Il Cyber Resilient Act o semplicemente CRA rappresenta una svolta normativa in ambito europeo non solo perché presenta delle linee guida valide in tutti i Paesi dell’UE, ma soprattutto perché interessa di pari passo hardware e software, intesi in maniera sinergica e non come elementi separati.
La sua entrata in vigore non è recentissima. Risale al 10 dicembre 2024: questo il giorno in cui il Regolamento UE 2024/2847 è risultato operativo. L’anno cruciale è tuttavia quello attuale, essendo previste proprio per il 2026 due scadenze, a giugno e a settembre, cruciali per distributori, importatori e produttori, la totalità della filiera elettronica, insomma.
Tra i fattori maggiormente attenzionati c’è il conferimento di una documentazione tecnica esaustiva, aggiornata e chiara, da contemplare insieme al prodotto (e non in una fase immediatamente successiva come avveniva fino a pochi anni fa).
Il passaggio è epocale perché porta a una ridefinizione del processo nel suo insieme e non mancano le aziende del settore che hanno saputo trasformare questa potenziale criticità in opportunità, soprattutto quando si parla di soluzioni elettroniche progettate su misura. È questo il caso del servizio di progettazione di schede elettroniche PCB tailor made di VT100 (a proposito del quale è possibile visitare il sito VT100.srl) che ha come punto di partenza un’analisi dei requisiti per poi lasciare spazio a una progettazione completa delle schede elettroniche con tanto di firmware embedded dedicato.
Soluzioni a prova di Cyber Resilient Act perché sicure, affidabili e certificate, in linea con gli standard qualitativi di alto profilo sempre più richiesti dalle imprese, ma anche dal legislatore.
In cosa è rivoluzionario il Cyber Resilient Act
Il CRA è innovativo in quanto figura come il primo documento legislativo sul tema a livello comunitario; già questo elemento basterebbe a renderlo attuale, ma non è l’unico.
La sua introduzione è avvenuta a fini regolatori, prima ancora che sanzionatori, a fronte della chiarificazione di linee guida chiare per gli addetti del settore elettronico per quanto concerne tutti gli elementi di natura digitale, hardware e software.
Gli obblighi del Cyber Resilient Act interessano infatti le seguenti fasi:
- pianificazione;
- progettazione;
- sviluppo;
- manutenzione.
L’entrata in vigore (effettiva) del CRA
Il CRA è entrato in vigore ufficialmente nel 2024, seppur in maniera graduale. Ecco una panoramica delle tappe effettivamente attuative:
- il Regolamento 2024/2847 verrà applicato ufficialmente dall’11 dicembre 2027;
- questa attuazione verrà anticipata dalla validità dell’articolo 14 dall’11 settembre 2026. Gli obblighi interesseranno la dichiarazione di vulnerabilità per i fabbricanti. Il termine ultimo di adeguamento è previsto per il 30 ottobre 2026;
- ancora prima, l’11 giugno 2026, entrano in vigore le disposizioni degli articoli compresi tra il 35 e il 51, inerenti le valutazioni di conformità. Il termine ultimo per l’adeguamento è fissato al 30 agosto 2026.
Queste scadenze rendono il 2026 molto più di un semplice anno di transizione, quanto effettivamente attuativo. Gli effetti sono impattanti a livello giuridico così come economico e imprenditoriale.
Per le aziende il CRA rappresenta sì una tutela, ma porta alla luce ancora di più la necessità di scegliere con cura le partnership in ambito elettronico. Come abbiamo visto, le realtà italiane d’eccellenza sono già attive in tal senso.
Una regolamentazione nel segno della sicurezza integrata
La regolamentazione introdotta dall’UE ha come parola chiave la seguente: sicurezza integrata. Ciò significa che viene dato valore al processo nel suo insieme: le fasi di inizio e fine non risultano distinte. Il risultato è una vision di matrice “security by design” dove affidabilità e qualità progettuale vanno di pari passo, nell’immediato ma soprattutto nel lungo periodo.
In questo il CRA rappresenta un aggiornamento normativo volto alla sostenibilità e all’efficienza, in quanto punta all’ottimizzazione delle singole variabili, alla durabilità e al riuso.
Non si limita quindi a implementare la sicurezza, poiché la tematica viene affrontata in maniera più ampia, diventando a tutti gli effetti un supporto a fare meglio anche per quanto concerne la gestione dei costi, dei rischi e delle problematiche che possono subentrare successivamente.
Un quadro normativo in costante evoluzione: la cybersecurity come asset portante per le aziende
Il Cyber Resilient Act mostra come per le aziende la cybersecurity rappresenti molto più di una questione che interessa la protezione dei dati personali. Un fattore determinante, seppure non in maniera unilaterale né esaustiva: sussistono anche altri aspetti oggetto di analisi.
Pertanto, nel biennio 2026-2027, insieme al CRA è prevista l’entrata in vigore di altre normative: Machine e Data Act; NIS2; DORA; AI Act. Per diverse imprese del Belpaese si tratta di scadenze da monitorare con particolare attenzione poiché sovrapposte, a testimonianza di un cambiamento costante e impattante, in forte evoluzione, a favore di un approccio dove la compliance assume un peso specifico rilevante.
Attenzione alle sanzioni
Come sempre, per chi non si adegua per tempo – e non vale soltanto per le realtà produttrici – i rischi di incorrere in sanzioni sono plausibili e concreti, ma soprattutto onerosi: possono raggiungere i 15 milioni di euro, persino il 2,5% del fatturato mondiale annuo nel momento in cui a compiere il reato è un’impresa.
Questo in linea generale perché molto dipende dal tipo di violazione, da chi la fa e in quale misura. La giurisprudenza non è una disciplina univoca, poiché interviene su più variabili.
Lo scopo di queste sanzioni è soprattutto dissuasivo: un incentivo al cambiamento, affinché possa essere effettivo. Nei prossimi mesi sarà inoltre da capire in che modo i singoli Stati applicheranno le disposizioni comunitarie, considerando la circolazione dei prodotti. Più le aziende agiranno nel segno della compliance, più saranno competitive.
