Cyber Resilience Act: la marcatura CE arriva alla cybersicurezza, e il primo banco di prova è già a settembre 2026

Il firewall che protegge la rete, la telecamera IP all’ingresso, il gestionale in cloud, il firmware del centralino telefonico: sono tutti “prodotti con elementi digitali”, e fino a oggi nessuna legge europea imponeva che fossero sicuri al momento della vendita. La sicurezza era un argomento da scheda commerciale, non un requisito. Con il Cyber Resilience Act questo cambia: per la prima volta l’Unione europea fissa requisiti minimi obbligatori sui prodotti stessi, e il primo banco di prova non è lontano — arriva a settembre 2026.

Dalla sicurezza “di processo” a quella “di prodotto”

Il Cyber Resilience Act (regolamento UE 2024/2847, in vigore dal 10 dicembre 2024) sposta il baricentro: non disciplina come un’organizzazione si difende, ma come devono essere fatti i prodotti digitali immessi sul mercato europeo. È una distinzione che conta. Le normative degli ultimi anni — a partire dalla NIS2 — hanno chiesto alle aziende di mettere ordine nei propri processi: gestione del rischio, governance, risposta agli incidenti. Il CRA aggiunge il tassello mancante: anche gli strumenti che quelle aziende comprano e usano dovranno nascere sicuri.

In concreto, i fabbricanti dovranno progettare i prodotti secondo il principio del secure by design, gestire le vulnerabilità per tutto il ciclo di vita, rilasciare aggiornamenti di sicurezza per almeno cinque anni (o per la durata d’uso prevista) e mantenere un SBOM, la distinta dei componenti software che compongono il prodotto. L’elemento più visibile, però, sarà un altro: la marcatura CE estesa alla cybersicurezza. Lo stesso bollino che oggi attesta che un apparecchio è elettricamente sicuro dovrà certificare che un prodotto digitale rispetta requisiti minimi di sicurezza informatica.

Il perimetro è ampio: si applica a fabbricanti, importatori e distributori di qualunque prodotto con elementi digitali, hardware o software. E le sanzioni non sono simboliche: fino a 15 milioni di euro o il 2,5% del fatturato mondiale annuo per la violazione dei requisiti essenziali.

Le scadenze che contano davvero

Il 2027 sembra lontano, ma le date operative sono molto più vicine — ed è qui l’errore di prospettiva da evitare. Il calendario procede per tappe:

• 11 giugno 2026 — diventa operativo il capitolo sugli organismi di valutazione della conformità: gli enti che certificheranno i prodotti delle categorie più critiche devono essere ufficialmente notificati. Senza di loro, la filiera della certificazione non parte.
• 11 settembre 2026 — scattano gli obblighi di notifica. I fabbricanti dovranno segnalare le vulnerabilità attivamente sfruttate e gli incidenti gravi con tempi stringenti: un early warning entro 24 ore, una notifica completa entro 72 ore e una relazione finale entro 14 giorni, attraverso una piattaforma europea unica che inoltra ai CSIRT nazionali.
• 11 dicembre 2027 — applicazione piena: da quel momento un prodotto digitale senza marcatura CE per la cybersicurezza non potrà essere immesso sul mercato europeo.

Chi conosce la NIS2 riconoscerà la cadenza 24/72 ore: è la stessa logica di notifica rapida degli incidenti, ora applicata anche ai prodotti. Non è un caso. Le due normative sono pensate per chiudere il cerchio.

Non riguarda solo chi “fa software”

È l’equivoco più comune: «non produco software, quindi non mi tocca». In realtà il CRA ridisegna anche il lavoro di chi i prodotti digitali li compra e li integra, e cioè di quasi ogni azienda strutturata.

Primo, gli acquisti. Dal 2027 la marcatura CE diventa uno strumento di selezione: poter pretendere garanzie di sicurezza dal fornitore, e doverle verificare, trasforma il procurement IT in una disciplina, non in un confronto di listini. Secondo, la supply chain: un’azienda che assembla soluzioni, sviluppa firmware o personalizza software per i propri clienti può ritrovarsi, su quei componenti, nel ruolo di fabbricante. Terzo, la gestione delle vulnerabilità: la macchina di notifica entro 24 e 72 ore funziona solo se qualcuno sorveglia davvero, ogni giorno, cosa accade sui sistemi.

Per anni la sicurezza di un prodotto digitale è dipesa dalla buona volontà di chi lo costruiva. Dal 2026 diventa un obbligo con una scadenza e una sanzione — e questo cambia anche il modo in cui le aziende comprano e gestiscono la tecnologia.

Il nostro punto di vista

Il CRA va letto insieme alla direttiva NIS2, non come una pratica separata: la NIS2 chiede a un’organizzazione di gestire il rischio, il CRA chiede che gli strumenti con cui lo gestisce siano sicuri all’origine. Per un’azienda enterprise il messaggio pratico è uno: la sicurezza non è più una proprietà che si verifica una volta, ma una condizione da mantenere per tutto il ciclo di vita di ogni prodotto in esercizio.

È esattamente il terreno su cui lavoriamo. La gestione delle vulnerabilità e degli aggiornamenti — sapere quali componenti girano sui sistemi, con quali falle note, e applicare le patch prima che diventino un incidente — è la traduzione operativa di ciò che il CRA chiede ai fabbricanti, calata su chi quei prodotti li ha in produzione. E la cadenza di notifica entro 24 e 72 ore non è sostenibile senza un presidio continuo: è la ragione per cui un SOC non è un lusso, ma l’infrastruttura che rende possibile rispettare quelle tempistiche.

La marcatura CE per la cybersicurezza arriverà nel 2027. Ma la disciplina che presuppone — inventario, monitoraggio, risposta — conviene costruirla adesso: è ciò che separa chi subirà le scadenze da chi le avrà già anticipate.