Come applicare al meglio il Cyber Resilient Act – CRA

Come applicare al meglio il Cyber Resilient Act – CRA

La Commissione Europea ha approvato una linea guida per l’applicazione del regolamento 2024/2847 afferente alla sicurezza informatica. È una preziosa linea guida che tutti i lettori, interessati a questo tema, dovranno costantemente tenere sottocchio.

Offriamo ai lettori la prima traccia di un prezioso documento, che li aiuterà ad applicare al meglio il Cyber Resilient Act – CRA- della Unione Europea, il regolamento UE 2024/2847 che stabilisce requisiti di cybersicurezza per tutti i prodotti con elementi digitali (hardware e software) venduti nel mercato europeo.

L’articolo 26, comma 1 del CRA richiede che la commissione pubblichi una linea guida per aiutare gli operatori economici nell’applicazione del regolamento, con particolare attenzione alle esigenze delle aziende medie, piccole e piccolissime. Il successivo comma dello stesso articolo indica quali devono essere i contenuti di questo documento, che andiamo adesso a illustrare ai lettori.

Il documento comincia a prestare la sua attenzione al software liberamente accessibile, perché chi lo vuole utilizzare possa verificare se esiste un soggetto responsabile del contenuto di questi applicativi.

Nel caso invece l’applicativo debba essere comperato, occorre verificare quali sono le garanzie che vengono offerte da chi vende l’applicativo stesso.

Successivamente vengono prese in esame le modalità con cui l’applicativo può essere aggiornato o può essere soggetto a significative modifiche. Un aspetto di particolare importanza riguarda la durata del periodo di supporto, che viene garantito dal fornitore.

Tutti coloro che offrono questi applicativi sul mercato devono sviluppare un’analisi di rischio, riferita in modo particolare alla cybersecurity, in modo da offrire ai propri clienti una soddisfacente garanzia, in merito alla resistenza dell’applicativo a possibili attacchi.

A questo punto il documento comincia ad analizzare i rischi legati ad un trattamento di dati a distanza e in questo caso, dopo aver dato alcune definizioni, stabilisce che cosa significhi questa attività e quali possano essere i rischi specifichi collegati all’uso.

Un altro paragrafo prende in considerazione gli applicativi che vengono usati in ambito bancario, nella lettura elettronica di testi, nei robot industriali e nelle reti cellulari.

Infine, facendo riferimento all’articolo 69 comma 1, si dichiara che i certificati di approvazione degli applicativi, secondo gli schemi europei già emessi, possono rimanere in vigore fino all’11 giugno 2028, a meno che non decadano prima di questa data, e successivamente devono essere aggiornati.

Un aspetto interessante di questo documento è legato al fatto che un acquirente di un applicativo può chiedere, nel contratto di acquisto, la garanzia scritta che tale applicativo sia stato verificato, in termini di resistenza ad attacchi informatici, secondo questa linea guida.

European Commission - Communication to the Commission - Approval of the content of the draft Communication from the Commission - Commission guidance on the application of Regulation (EU) 2024/2847 (Cyber Resilience Act) – 3 marzo 2026.

Adalberto Biasiotti

Licenza Creative Commons