Skip to main content

Articolo

Cyber Resilience Act (CRA): il nuovo quadro normativo per i dispositivi connessi

Esplorate il Cyber Resilience Act (CRA), il framework dell'UE per migliorare la cybersecurity nei prodotti digitali. Scoprite i requisiti chiave e i passaggi per la conformità.

L’utilizzo delle tecnologie digitali aumenta esponenzialmente in tutti i settori. Per migliorare la sicurezza informatica dei prodotti e dei servizi all'interno della sua giurisdizione, l'Unione europea ha deciso di dotarsi di importanti strumenti normativi. Il Cyber Resilience Act (CRA), il Regolamento UE sulla ciberresilienza adottato il 23 ottobre 2024, costituisce un quadro legislativo di portata storica volto a garantire che gli elementi digitali venduti nell'UE, inclusi hardware e software, rispondano a solidi criteri di sicurezza.

Il Regolamento ha implicazioni considerevoli per i produttori, gli sviluppatori e le imprese di tutto il mondo e afferma l'impegno dell'UE a costruire un'economia digitale più sicura e resiliente.

Che cos'è il CRA?

Il Regolamento sulla ciberresilienza stabilisce un set unificato di requisiti in materia di cybersecurity per tutti i prodotti comportanti elementi digitali immessi sul mercato dell'UE, compresi quindi software, dispositivi connessi e hardware, prodotti sia all'interno che all'esterno dell'UE.

Il Regolamento si applica a fabbricanti, importatori e distributori di prodotti direttamente o indirettamente connessi a un altro dispositivo o rete, copre quindi sia il B2B che il B2C e riguarda software, hardware, prodotti e componenti connessi.

Che cosa prevede il CRA?

Il Regolamento impone obblighi specifici ai fabbricanti, importatori e distributori di prodotti digitali in materia di:

  • Progettazione sicura del prodotto: i prodotti devono conformarsi ai principi di sicurezza by-design e by default, ossia integrare misure di cybersecurity già dalle prime fasi di sviluppo, fin dalla progettazione e per impostazione predefinita.
  • Gestione delle vulnerabilità: i fornitori sono tenuti a monitorare, identificare e correggere le vulnerabilità durante l'intero ciclo di vita del prodotto, in particolare attraverso la release regolare di aggiornamenti di sicurezza e la fornitura di istruzioni chiare agli utilizzatori per garantire la sicurezza dei prodotti.
  • Obblighi di trasparenza: le imprese devono informare gli utilizzatori sui rischi in materia di sicurezza informatica associati ai loro prodotti e fornire la documentazione adeguata per facilitarne l’uso in sicurezza.
  • Vigilanza del mercato: le autorità UE effettueranno controlli di conformità per garantire che i prodotti soddisfino i requisiti previsti nel CRA prima dell’immissione sul mercato.
  • Sanzioni in caso di non conformità: le imprese non conformi possono incorrere in sanzioni fino a 15 milioni di euro o al 2,5% del fatturato globale annuo, se superiore.

A chi si applica il CRA?

Il Regolamento sulla ciberresilienza si applica in generale a ogni impresa che si occupa di progettazione, fabbricazione, importazione o distribuzione di prodotti digitali nell'UE. I principali settori interessati sono i seguenti:

  • Fornitori di tecnologia: sviluppatori di software e dispositivi connessi.
  • Produttori: fabbricanti di dispositivi IoT (l’internet delle cose), macchinari industriali e altri hardware con componenti digitali.
  • Dettaglianti e distributori: imprese che vendono prodotti digitali nel mercato UE.

Anche le aziende extra UE devono conformarsi al Regolamento se intendono vendere i loro prodotti nell’Unione europea.

Cosa fare per essere conformi al CRA

Per conformarsi ai requisiti del CRA, è utile adottare una serie di misure:

  • Eseguire una gap analysis della compliance normativa: valutare le pratiche di cybersecurity in essere e identificare le lacune rispetto ai requisiti CRA.
  • Implementare pratiche di sviluppo sicuro: integrare i principi di sicurezza by-design nel ciclo di sviluppo dei prodotti.
  • Stabilire programmi di risk management e di gestione delle vulnerabilità: sviluppare processi per monitorare, identificare e mitigare le vulnerabilità durante l'intero ciclo di vita del prodotto, integrandoli con un approccio di gestione del rischio
  • Collaborare tra catene di approvvigionamento: operare a stretto contatto con i fornitori per garantire che i componenti di terze parti soddisfino gli standard CRA.
  • Rivolgersi a esperti legali e di cybersecurity: ricorrere a un servizio di consulenza professionale per orientarsi nel complesso tema della compliance CRA ed evitare costose sanzioni.

Conclusioni

Il CRA rappresenta un passo avanti significativo verso la creazione di un ecosistema digitale più sicuro. Imponendo rigorose misure di sicurezza per i prodotti digitali, il Regolamento dell’Unione europea non solo protegge i consumatori, ma innalza anche gli standard per le imprese che operano nel mercato UE.

Anche se gli obblighi di compliance possono risultare inizialmente impegnativi, un atteggiamento proattivo nell’implementazione del CRA può permettere di migliorare l’impianto della sicurezza aziendale, creare fiducia e assicurarsi un vantaggio competitivo in un mondo sempre più interconnesso.

Per le aziende è venuto il momento di agire: dare priorità alla sicurezza informatica oggi consentirà di essere leader affidabili domani.

Per saperne di più, contatta un consulente Marsh.

Il presente articolo è pubblicato a scopo puramente informativo. Marsh non garantisce l’accuratezza delle informazioni riportate. Marsh non si assume alcun obbligo di aggiornamento del presente articolo e declina ogni responsabilità nei confronti di qualsiasi soggetto derivante dal presente documento o da qualsiasi argomento in esso contenuto. Qualsiasi dichiarazione relativa a questioni attuariali, fiscali, contabili, del lavoro o legali si basa esclusivamente sulla nostra esperienza quali intermediari assicurativi e consulenti in materia di rischi e non deve essere considerata una consulenza in materia attuariale, fiscale, contabile, del lavoro o legale, per la quale i clienti sono invitati a rivolgersi ai propri consulenti. Tutte le analisi e le informazioni ivi riportate sono soggette a incertezza intrinseca e il contenuto del presente articolo potrebbe essere influenzato materialmente da ipotesi, condizioni, informazioni o fattori sottostanti allo stesso che risultassero inaccurati o incompleti o dovessero subire modifiche. Sebbene Marsh possa fornire consigli e raccomandazioni, tutte le decisioni relative a eventuali azioni sono di esclusiva responsabilità del cliente.