News
Gestione dei rischi e conformità ai requisiti del Regolamento UE 2023/1230 sui macchinari
Cyber-security- pc
CONFORMARSI AL CYBER RESILIENCE ACT (CRA): SCADENZE, OBBLIGHI SPECIFICI E IMPLICAZIONI OPERATIVE
Come il CRA cambia le regole del gioco?
Fino a oggi, la sicurezza informatica è stata principalmente una responsabilità delle organizzazioni che usano prodotti digitali. Il Cyber Resilience Act (CRA) sposta completamente il focus: ora sono i fabbricanti a dover garantire che i loro prodotti siano sicuri fin dalla progettazione e per tutto il loro ciclo di vita.
Non è una questione di buona volontà. È un obbligo legale con sanzioni che possono raggiungere i 15 milioni di euro o il 2,5% del fatturato mondiale.
Il Regolamento parte da un'osservazione semplice ma potente: altri strumenti normativi come il Cyber Security Act e la NIS2 non impongono requisiti obbligatori specifici per la sicurezza dei prodotti digitali. Questa lacuna è stata colmata dal CRA, che si applica orizzontalmente a tutti i prodotti con componenti digitali immessi sul mercato europeo.
A QUALI PRODOTTI SI APPLICA IL CRA? LE TRE CATEGORIE
Il Cyber Resilience Act non tratta tutti i prodotti allo stesso modo. Il Regolamento distingue tre categorie, ciascuna con obblighi crescenti:
- Prodotti di default: prodotti a basso rischio o non espressamente elencati come critici per cui i fabbricanti possono procedere con un'autovalutazione;
- Prodotti importanti: prodotti che presentano un livello di rischio superiore rispetto a quelli di default e sono elencati nel Regolamento di esecuzione, richiedono una valutazione di conformità più rigorosa, che può includere l'audit da parte di terze parti;
- Prodotti critici: prodotti ad alto rischio, critici per la sicurezza informatica delle infrastrutture per i quali è obbligatoria la certificazione esterna da parte di organismi accreditati, rispettando gli schemi di certificazione europei.
LE SCADENZE CRITICHE: LE DATE DA NON PERDERE
Il Regolamento è entrato in vigore il 20 novembre 2024, ma l'applicazione è graduale. Ecco le date che devi segnare in rosso nel calendario:
-
11 Giugno 2026
Primo checkpoint
-
11 Settembre 2026
Secondo checkpoint
-
11 Dicembre 2027
Scadenza principale
- 11 Giugno 2026
Gli organismi di valutazione della conformità (i "notificati") devono essere notificati alle autorità competenti.
Da questa data, se hai un prodotto importante, devi iniziare a coinvolgere questi organismi nelle tue verifiche di conformità; - 11 Settembre 2026
Gli obblighi di segnalazione delle vulnerabilità diventano pienamente operativi.
Se scopri una vulnerabilità nel tuo prodotto che è stata attivamente sfruttata, devi: inviare un preallarme al CSIRT coordinatore entro 24 ore; fornire una notifica completa entro 72 ore; presentare una relazione finale entro 14 giorni.
Anche se l’ obbligo è già vigente (dal 20 novembre 2024), la procedura completa si attiva l’11 settembre 2026. - 11 Dicembre 2027
Questa è la data cruciale. Tutti i prodotti immessi sul mercato devono essere conformi al Regolamento. Non ci sono più eccezioni o periodi di transizione. I tuoi prodotti devono avere:
• La marcatura CE;
• La Dichiarazione di conformità UE;
• Tutta la documentazione tecnica richiesta;
• Certificazioni (se applicabili);
Dopo questa data, qualsiasi prodotto non conforme può essere ritirato dal mercato.
Cosa devi fare oggi : un piano d'azione concreto
Non è troppo presto per iniziare. Anzi, è già tardi se non hai cominciato. Ecco un piano pratico:
- Fase 1: Mappatura e Classificazione (Entro Q1 2025);
- Fase 2: Valutazione della conformità attuale (Q1-Q2 2025);
- Fase 3: implementazione dei requisiti essenziali (Q2-Q3 2025);
Hai dubbi su come classificare i tuoi prodotti o implementare il CRA?
scopri Come Bureau Veritas Nexta può supportarti
Bureau Veritas Nexta accompagna fabbricanti, importatori e distributori verso la conformità completa al Regolamento, supportandoli in ogni fase del percorso.