Il Cyber Resilience Act (CRA), adottato nel 2024, e la risposta europea all'insicurezza cronica dei prodotti digitali. Smartphone con password di default, router senza aggiornamenti, dispositivi IoT vulnerabili — il CRA imporra ai produttori di garantire la sicurezza dei prodotti con elementi digitali per tutto il loro ciclo di vita.
Cosa prevede il CRA
Requisiti di sicurezza obbligatori per tutti i prodotti con elementi digitali venduti nell'UE: sicurezza by design, gestione delle vulnerabilita, aggiornamenti per tutta la vita del prodotto, documentazione tecnica, segnalazione delle vulnerabilita sfruttate attivamente. I produttori dovranno anche fornire un SBOM (Software Bill of Materials).
Rapporto con la NIS2
CRA e NIS2 sono complementari. La NIS2 protegge le reti e i sistemi delle organizzazioni. Il CRA protegge i prodotti che compongono quelle reti. Quando il CRA sara pienamente applicativo, i prodotti in rete saranno piu sicuri by design, riducendo il carico sulle organizzazioni NIS2 per compensare le carenze dei prodotti.
Impatto sulle aziende italiane
Per i produttori di hardware e software, il CRA impone nuovi obblighi di conformita. Per le aziende utenti, il CRA migliorera nel tempo la sicurezza dei prodotti acquistati. Nella scelta dei fornitori, privilegia gia ora prodotti con supporto a lungo termine e aggiornamenti regolari.