Il CRA (Cyber Resilience Act) è la normativa europea che rende obbligatoria la sicurezza dei prodotti digitali e IoT immessi sul mercato UE. Ignorarlo significa esporsi a sanzioni e blocchi alla commercializzazione.Con SparkFabrik puoi integrare i requisiti CRA nel ciclo di vita dei tuoi prodotti (dall’architettura alle pipeline DevSecOps) riducendo i rischi e rafforzando qualità e fiducia del mercato.
Il Cyber Resilience Act (CRA) è il regolamento europeo che introduce requisiti obbligatori di cybersicurezza per i prodotti con elementi digitali: software, dispositivi connessi, prodotti IoT e piattaforme.L’obiettivo è ridurre le vulnerabilità nei prodotti immessi sul mercato UE e rendere la sicurezza un requisito necessario per ottenere il marchio CE.
Riguarderà anche te?
Offri esclusivamente servizi non digitali, senza prodotti software o hardware associati.
Sviluppi software interno che non viene venduto, concesso in licenza o distribuito come prodotto a clienti o partner.
I tuoi prodotti digitali sono già pienamente coperti da normative settoriali con requisiti di sicurezza equivalenti o più stringenti (es. dispositivi medici o veicoli).
Produci o vendi prodotti digitali (software, dispositivi connessi, prodotti IoT) nel mercato dell'Unione Europea.
Offri piattaforme o applicazioni SaaS a clienti europei.
Fornisci componenti software (librerie, SDK, moduli, firmware) che vengono integrati in prodotti digitali destinati ai tuoi clienti.
Per essere in regola, i prodotti con elementi digitali devono rispettare i requisiti di sicurezza del CRA lungo tutto il loro ciclo di vita: progettazione, sviluppo, rilascio, aggiornamenti e gestione delle vulnerabilità.Non basta più un controllo finale o un audit una tantum: il regolamento richiede processi continui di cybersecurity by design e by default, con responsabilità chiare per produttori, importatori e distributori.
Puoi parlarne con noiIl CRA riguarda produttori di software, hardware, dispositivi connessi e SaaS, importatori che introducono nel mercato UE prodotti digitali realizzati in Paesi terzi, distributori che li mettono in commercio e fornitori di componenti (librerie, SDK, firmware, moduli). La responsabilità della sicurezza ricade su chi rende il prodotto disponibile nel mercato europeo.
Il regolamento richiede processi strutturati di gestione delle vulnerabilità, con valutazione dei rischi, test di sicurezza periodici e risposta rapida agli exploit. Impone aggiornamenti di sicurezza per un periodo minimo dichiarato e la protezione delle funzioni e dei dati essenziali del prodotto.
11 giugno 2026: operative le disposizioni sugli organismi di valutazione della conformità. 11 settembre 2026: obbligo di notifica vulnerabilità sfruttate e incidenti. 11 dicembre 2027: tutti i requisiti del CRA obbligatori per i nuovi prodotti.
SparkFabrik ti supporta nella valutazione dei prodotti e delle architetture rispetto ai requisiti del CRA, nell'integrazione di pratiche DevSecOps e Secure SDLC nelle pipeline esistenti, nell'adeguamento di soluzioni non progettate in ottica security-by-design e nell'impostazione di processi continui di sicurezza.
Ti supportiamo in tutto il percorso tecnico di adeguamento al Cyber Resilience Act: dalla valutazione iniziale all'implementazione, fino alla governance continua della sicurezza.
Partiamo sempre da una comprensione chiara del tuo contesto. L'obiettivo è definire una roadmap di adeguamento al CRA concreta e priorizzata, che tenga conto sia dei requisiti normativi sia dei vincoli di business e di time-to-market.
Inizia da qui →Prodotti digitali: Mappiamo i tuoi prodotti con elementi digitali e le relative componenti software e hardware.
Software supply chain: Analizziamo dipendenze, librerie open source e servizi esterni.
Processi attuali: Valutiamo i processi di sviluppo, rilascio e gestione delle vulnerabilità già in essere.
Il talk di Paolo Mainardi sulla sicurezza della software supply chain e l'uso consapevole dell'open source.
Il Cyber Resilience Act si inserisce in un quadro più ampio: la sicurezza dei prodotti digitali passa sempre di più dalla sicurezza della software supply chain e dall’uso consapevole dell’open source.
Il nostro CTO, Paolo Mainardi, lavora da anni su questi temi. Nel talk approfondisce lo stato attuale della software supply chain, i principali incidenti globali (SolarWinds, Log4Shell, Codecov), le vulnerabilità dell'ecosistema open source e le mitigazioni possibili con strumenti come Sigstore, Syft e Grype per firme digitali, generazione di SBOM e scansione automatica delle vulnerabilità.
Il CRA nasce per rispondere a due problemi principali: il basso livello di sicurezza di molti prodotti digitali (vulnerabilità diffuse, aggiornamenti di sicurezza assenti o incoerenti) e la scarsa informazione a disposizione di utenti e aziende per valutare la sicurezza dei prodotti che acquistano. In un contesto in cui un singolo dispositivo compromesso può propagare un attacco a un'intera organizzazione o supply chain, l'UE ha scelto di introdurre requisiti minimi comuni, validi per tutto il mercato interno.
Devono adeguarsi al CRA produttori, importatori e distributori di prodotti con elementi digitali immessi sul mercato dell'Unione Europea. In generale rientrano nel perimetro: chi vende software come prodotto o servizio (inclusi molti modelli SaaS), chi realizza dispositivi connessi o IoT e chi fornisce componenti software o hardware integrabili da terzi. Il CRA si applica sia a contesti B2B sia B2C. Anche le PMI sono coinvolte, pur potendo beneficiare di strumenti di supporto e procedure semplificate previste dal regolamento.
Alcuni prodotti con elementi digitali sono esclusi perché già regolati da normative settoriali più specifiche o stringenti, ad esempio: determinati dispositivi medici regolamentati da norme dedicate, prodotti per il settore automotive, equipaggiamenti per aviazione o ambito marittimo, prodotti sviluppati esclusivamente per difesa o sicurezza nazionale, pezzi di ricambio identici a componenti già conformi. Per questo è importante analizzare con attenzione il proprio catalogo, valutando sia le categorie di prodotto sia le normative già applicabili nel settore.
Il CRA introduce un regime sanzionatorio significativo. Le violazioni più gravi possono comportare sanzioni fino a milioni di euro o a una percentuale del fatturato globale annuo dell'operatore economico. Le autorità nazionali possono inoltre imporre misure correttive come: ritiro o richiamo di prodotti non conformi, divieto di immissione sul mercato, obbligo di notificare vulnerabilità sfruttate o incidenti di sicurezza entro tempi molto stretti.
Il CRA si applica ai prodotti con elementi digitali immessi sul mercato dopo le scadenze previste dal regolamento. Tuttavia, se continui a vendere o aggiornare prodotti esistenti oltre tali date, dovrai comunque considerare la loro conformità. La differenza è tra prodotti legacy ormai fuori dal mercato e prodotti ancora attivamente commercializzati o supportati. Per questo, se hai prodotti legacy ancora in vendita o manutenzione, conviene valutare per tempo se e come portarli a un livello di sicurezza compatibile con il CRA.
Sì, in molti casi. Il CRA non riguarda solo hardware o dispositivi fisici: numerosi servizi SaaS e piattaforme cloud rientrano nel perimetro quando sono offerti come prodotti con elementi digitali sul mercato UE. È necessario valutare il modello di business (licenza, abbonamento, servizio gestito), la modalità con cui il prodotto è reso disponibile agli utenti e il tipo di connessione ai sistemi del cliente. L'analisi del modello di erogazione e del perimetro tecnico è un passaggio chiave per capire se e come il CRA si applica alle tue soluzioni cloud.
Significa integrare la cybersicurezza in tutte le fasi del ciclo di vita del prodotto: analisi del rischio e definizione dei requisiti di sicurezza già in fase di design, sviluppo sicuro con controlli automatizzati (code review, static/dynamic analysis, dependency scanning), gestione delle vulnerabilità lungo tutta la vita del prodotto, pianificazione di aggiornamenti di sicurezza e dell'assistenza minima garantita, monitoraggio in esercizio per rilevare e gestire incidenti. In pratica, si tratta di adottare un vero Secure SDLC supportato da pratiche DevSecOps.
Il CRA non vieta l'utilizzo di componenti di terzi o software open source, ma richiede che vengano gestiti in modo consapevole. Questo implica: avere un inventario aggiornato delle dipendenze (SBOM), monitorare le vulnerabilità note dei componenti utilizzati, definire politiche chiare di aggiornamento, sostituzione e deprecazione, valutare l'impatto dei componenti sull'intera architettura di sicurezza del prodotto. La supply chain software diventa parte integrante della valutazione di conformità.
Il panorama normativo europeo sulla sicurezza sta evolvendo su più fronti: il CRA si concentra sulla sicurezza dei prodotti con elementi digitali (hardware e software), la direttiva NIS2 mira alla resilienza di operatori, infrastrutture e servizi essenziali, l'AI Act regola i sistemi di intelligenza artificiale (in particolare quelli ad alto rischio) per garantire sicurezza e tutela dei diritti fondamentali. Molte organizzazioni potrebbero essere soggette a più di una di queste normative. Vederle come complementari è fondamentale per costruire una strategia di sicurezza coerente lungo tutta la supply chain.
Dal 11 dicembre 2027 i tuoi prodotti dovranno rispettare i requisiti del Cyber Resilience Act.
Parla con un nostro esperto e scopri come adeguarti in tempo.
Il nuovo regolamento europeo sulla cyber resilience: impatti su imprese, filiera software e sovranità digitale, tra obblighi di sicurezza e opportunità competitive.
Un'introduzione pratica alla security della software supply chain: dai modelli di attacco agli strumenti (come GUAC) per tracciare componenti e dipendenze.
Una guida essenziale per mettere in sicurezza ambienti Cloud Native: architetture, pipeline, runtime e best practice per proteggere l'intero ciclo di vita delle applicazioni.
Scopri come proteggere applicazioni e codice sorgente con principi, controlli e best practice di sicurezza, anche in ambienti Cloud Native e Open Source.
