EMB99

EMBEDDED 99 • FEBBRAIO • 2026 9 Cybersecurity | hardware Cybersecurity UE: timeline di RED e CRA In linea di principio, tutti gli obblighi del CRA si applicano dall’11 dicembre 2027, ma alcune disposizioni entreranno in vigore già dal 2025, coprendo sia gli aspetti hardware che software della cybersecurity (Fonte Seco) Requisiti del CRA Entrato in vigore il 10 dicembre 2024, il Cyber Resilien- ce Act [3] ha segnato una svolta normativa importante, introducendo nuove aspettative di cybersecurity per quasi tutti i prodotti digitali venduti nell’UE. Sebbene la maggior parte delle disposizioni del CRA si applichi a partire dall’11 dicembre 2027, alcune entre- ranno in vigore prima. Ad esempio, dall’11 settembre 2026, i produttori dovranno segnalare alle autorità eu- ropee, entro 24 ore, le vulnerabilità sfruttate attivamen- te e gli incidenti gravi. La normativa impone inoltre alle aziende di sviluppare prodotti basati sui principi SbD, gestendo le vulnerabilità durante l’intero ciclo di vita del prodotto, fornendo aggiornamenti di sicurezza tempestivi e mantenendo una documentazione tecnica completa, che includa anche una Software Bill of Ma- terials (Sbom). Il CRA rafforza inoltre in modo deciso gli sforzi di sicu- rezza informatica estendendo i suoi requisiti a tutta la catena di fornitura del prodotto, dai produttori agli im- portatori e ai distributori. Stabilendo la cybersecurity come responsabilità condivisa tra queste diverse parti, la normativa rende la conformità un requisito vinco- lante e, di conseguenza, un prerequisito essenziale per ottenere la marcatura CE, necessaria per l’immissione legale dei prodotti sul mercato europeo. Le sanzioni per la mancata conformità sono severe: a seconda della violazione, le aziende possono incorrere in multe fino a 15 milioni di euro o al 2,5% del fatturato globale annuo, a seconda di quale importo sia maggio- re. Sono previsti anche divieti di commercializzazione e richiami di prodotto. Tuttavia, una corretta imple- mentazione dei principi CRA porta a una maggiore fiducia dei clienti e a una riduzione dei rischi legali e reputazionali. Nel contesto del CRA, i prodotti vengono classifica- ti come “default”, “importanti” (classe I e classe II) o “critici” e devono superare rigorose valutazioni di con- formità. Le categorie includono dispositivi e software fondamentali per le infrastrutture moderne, come: rou- ter, modem e firewall; sistemi di controllo industriale e gateway IoT; sistemi operativi, hypervisor e container