Logo Leicom ITEC AG
Spiegelung Gebäudefassaden Spiegelung Gebäudefassaden

Cyber Resilience Act: lo standard di sicurezza dell’UE che potrebbe cambiare il mercato svizzero?

14.03.2025

Il Regolamento (UE) 2024/2847(Cyber Resilience Act o CRA) introduce per la prima volta un quadro giuridico europeo che stabilisce requisiti obbligatori di cybersicurezza per tutti i prodotti con elementi digitali immessi sul mercato dell’Unione Europea. Il regolamento definisce standard minimi di sicurezza per hardware, software e soluzioni di elaborazione dati da remoto, assicurando che questi vengano progettati, sviluppati e mantenuti con adeguate caratteristiche di cybersicurezza.

Il regolamento suddivide i prodotti in due categorie di rischio:

  • Prodotti standard, soggetti a requisiti di sicurezza di base

  • Prodotti critici, classificati in Classe I e Classe II, che devono soddisfare obblighi di certificazione più severi

Obiettivo
Il CRA affronta due problemi fondamentali: le diffuse vulnerabilità nei prodotti digitali e la mancanza di informazioni per gli utenti, che rende difficile scegliere prodotti sicuri. Il regolamento introduce requisiti specifici per la gestione delle vulnerabilità, il monitoraggio della sicurezza e la conformità CE, eliminando così la frammentazione normativa tra gli Stati membri.

Attori interessati
Il regolamento interessa:

  • Produttori, importatori e distributori di prodotti con elementi digitali, sia hardware che software

  • Aziende che commercializzano prodotti digitali connessi, direttamente o indirettamente, a una rete

  • Operatori di software open source che forniscono supporto a lungo termine per lo sviluppo di software libero/open source con applicazioni commerciali

Tuttavia, anche gli utenti finali sono coinvolti indirettamente da questo complesso contesto normativo, come verrà illustrato più avanti.

Tappe fondamentali
Dopo l’entrata in vigore prevista per dicembre 2024, l’attuazione del regolamento avverrà in modo graduale:

  • Notifica degli organismi di valutazione della conformità: a partire dall’11 giugno 2026

  • Obbligo di segnalazione delle vulnerabilità e degli incidenti di sicurezza: dall’11 settembre 2026

  • Applicazione completa dei requisiti: dall’11 dicembre 2027

In caso di mancato rispetto, sono previste sanzioni fino a 15 milioni di euro o il 2,5% del fatturato annuo mondiale.

Un approccio basato sul rischio
Il CRA adotta un approccio basato sul rischio, introducendo requisiti più severi per i prodotti “essenziali” e “critici”, che presentano un elevato rischio per la cybersicurezza. Il regolamento rappresenta un cambiamento profondo nel modo in cui i prodotti digitali vengono progettati, sviluppati e gestiti in termini di sicurezza, rendendo la conformità un fattore strategico per tutte le imprese che operano sul mercato europeo.

CRA e Svizzera: implicazioni specifiche
Attualmente, la Svizzera non dispone di un quadro giuridico equivalente al Cyber Resilience Act (CRA) dell’UE. L’approccio elvetico alla cybersicurezza è frammentato e settoriale, con regolamentazioni specifiche per determinati ambiti, ma senza una normativa orizzontale che stabilisca requisiti minimi di sicurezza per tutti i prodotti con componenti digitali.

Tuttavia, le aziende svizzere che esportano prodotti digitali nell’Unione Europea sono soggette al CRA e devono garantirne la conformità per accedere al mercato unico.

A livello nazionale, la Strategia nazionale per la protezione della Svizzera contro i rischi cibernetici (NCS) fornisce linee guida generali per rafforzare la resilienza del Paese in ambito cyber, ma non impone obblighi regolatori specifici ai produttori di hardware e software.

Alcuni settori regolamentati, come quello finanziario, seguono già pratiche di sicurezza richieste dalla FINMA (Autorità federale di vigilanza sui mercati finanziari), ma non sono completamente allineate ai requisiti del CRA.

È probabile che in futuro la Svizzera adotti regolamentazioni armonizzate con quelle dell’UE, per ridurre le barriere commerciali e facilitare l’accesso delle aziende elvetiche al mercato europeo, come già accade per altri regolamenti tecnici.

Requisiti principali del CRA
Il Cyber Resilience Act introduce una serie di requisiti fondamentali che trasformano radicalmente l’approccio alla sicurezza dei prodotti digitali sul mercato europeo:

Security by Design e gestione delle vulnerabilità:

  • Obbligo per i produttori di integrare la sicurezza già nelle fasi di progettazione e sviluppo

  • I prodotti immessi sul mercato non devono contenere vulnerabilità note e sfruttabili

  • Obbligo di fornire aggiornamenti di sicurezza per tutta la durata del supporto (almeno 5 anni)

  • Configurazione sicura predefinita come standard

  • Sistema strutturato per la gestione e documentazione delle vulnerabilità, inclusa la distinta base software (Software Bill of Materials)

Procedure di valutazione della conformità:

  • Autocertificazione (controllo interno) per i prodotti standard

  • Valutazione da parte di organismi notificati per prodotti “essenziali” e “critici”

  • Documentazione tecnica completa per dimostrare la conformità

Obblighi di segnalazione:

  • Segnalazione entro 24 ore delle vulnerabilità attivamente sfruttate

  • Notifica degli incidenti di sicurezza gravi ai CSIRT (Computer Security Incident Response Teams) nazionali competenti

  • Informazione agli utenti su vulnerabilità, aggiornamenti e fine del supporto

  • Adozione di politiche coordinate per la divulgazione delle vulnerabilità

Inoltre, il CRA rappresenta un elemento centrale e complementare del quadro normativo europeo sulla cybersicurezza, integrandosi con le normative settoriali già esistenti e rafforzando i requisiti minimi di sicurezza per i prodotti digitali.

Requisiti principali del CRA
Il Cyber Resilience Act introduce una serie di requisiti fondamentali che trasformano radicalmente l’approccio alla sicurezza dei prodotti digitali nel mercato europeo:

Security by Design e gestione delle vulnerabilità:

  • Obbligo per i produttori di integrare la sicurezza già nella fase di progettazione e sviluppo

  • I prodotti immessi sul mercato non devono contenere vulnerabilità note ed exploitabili

  • Obbligo di fornire aggiornamenti di sicurezza per tutta la durata del supporto (almeno 5 anni)

  • Configurazione sicura predefinita

  • Sistema strutturato per la gestione e documentazione delle vulnerabilità, incluso un Software Bill of Materials (SBOM)

Procedure di valutazione della conformità:

  • Autocertificazione per i prodotti standard

  • Valutazione da parte di organismi notificati per prodotti “importanti” e “critici”

  • Documentazione tecnica completa per dimostrare la conformità

Obblighi di notifica:

  • Segnalazione delle vulnerabilità sfruttate attivamente entro 24 ore

  • Notifica degli incidenti gravi ai CSIRT nazionali

  • Informazione agli utenti su vulnerabilità, aggiornamenti e fine supporto

  • Adozione di politiche coordinate per la divulgazione delle vulnerabilità

Il CRA si inserisce come elemento centrale nel quadro normativo europeo per la cybersicurezza, integrandosi con le normative settoriali esistenti e rafforzando gli standard minimi di sicurezza per i prodotti digitali.

Le principali normative sulla cybersecurity e il rapporto con il CRA
Cosa significa per la tua azienda?

Il Cyber Resilience Act introduce benefici concreti per gli utenti finali:

  • Prodotti digitali più sicuri e affidabili

  • Maggiore trasparenza sulle caratteristiche di sicurezza e sul periodo di supporto previsto

  • Diritto ad aggiornamenti di sicurezza gratuiti per almeno cinque anni

  • Informazioni chiare sul ciclo di vita e sulla data di fine supporto

Tuttavia, rimangono punti critici, in particolare: molte aziende continuano a utilizzare sistemi legacy per via di:

  • costi elevati di sostituzione

  • dipendenze funzionali critiche

  • affidabilità dimostrata

  • necessità di competenze interne specializzate

  • rischi operativi legati alla migrazione

  • vincoli di compliance regolatoria

Nel contesto degli smart building, è particolarmente rilevante sottolineare che l’hardware e i dispositivi IoT hanno spesso cicli di vita operativi che superano i 5 anni minimi richiesti dal CRA.
Questa situazione genera una zona grigia tra conformità e sicurezza.

Il CRA non prevede sanzioni dirette per gli utenti finali che continuano a utilizzare prodotti oltre il periodo di supporto obbligatorio. Tuttavia, la mancata sostituzione o aggiornamento potrebbe essere considerata negligenza in altri contesti legali.

Ad esempio, in caso di incidente di cybersicurezza o violazione dei dati personali, le autorità (es. GDPR, che prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato mondiale) potrebbero utilizzare il CRA come standard di riferimento per valutare la diligenza dell’azienda.
Potrebbero cioè sostenere che l’azienda, pur consapevole della fine del supporto e dei rischi associati, non ha adottato misure preventive adeguate.

Azioni raccomandate
Le aziende dovrebbero:

  • condurre una gap analysis dettagliata dei propri prodotti digitali

  • pianificare strategie di mitigazione del rischio

  • documentare in anticipo l’analisi del rischio, le misure adottate e la segmentazione dei sistemi legacy critici

È importante ricordare che le sanzioni europee sono di natura amministrativa e non prevedono un risarcimento diretto per i soggetti lesi, che devono eventualmente agire in giudizio.

Le autorità possono emettere sanzioni sulla base di valutazioni tecniche che, in alcuni casi, potrebbero essere incomplete o contestabili sul piano tecnico-scientifico. Solo successivamente, l’azienda potrà ricorrere presso l’autorità giudiziaria competente, che esaminerà aspetti procedurali e proporzionalità della sanzione, senza garantire un’analisi tecnica approfondita.

In altre parole, sarà l’azienda a dover dimostrare che, ad esempio, l’uso di un sistema legacy o di un componente IoT non ha contribuito alla violazione, o che sono state adottate misure compensative efficaci.
Ne consegue che l’onere della prova si sposta di fatto sull’azienda, che dovrà dimostrare di aver agito con la dovuta diligenza, anziché spettare all’autorità dimostrare la negligenza.