Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

cybersecurity

Cyber Resilience Act: guida ai Notified Body e alla conformità

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Il Cyber Resilience Act introduce requisiti obbligatori di cybersecurity per i prodotti digitali in Europa. Definisce procedure di conformità, classifica i prodotti per livello di rischio e assegna un ruolo centrale ai Notified Body, organismi terzi accreditati per la valutazione della sicurezza informatica

Pubblicato il 7 apr 2026
Garibaldi Conte

consulente nell’ambito dell’ICT e della Sicurezza ICT

cyber-resilience-agenda-digitale
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il Cyber Resilience Act rappresenta una svolta normativa per il mercato digitale europeo: per la prima volta, produttori di hardware e software sono chiamati a rispettare requisiti obbligatori di cybersecurity prima di immettere i loro prodotti nell’Unione Europea.

Al centro di questo sistema di conformità operano i Notified Body, organismi terzi accreditati con competenze tecniche e procedurali che garantiscono verifiche indipendenti. Ecco come funziona il quadro normativo, chi sono gli attori coinvolti e quali scadenze si avvicinano.

La certificazione di sicurezza dei prodotti ICT: cos’è, le origini e gli sviluppi futuri

Cyber Resilience Act: cos’è e a cosa si applica

Il Cyber Resilience Act (CRA) è un Regolamento dell’Unione Europea che introduce per la prima volta requisiti obbligatori di cybersecurity per i prodotti con elementi digitali immessi sul mercato europeo. L’obiettivo principale del CRA è rafforzare il livello di sicurezza informatica dei prodotti hardware e software, riducendo vulnerabilità strutturali, migliorando la gestione degli aggiornamenti e aumentando la trasparenza verso utenti e Autorità.

Il CRA si applica a tutti i prodotti (hardware e software) con elementi digitali ed esclude alcune categorie di prodotti che sono già regolamentate da normative settoriali specifiche (es. dispositivi medici, automotive,..).

Il CRA introduce dei requisiti essenziali di cybersecurity, delle procedure di valutazione della conformità, una classificazione dei prodotti (non critici, importanti e prodotti con elementi critici), il possibile coinvolgimento di terze parti accreditate per prodotti ad alto rischio e meccanismi di vigilanza del mercato. L’applicazione dei requisiti essenziali definiti dal CRA è basata su un’analisi del rischio che il produttore deve effettuare sia per l’uso per il quale il prodotto è commercializzato (intended use) che per l’uso ragionevole che si potrebbe fare del prodotto (reasonable foreseeble use). Il CRA è entrato in vigore il 10 dicembre 2024 e troverà la sua piena applicazione dall’11 dicembre 2027.

Norme armonizzate e ruolo degli organismi notificati

Per facilitare l’applicazione della conformità al CRA, nel periodo transitorio e su incarico della Commissione Europea, verranno sviluppate dai principali enti di normativa europei (CEN, CENELEC, ETSI), circa 40 norme armonizzate che sono specifiche tecniche europee che traducono i requisiti essenziali previsti dal CRA in regole tecniche dettagliate. Il loro scopo principale è fornire ai produttori di prodotti con elementi digitali un metodo standardizzato per dimostrare la conformità al CRA e ottenere la marcatura CE. In questo contesto, un ruolo centrale è svolto dai Conformity Assessment Body (CAB) che, in ambito CRA, sono chiamati “Notified Body” (Organismi Notificati). Vediamo in dettaglio quali caratteristiche devono avere i Notified Body, la procedura con cui sono accreditati e quali sono gli ambiti in cui sono richiesti.

Cosa sono i Notified Body e quale è il loro ruolo nell’ambito del CRA

Un Notified Body è un organismo di valutazione della conformità che è designato da uno Stato membro dell’UE, è notificato ufficialmente alla Commissione Europea ed è autorizzato a svolgere specifiche attività di valutazione della conformità previste da una normativa europea. Nel caso del CRA, i Notified Body intervengono quando il produttore non può ricorrere esclusivamente all’autovalutazione interna, ma deve sottoporre il prodotto a una verifica indipendente da parte di un organismo terzo. In particolare, il coinvolgimento di un Notified Body è richiesto obbligatoriamente quando, ad esempio:

  • il prodotto rientra tra quelli classificati come “importanti” (vedi allegato III del CRA);
  • il produttore non applica (o non applica pienamente) le norme armonizzate;
  • quando è necessario un esame UE del tipo o una valutazione strutturata del sistema di gestione della cybersecurity.

Requisiti per l’accreditamento di un Notified Body

I requisiti che un Notified Body deve soddisfare sono descritti nell’articolo 39 del CRA. Vediamoli in dettaglio:

  • Un Notified Body deve essere costituito ai sensi del diritto nazionale della nazione in cui opera e avere personalità giuridica propria;
  • deve essere un terzo indipendente rispetto all’organizzazione o ai prodotti che valuta, senza legami che possano compromettere l’obiettività. La normativa esclude che dirigenti o personale chiave siano coinvolti in attività di progettazione, produzione, installazione o rappresentanza dei prodotti che essi stessi valutano.
  • Un Notified Body deve essere imparziale, indipendente e non avere conflitti di interesse. In pratica, l’indipendenza si concretizza attraverso l’assenza di legami economici o operativi con le parti valutate, garanzie che le attività di sussidiarie o subcontractor non compromettano l’imparzialità e divieti di attività di consulenza tecnica o di progettazione per i clienti che devono essere valutati.
  • Il personale del Notified Body deve avere personale con opportuna competenza tecnica. In pratica, il personale coinvolto nei processi di valutazione deve avere formazione tecnica e professionale adeguata, deve possedere conoscenza dei requisiti essenziali del CRA, delle norme armonizzate e degli standard applicabili e essere in grado di redigere certificati e rapporti tecnici che documentino i risultati delle verifiche.
  • Un Notified Body deve disporre di procedure documentate e trasparenti per svolgere le attività di conformità, deve garantire che le verifiche siano ripetibili e gestite con criteri uniformi e deve avere accesso alle risorse, alle strutture e alle attrezzature necessarie per effettuare correttamente tutte le attività tecniche e amministrative correlate.
  • La normativa richiede che la remunerazione dei dirigenti e degli addetti non dipenda dal numero di valutazioni svolte o dai risultati ottenuti e le decisioni tecniche rimangano libere da pressioni esterne, incluse quelle finanziarie.
  • Inoltre i Notified Body devono garantire la riservatezza delle informazioni ottenute nell’esercizio delle valutazioni e documentare procedure che proteggano i diritti di proprietà intellettuale degli interessati.
  • Infine, l’operatività del Notified Body deve essere equa, consistente e proporzionata, evitando oneri ingiustificati per le imprese e deve essere adeguata anche alle esigenze delle microimprese e delle PMI, incluse condizioni di tariffazione ragionevoli.

Come si può notare, i requisiti richiesti per il Notified Body sono identici a quelli richiesti da norme ISO come la ISO 17065 e la ISO 17025 utilizzate per l’accreditamento, rispettivamente, degli Organismi di Certificazione e dei Laboratori di Prova.

Come avviene la notifica dei Notified Body

Le modalità di “notifica” di un Notified Body e le modalità di gestione e mantenimento sono regolamentate negli articoli del CRA dal n. 43 al n. 51. Gli aspetti salienti che emergono dai suddetti articoli sono:

  • la domanda di notifica viene effettuata dal candidato Notified Body che allega tutta la documentazione richiesta dalla norma;
  • ove applicabile, il Notified Body allega un certificato di accreditamento rilasciato dall’Autorità Nazionale di Accreditamento (in Italia ACCREDIA) che attesti che l’organismo di valutazione della conformità è conforme ai requisiti di cui all’articolo 39.
  • Se il candidato Notified Body non possiede un certificato di accreditamento rilasciato dall’Autorità Nazionale di Accreditamento, allora deve fornire all’Autorità di notifica tutte le prove documentali necessarie per la verifica, il riconoscimento e il controllo periodico della sua conformità ai requisiti di cui all’articolo 39.
  • L’Autorità di notifica, in Italia l’Agenzia Nazionale della Cybersicurezza (ACN), notificano solo i Notified Body che soddisfino i requisiti dell’articolo 39. L’autorità di notifica informa la Commissione e gli altri Stati membri utilizzando il sistema informativo NANDO (New Approach Notified and Designated Organisations), sviluppato e gestito da ENISA.
  • La notifica include tutti i dettagli riguardanti le attività di valutazione della conformità, il modulo o i moduli di valutazione della conformità e il prodotto o i prodotti con elementi digitali interessati, nonché la relativa attestazione di competenza.
  • Qualora una notifica non sia basata su un certificato di accreditamento rilasciato dall’Autorità Nazionale di Accreditamento, l’autorità di notifica fornisce alla Commissione e agli altri Stati Membri le prove documentali che attestino la competenza del Notified Body, nonché le disposizioni predisposte per fare in modo che tale organismo sia controllato periodicamente e continui a soddisfare i requisiti richiesti.
  • Ad ogni Notified Body, la Commissione attribuisce un numero di identificazione univoco e mette a disposizione del pubblico l’elenco di tutti gli Notified Body accreditati con indicazione delle attività per le quali sono stati notificati.
  • Infine, la Commissione garantisce l’istituzione e il corretto funzionamento di un coordinamento e una cooperazione appropriati tra i Notified Body sotto forma di un gruppo intersettoriale di organismi notificati. Gli Stati membri garantiscono che gli Notified Body da essi notificati partecipino al lavoro di tale gruppo, direttamente o mediante rappresentanti designati.

Procedura per la valutazione della conformità e ingaggio dei Notified Body

Il CRA adotta il modello normativo stabilito dalla Decisione n. 768/2008 per garantire la sicurezza informatica dei prodotti digitali nel mercato unico europeo mutuando, per la valutazione della Conformità, alcuni dei “moduli” che la decisione suddetta ha definito. In particolare, i moduli adottati dal CRA (vedi articolo n. 32 e Allegato VIII) sono:

  • la procedura di controllo interno (basata sul modulo A);
  • la procedura di esame UE del tipo (basata sul modulo B), seguita dalla conformità al tipo UE basata sul controllo interno della produzione (basata sul modulo C);
  • una valutazione della conformità basata sulla garanzia della qualità totale (basata sul modulo H);
  • certificazione del prodotto nell’ambito di un sistema europeo di certificazione della cybersicurezza (es. EUCC).

Vediamo una descrizione di sintesi delle suddette procedure di valutazione della conformità lasciando alla lettura dell’allegato VIII del CRA l’analisi di dettaglio.

Modulo A – Procedura di controllo interno

Il Modulo A, Controllo interno della produzione, è la procedura di valutazione della conformità più snella prevista dal CRA, basata sull’autocertificazione del produttore senza l’intervento obbligatorio di un organismo terzo. In sintesi, la procedura si articola in quattro parti principali:

  • Documentazione Tecnica: il produttore redige la documentazione (vedi Allegato VII del CRA) che dimostri la conformità ai requisiti di sicurezza. Include l’analisi dei rischi, la distinta dei componenti software (SBOM) e i risultati dei test eseguiti.
  • Gestione Vulnerabilità: il produttore implementa processi interni per monitorare, segnalare e risolvere i difetti di sicurezza per tutto il ciclo di vita del prodotto (minimo 5 anni o durata del supporto).
  • Dichiarazione di Conformità UE: il produttore redige e firma un documento formale in cui si assume la piena responsabilità del rispetto dei requisiti essenziali (vedi Allegato I del CRA).
  • Marcatura CE: viene apposto il marchio CE sul prodotto per attestarne la conformità e consentirne la libera circolazione nel mercato unico europeo.

Questa procedura è applicabile ai prodotti digitali “non critici” (circa il 90% del mercato) e a quelli “importanti” (Classe I) solo se sono state applicate integralmente le norme armonizzate ufficiali dell’UE. Non è previsto l’ingaggio di un Notified Body.

Modulo B – Esame UE del tipo

La procedura di esame UE del tipo, Modulo B, è la modalità di valutazione che prevede l’intervento di un Notified Body per verificare la conformità del progetto tecnico. A differenza del Modulo A (autocertificazione), il Modulo B si articola come segue:

  • Esame del Progetto: il produttore presenta una domanda a un singolo Notified Body. Questo esamina la Documentazione Tecnica (Allegato VII) e verifica che il progetto del software/hardware soddisfi i requisiti essenziali del Cyber Resilience Act (CRA).
  • Prove Tecniche: il Notified Body esegue o fa eseguire test specifici per accertare che le soluzioni adottate dal fabbricante siano efficaci contro le minacce informatiche dichiarate nell’analisi dei rischi.
  • Certificato di Esame UE: se il prodotto risulta conforme, il Notified Body rilascia un Certificato di esame UE del tipo. Questo documento contiene i dati del fabbricante, le conclusioni dell’esame e le condizioni di validità.

Il Modulo B non basta da solo per immettere il prodotto sul mercato. Deve essere sempre seguito dal Modulo C (Conformità al tipo), con cui il fabbricante garantisce che ogni singola unità prodotta sia identica al “prototipo” approvato dall’ente. Il Modulo B è necessario per i prodotti “Importanti” di Classe I se il produttore non applica (o applica solo in parte) le norme armonizzate, ed è una delle opzioni per i prodotti “Importanti” di Classe II.

Modulo C – Conformità al tipo basata sul controllo interno della produzione

Il Modulo C è la fase operativa che segue l’esame del progetto (Modulo B). Questo modulo ha il principale obiettivo di garantire che ogni prodotto fabbricato sia identico al “prototipo” approvato dal Notified Body nel Modulo B. La responsabilità è interamente a carico del produttore, che deve assicurare la conformità costante durante la produzione e la gestione delle vulnerabilità. Il produttore appone il marchio CE e firma la Dichiarazione di conformità UE. Inoltre, tiene traccia dei controlli interni per dimostrare che le unità immesse sul mercato rispettino i requisiti certificati nel Certificato di esame UE del tipo.

Modulo H – Garanzia della qualità totale

Il Modulo H, Garanzia della qualità totale, è la procedura più completa e rigorosa del CRA, basata sul controllo dell’intero sistema di gestione del fabbricante. La procedura prevede i seguenti passi:

  • Sistema di Qualità: il produttore applica un sistema approvato per la progettazione, produzione, controllo finale e gestione delle vulnerabilità.
  • Sorveglianza di terza parte: un Notified Body valuta il sistema di qualità tramite audit periodici per verificare che il produttore mantenga gli standard elevati promessi.
  • Valutazione del Progetto: il Notified Body esamina specificamente la documentazione tecnica dei prodotti per accertarne la conformità ai requisiti di cybersicurezza dell’Allegato I.
  • Marcatura CE: il produttore appone il marchio CE seguito dal numero identificativo del Notified Body, a indicare che l’ente sorveglia l’intero processo aziendale.

Il grande vantaggio di questa procedura è che, una volta certificato il sistema, il produttore ha maggiore autonomia nel gestire varianti di prodotto correlate, sotto la supervisione dell’ente di supervisione, ovvero il Notified Body. Questa è la procedura tipica che si applica per i prodotti “Importanti” di Classe II o per le grandi aziende che scelgono di certificare i propri processi interni anziché i singoli prodotti.

Certificazione nell’ambito di un sistema europeo di certificazione della cybersicurezza

Come stabilito nell’articolo 27 del CRA, la certificazione del prodotto nell’ambito di un sistema europeo di certificazione della cybersicurezza (vedi ad esempio l’EUCC) con un livello almeno “sostanziale“, consente di dichiarare il prodotto conforme ai requisiti essenziali del CRA purché tali requisiti siano contemplati nel certificato europeo del prodotto. Tale procedura deve essere obbligatoriamente applicata ai prodotti con elementi digitali critici (vedi Allegato IV del CRA), ma può essere applicata indifferentemente a tutte le tipologie di prodotti.

Punti di attenzione sui Notified Body e la certificazione EUCC

Relativamente ai Notified Body e alle procedure di valutazione della conformità definite in ambito CRA, è interessante evidenziare un paio di punti di attenzione. Il primo è relativo all’accreditamento di tali enti. Come detto prima, per dimostrare che un Notified Body rispetti i requisiti dell’articolo 39 del CRA, esso deve essere accreditato dall’Autorità di Accreditamento Nazionale (ACCREDIA in Italia). Ma quale è la norma di riferimento? Al momento le norme utilizzate sono la ISO 17065 per gli Enti di Certificazione e la ISO 17025 per i laboratori di prova. Entrambe le norme permettono di certificare che l’ente accreditato rispetti i requisiti dell’articolo 39 del CRA (es. indipendenza, imparzialità, assenza conflitti di interesse, sistema di qualità,…), ma quale usare? I “puristi” sono spinti a dire che la norma più indicata sia la ISO 17065 perché il Notified Body emette un certificato, ma questi enti normalmente sono esperti di processo e non hanno competenze tecniche per effettuare i test tecnici sui prodotti. Viceversa, i laboratori di prova accreditati ai sensi della ISO 17025 hanno le necessarie competenze tecniche perché appunto laboratori di prova, ma non hanno elevate competenze di processo. Va comunque detto che, in entrambi i casi, le competenze del Notified Body devono essere verificate rispetto alle numerose norme armonizzate che verranno emesse. Questa attività deve essere fatta solo dall’Autorità di Notifica che è l’entità centrale in questo ambito. Ovviamente c’è anche la soluzione, prevista dal CRA, ovvero che la verifica del rispetto dei requisiti dell’articolo 39 sia fatta dall’Autorità di Notifica, ma la Commissione Europea ha caldamente raccomandato di utilizzare l’opzione dell’accreditamento da parte dell’Autorità di Accreditamento nazionale anche per uniformità con gli altri schemi di certificazione europei (vedi EUCC). Una possibile soluzione potrebbe essere quella di utilizzare gli accreditamenti ISO 17065 e ISO 17025 per il rispetto dei requisiti dell’articolo 39 e una verifica delle competenze effettuata dall’Autorità di Notifica. Questa sembra essere ad oggi la direzione verso cui si stanno orientando alcune Autorità Nazionali, ma ci saranno sicuramente delle indicazioni più precise da parte della Commissione attraverso, ad esempio, delle linee guida o SoA document emessi da ENISA, così come è avvenuto per lo schema di certificazione europeo EUCC.

In tale ambito, va infine evidenziato che dall’11 giugno 2026 entrano in vigore le disposizioni sugli organismi di valutazione (i Notified Body) ed entro fine 2026 le Autorità Nazionali devono designare un numero sufficiente di Notified Body per facilitare l’entrata in vigore completa del CRA. Altro aspetto rilevante è l’utilizzo di schemi europei di certificazione dei prodotti (ad oggi quello principale è l’EUCC) per garantire la conformità al CRA. Questa soluzione, oltre ad offrire un processo di verifica delle conformità più rigoroso e solido, avrebbe anche l’indubbio vantaggio di promuovere lo sviluppo di questi schemi di certificazione che ad oggi non sono obbligatori, ma che rappresentano un elemento centrale nella strategia della cybersicurezza europea. Il punto chiave è che questi schemi devono garantire che i requisiti essenziali del CRA siano coperti dai certificati emessi in tali schemi e questo implicherebbe, se applicato alla lettera, che l’oggetto della valutazione (il cosiddetto Target of Evaluation – TOE) coincida con tutto il prodotto. Questo renderebbe la valutazione molto onerosa, lunga e costosa. ENISA ha sviluppato uno studio di fattibilità in tale ambito investigando su diverse opzioni e, tra le possibili soluzioni, quella che sembrerebbe più praticabile è la definizione di Protection Profile specifici per garantire la conformità ai requisiti essenziali del CRA e garantire, nel contempo, la validità della certificazione. Al momento nulla è stato ancora deciso e in Europa, con il supporto di ENISA, sono in corso dei progetti pilota su alcuni prodotti per verificare la percorribilità di tali scenari per una convergenza tra CRA e EUCC. Bisogna considerare che al momento la certificazione EUCC a livello almeno “sostanziale” è obbligatoria per i prodotti con elementi critici (vedi Allegato IV del CRA). Quindi anche su questo aspetto si aspettano novità nei prossimi mesi.

Conclusioni: il CRA è pronto a cambiare il mercato digitale europeo

Come si può intuire da quanto scritto, il CRA è un regolamento complesso e articolato che avrà un enorme impatto sulla produzione e circolazione dei prodotti con elementi digitali in Europa. La logica del regolamento deriva dalla strategia della Unione Europea in ambito sicurezza che in gergo viene chiamata “Sicurezza by Compliance“, ovvero definire dei requisiti di sicurezza da applicare in maniera obbligatoria per spingere i produttori dei prodotti con elementi digitali a sviluppare una cultura interna della sicurezza e produrre prodotti sempre più sicuri. Nei prossimi mesi, prima dell’applicazione vincolante del CRA a dicembre 2027, assisteremo ad un’attività di normazione importante con l’emissione di norme e linee guida che andranno ad integrare e completare l’impianto normativo del CRA. In particolare:

  • nel periodo 2025-2026 verranno sviluppate le norme armonizzate tecniche (circa 40) che faciliteranno l’applicazione della conformità CRA e il loro completamento è previsto progressivamente nei primi anni del periodo transitorio.
  • Sempre nel 2026: è prevista la pubblicazione di linee guida e orientamenti ufficiali da parte della Commissione Europea per guidare imprese e organismi verso la conformità.

Altro aspetto rilevante è che dall’11 settembre 2026 diventano vincolanti gli obblighi di reporting delle vulnerabilità e degli incidenti gravi da parte dei produttori verso le Autorità Competenti (inclusa ENISA). Questi obblighi si applicano anche ai prodotti già commercializzati nell’UE. A tal proposito, sia l’ENISA che le Autorità nazionali stanno predisponendo delle piattaforme centralizzate per agevolare le segnalazioni di tali eventi da parte dei produttori. Ma gli attori in campo (Autorità Nazionali, produttori, Notified Body,..) sono pronti? Probabilmente non completamente anche perché ci sono ancora molti punti aperti che saranno probabilmente sciolti con i documenti che saranno emessi in questi mesi, ma questi necessiteranno di tempo per poter essere analizzati, interiorizzati ed applicati. Probabilmente, come già successo con il GDPR, nei prossimi anni saranno avviate numerose iniziative da parte di tutte le forze in campo, sia nazionali che europee, che non si fermeranno necessariamente a dicembre 2027 quando il CRA diventerà vincolante.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Garibaldi Conte
consulente nell’ambito dell’ICT e della Sicurezza ICT
guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

0
Lascia un commento, la tua opinione conta.x