Il Cyber Resilience Act (Regolamento UE 2024/2847) introduce i primi requisiti europei obbligatori di sicurezza informatica per i prodotti digitali. Dai router ai termostati connessi, fino ai gateway industriali: chiunque progetti, produca o venda questi dispositivi nel mercato UE deve rispettare le nuove regole, a prescindere dal paese di origine. Il regolamento è in vigore da dicembre 2024, ma gli obblighi per i produttori diventeranno pienamente applicabili da dicembre 2027.
Indice degli argomenti
Cyber Resilience Act e valutazione del rischio dei prodotti digitali
L’articolo 13 del CRA richiede ai fabbricanti di
- individuare i rischi rilevanti per il prodotto,
- valutarne il potenziale impatto e
- attuare misure appropriate, in conformità ai requisiti essenziali dell’Allegato I.
Due premesse delle linee guida della Commissione Europea, ancora in forma di bozza, chiariscono come questo processo deve essere condotto.
Responsabilità del fabbricante e criterio regolamentare
La prima è che la responsabilità non è delegabile: l’obbligo di immettere sul mercato un prodotto sicuro rimane interamente in capo al fabbricante, senza possibilità di trasferirlo agli utenti o a terzi (paragrafo 145).
La seconda è che il criterio di valutazione del rischio non è quello interno all’organizzazione, ma quello regolamentare. La propensione al rischio del fabbricante, la strategia commerciale e le considerazioni sui costi non determinano se i requisiti essenziali siano soddisfatti (paragrafi 141-143).
Il prodotto deve garantire un livello adeguato di sicurezza tenendo conto della sua destinazione d’uso e dell’utilizzo ragionevolmente prevedibile. Il rischio residuo non è accettabile a discrezione del fabbricante: lo è solo quando è stato affrontato in misura sufficiente a soddisfare i requisiti essenziali.
Valutazione globale e due diligence sulle dipendenze
Le citate linee guida distinguono due obblighi fondamentali (paragrafo 151):
- valutazione del rischio globale: il produttore deve analizzare la sicurezza dell’intero prodotto, includendo i rischi legati ai componenti di terze parti e all’ambiente in cui il dispositivo opererà
- verifica delle dipendenze: è necessario eseguire una due diligence (un’accurata verifica) su tutti i componenti hardware e software esterni, per garantire che non compromettano la sicurezza del prodotto finale.
Questi obblighi sono complementari: la valutazione del rischio definisce l’esposizione complessiva, mentre la due diligence assicura che ogni singola parte rispetti tale profilo.
Ciò detto, il CRA non richiede ai fabbricanti di eseguire una valutazione del rischio separata per ogni singolo prodotto che immettono sul mercato: le linee guida lo confermano (paragrafi 158 e 159): quando una famiglia di prodotti condivide la stessa architettura, la stessa progettazione rilevante per la sicurezza e lo stesso profilo di esposizione ai rischi, il produttore può appoggiarsi a una sola valutazione del rischio.
Famiglie di prodotto nel Cyber Resilience Act: quando basta una sola valutazione
Questa logica è ragionevole, perché non ha senso trattare ogni colore di un router come un prodotto distinto ai fini della conformità alla sicurezza, se le proprietà di sicurezza sono identiche. Il regolamento riconosce questa ovvietà e la traduce in una regola operativa.
Quando le varianti di una stessa famiglia condividono l’architettura, la progettazione rilevante per la sicurezza e l’esposizione ai rischi, il produttore può usare una sola valutazione del rischio (articolo 13, 2, del CRA): può documentare il prodotto con un unico fascicolo tecnico; può completare una sola procedura di valutazione della conformità e può emettere un’unica dichiarazione di conformità UE per l’intero gruppo, a condizione che identifichi chiaramente le varianti a cui si applica.
Per un produttore con decine di varianti commerciali di uno stesso dispositivo, questo alleggerisce in misura significativa il carico di conformità. Tuttavia, la condizione per questa semplificazione non è la somiglianza commerciale, ma l’identità delle proprietà di sicurezza informatica.
Varianti di prodotto e sicurezza informatica: cosa conta davvero
Il paragrafo 160 delle linee guida chiarisce qual è il fattore decisivo: non la scala della differenza tra le varianti, ma la sua direzione tecnica.
Differenze irrilevanti e differenze decisive
Le varianti che non influiscono sulle proprietà di sicurezza informatica del prodotto non richiedono valutazioni separate. Il produttore che commercializza lo stesso router in cinque colori, in tre dimensioni di involucro e in due capacità di memoria non ha un problema. Queste differenze sono irrilevanti per la sicurezza.
Le varianti che differiscono in modi che influiscono sull’esposizione alle minacce o sull’implementazione dei requisiti essenziali di sicurezza sono un’altra questione.
Le linee guida citano a titolo di esempio le interfacce di comunicazione diverse, diversi stack software, diversi meccanismi di aggiornamento, diversa connettività remota. In questi casi, le differenze devono riflettersi nella valutazione del rischio e, dove necessario, nella valutazione della conformità e nella documentazione tecnica.
Un prodotto con un firmware diverso non è la stessa variante ai fini della sicurezza, anche se occupa esattamente la stessa confezione.
Router identici, rischi diversi: l’esempio delle varianti CB-1000
Immaginiamo un produttore, Connect Base, che vende il router CB-1000 in due versioni. Lo chassis e il circuito stampato sono identici, ma il “cuore” del dispositivo cambia:
- versione domestica (CB-1000H): gestione cloud, aggiornamenti automatici, connettività standard
- versione professionale (CB-1000P): supporto VLAN, gestione VPN, interfaccia locale esposta e aggiornamenti manuali.
Nonostante la confezione esterna sia la stessa, queste differenze tecniche (software, modalità di aggiornamento, connettività) creano profili di rischio diversi. La versione professionale, ad esempio, aumenta la superficie di attacco. Di conseguenza, Connect Base non può usare un’unica valutazione del rischio per entrambi i modelli.
Quando le varianti differiscono per interfacce di comunicazione, stack software o meccanismi di aggiornamento, quelle differenze devono riflettersi nella valutazione del rischio: ConnectBase non può usare una sola valutazione del rischio per CB-1000H e CB-1000P.
Firmware, radio e profili di rischio distinti
Aggiungere una terza variante complica ulteriormente il quadro: la versione europea CB-1000E include un modulo radio con bande di frequenza non presenti nella variante nordamericana. Lo chassis è identico, ma la diversa interfaccia di comunicazione radio modifica il profilo di rischio: diversi scenari di intercettazione, diversi requisiti di cifratura del canale wireless, diversi possibili vettori di attacco via radio. Anche questa variante richiede una valutazione propria.
ConnectBase ha tre prodotti che condividono la confezione ma richiedono valutazioni separate.
Cyber Resilience Act, documentazione e conformità quando cambia il rischio
Le linee guida della CE (paragrafo 159) indicano che la valutazione del rischio condivisa, la documentazione tecnica condivisa, la procedura di valutazione della conformità condivisa e la dichiarazione di conformità UE condivisa sono tutte condizionate allo stesso criterio. Le varianti non devono differire nelle proprietà di sicurezza informatica: quando questa condizione non è applicabile per la valutazione del rischio, non lo è per nessuno degli altri strumenti.
La variante con firmware diverso non impone solo
- una nuova valutazione del rischio, ma impone anche
- una documentazione tecnica separata, che deve descrivere il profilo di rischio specifico di quella variante, le misure di mitigazione adottate e la loro corrispondenza con i requisiti essenziali dell’Allegato I del CRA. Impone
- una procedura di valutazione della conformità separata e impone
- o una dichiarazione di conformità UE separata, o una dichiarazione comune che identifichi esplicitamente e completamente le varianti coperte con le rispettive caratteristiche di sicurezza.
I fabbricanti, inoltre, rimangono responsabili di garantire che la valutazione del rischio e la documentazione riflettano accuratamente i prodotti immessi sul mercato. Quando una nuova variante introduce nuovi rischi o modifica le modalità di implementazione dei requisiti essenziali, le valutazioni e la documentazione esistenti devono essere aggiornate prima del lancio.
Cataloghi esistenti e governance delle varianti di prodotto
Il problema non riguarda solo i prodotti futuri. Riguarda le linee di prodotto già esistenti.
Un produttore che ha definito la propria governance della conformità attorno a famiglie commerciali deve molto probabilmente rivedere la propria struttura in relazione a famiglie definite dalle proprietà di sicurezza.
Probabilmente partendo dall’inventario delle varianti: per ognuna è necessario determinare se le differenze rispetto alle altre riguardano proprietà irrilevanti per la sicurezza (come colore, involucro o capacità di memoria), oppure proprietà rilevanti, come firmware, interfacce, meccanismi di aggiornamento o connettività: quelle che differiscono in modo rilevante richiedono valutazione del rischio, documentazione tecnica e procedura di conformità separati.
Nota bene: le linee guida citate sono ancora in bozza. Il testo definitivo potrebbe aggiungere dettagli, ma il principio resta chiaro: la condivisione della valutazione tra varianti dipende esclusivamente dalle proprietà di sicurezza, non dal design o dalla commercializzazione.










Partecipa alla community