Il Cyber Resilience Act (CRA) è una nuova normativa dell'Unione Europea che stabilisce requisiti obbligatori di sicurezza informatica

Il Cyber Resilience Act (CRA) è una nuova normativa dell'Unione Europea che stabilisce requisiti obbligatori di sicurezza informatica per i prodotti con elementi digitali, tra cui software, hardware e dispositivi connessi. Entrato in vigore l'11 dicembre 2024, il CRA concede un periodo di transizione di 36 mesi, fissando la piena applicazione al 2027. Per le software house italiane, questa legge rappresenta un cambiamento significativo nelle modalità di sviluppo, distribuzione e manutenzione dei prodotti digitali.

Chi è coinvolto?

Il CRA si applica a tutti i produttori, importatori e distributori di prodotti digitali nel mercato dell'UE, inclusi software, dispositivi IoT, videogiochi, app e firmware. Anche le aziende extra-UE devono conformarsi se intendono vendere i loro prodotti nell'Unione europea. Sono esclusi i software open source non commerciali e i servizi SaaS che non interagiscono con infrastrutture critiche.

Obblighi principali per le software house

• Sicurezza by design e by default: i prodotti devono essere progettati con misure di sicurezza integrate fin dalle prime fasi di sviluppo e per impostazione predefinita.
• Gestione delle vulnerabilità: monitorare, identificare e correggere le vulnerabilità durante l'intero ciclo di vita del prodotto, con aggiornamenti regolari e tempestivi.
• Trasparenza e comunicazione: informare gli utenti sui rischi di sicurezza associati ai prodotti e fornire documentazione adeguata per un uso sicuro.
• Notifica degli incidenti: segnalare alle autorità competenti qualsiasi vulnerabilità o incidente di sicurezza significativo entro 24 ore dalla loro identificazione.
• Valutazione della conformità: ottenere la marcatura CE per i prodotti, indicando la conformità ai requisiti di sicurezza del CRA.

Sanzioni in caso di non conformità

Le violazioni più gravi possono comportare sanzioni fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo, a seconda dell'importo maggiore.

Come prepararsi

Per adeguarsi al CRA, le software house italiane dovrebbero:

• Eseguire una gap analysis per valutare la conformità alle normative esistenti.
• Integrare pratiche di sviluppo sicuro nel ciclo di vita del prodotto.
• Stabilire programmi di gestione delle vulnerabilità e degli incidenti.
• Collaborare con fornitori e partner per garantire la sicurezza lungo tutta la catena di approvvigionamento.
• Consultare esperti legali e di cybersecurity per orientarsi nel processo di compliance.