/1828 (azioni rappresentative).
Stato di applicabilità¶
Il CRA è in vigore dal 10 dicembre 2024. La piena applicabilità è scaglionata (art. 71):
- 11 settembre 2026: applicabili gli articoli su notifica organismi di valutazione della conformità (capo IV) e su funzioni delegate;
- 11 dicembre 2026: applicabili gli obblighi di notifica delle vulnerabilità sfruttate e degli incidenti gravi (art. 14) — primo impatto operativo per i fabbricanti;
- 11 dicembre 2027: piena applicabilità di tutti gli obblighi sostanziali, inclusa la marcatura CE per la cibersicurezza dei PDE.
Termini correlati nel glossario¶
Voci del glossario AI-centric rilevanti per questo atto:
- Sistema di IA
- Componente di sicurezza
- Marcatura CE
- Norma armonizzata
- Specifiche comuni
- Valutazione della conformità
- Organismo notificato
- Modifica sostanziale
Fonti ufficiali¶
- Testo integrale ufficiale su EUR-Lex (CELEX 32024R2847)
- Pagina ufficiale Commissione UE — Cyber Resilience Act
- ENISA — Cyber Resilience Act
- Reg. (UE) 2019/881 (Cybersecurity Act) — quadro di certificazione della cibersicurezza
- Direttiva (UE) 2022/2555 (NIS2) — atto-fratello sui soggetti
Indice della sezione¶
- Considerando — 130 considerando integrali
- Testo — 8 capi, 71 articoli
- Allegati — 8 allegati (requisiti essenziali, prodotti importanti e critici, conformità)