EU Cyber Resilience Act: cosa significa per la sicurezza hardware

Il Cyber Resilience Act, Regolamento (UE) 2024/2847 [1], è la prima legislazione orizzontale dell'UE che impone requisiti di cybersecurity obbligatori per i prodotti con elementi digitali lungo tutto il loro ciclo di vita. Si applica a fabbricanti, importatori e distributori che immettono tali prodotti sul mercato dell'Unione, indipendentemente dal loro stabilimento. L'ambito è deliberatamente ampio: qualsiasi prodotto dotato di software, firmware o componenti di rete, dai controllori industriali ai wearable consumer, rientra nello scope salvo esclusione esplicita [2].

L'architettura giuridica segue lo schema familiare alla Radio Equipment Directive e al Regolamento Macchine: requisiti essenziali in Allegato I, procedure di valutazione di conformità, marcatura CE e un regime di sorveglianza del mercato sostenuto da sanzioni fino a 15 milioni di euro o al 2,5% del fatturato annuo globale, secondo il valore più alto [3]. La novità strutturale è l'aggiunta di un regime obbligatorio di gestione e disclosure delle vulnerabilità che si estende per tutto il periodo di supporto.

L'Allegato I, Parte I elenca i requisiti di cybersecurity che ogni prodotto in scope deve soddisfare al momento dell'immissione sul mercato. Obblighi chiave includono: configurazione secure-by-default, protezione contro l'accesso non autorizzato mediante autenticazione e controllo degli accessi adeguati, protezione della riservatezza e integrità dei dati memorizzati e trasmessi, minimizzazione della superficie d'attacco, mitigazione dell'impatto degli incidenti tramite design resiliente e fornitura di meccanismi di aggiornamento di sicurezza [1].

L'Allegato I, Parte II disciplina il processo di gestione delle vulnerabilità lungo il periodo di supporto. I fabbricanti devono identificare e documentare i componenti e le vulnerabilità dei propri prodotti tramite una software bill of materials, affrontare le vulnerabilità senza ritardo attraverso aggiornamenti di sicurezza gratuiti, divulgare pubblicamente informazioni sulle vulnerabilità risolte una volta disponibile la patch e gestire una policy di coordinated vulnerability disclosure. Si tratta di obblighi continuativi, non di verifiche puntuali [1].

Per i vendor hardware, l'implicazione pratica è che l'infrastruttura di firmware update, il toolchain SBOM e la policy CVD sono ora asset regolamentati, non opzionale igiene ingegneristica. Un prodotto non può essere immesso sul mercato senza di essi e la valutazione di conformità le esaminerà.

L'Allegato III classifica un sottoinsieme di prodotti come importanti (Classe I e Classe II) e l'Allegato IV identifica i prodotti critici. La classificazione determina la via di valutazione di conformità. I prodotti predefiniti possono auto-valutarsi. I prodotti importanti di Classe I richiedono o l'applicazione di una norma armonizzata o una valutazione di terza parte. I prodotti importanti di Classe II richiedono una valutazione di terza parte da parte di un organismo notificato. I prodotti critici richiedono una certificazione europea di cybersecurity sotto il framework istituito dal Regolamento (UE) 2019/881 [1][7].

Per il dominio della sicurezza hardware, le voci rilevanti di Classe II includono dispositivi hardware con security box, lettori di smart card con funzioni di sicurezza, microprocessori con funzioni security-related destinati a soggetti essenziali ai sensi della NIS2 [4] e microcontrollori hardware con funzioni security-related. Un dispositivo come una chiave hardware post-quantistica o un endpoint sovrano di comunicazione sicura rientra pienamente in questo regime. Lo status di prodotto critico, ove designato da atto delegato della Commissione per i root of trust hardware a più alto rischio, impone certificazione UE di cybersecurity obbligatoria al livello di assurance fissato nell'atto delegato.

L'Articolo 14 introduce obblighi di reporting su incidenti e vulnerabilità più stringenti della maggior parte dei regimi esistenti. Le vulnerabilità attivamente sfruttate devono essere notificate a ENISA [5] e al CSIRT competente entro 24 ore dalla conoscenza con un early warning, seguito da una notifica più completa entro 72 ore e un rapporto finale entro 14 giorni. Gli incidenti gravi che impattano la sicurezza del prodotto devono essere segnalati sulla stessa tempistica [1].

Operativamente, ciò significa che il fabbricante deve disporre di una pipeline interna di triage e notifica in grado di produrre un rapporto strutturato a un regolatore entro poche ore da un evento di sicurezza. Per un vendor piccolo o di media dimensione, si tratta di un requisito organizzativo significativo, non di un problema di tooling. Il CRA contempla esplicitamente che la conformità a questo articolo richieda una funzione di security operations con ruoli e percorsi di escalation definiti, del tipo di maturità tipicamente formalizzata sotto ISO/IEC 27001 [8].

Il Regolamento è entrato in vigore alla fine del 2024 [3]. Gli obblighi di reporting dell'Articolo 14 si applicano dall'11 settembre 2026. L'insieme completo degli obblighi, inclusa la valutazione di conformità e la marcatura CE, si applica dall'11 dicembre 2027. Non vi è alcun periodo di grazia per i prodotti immessi sul mercato dopo tale data [1].

Per un vendor hardware con un ciclo di sviluppo di 12-24 mesi, l'orizzonte pratico è ora. Un prodotto che entra in serie di sviluppo nel 2026 deve raggiungere il mercato con una postura di sicurezza CRA-compliant, fascicolo di valutazione di conformità e infrastruttura di gestione delle vulnerabilità. Il retrofit non è realistico per i requisiti strutturali come secure update, copertura SBOM e gli elementi architetturali che supportano l'operatività resiliente [6].

Per i vendor di prodotti di sicurezza hardware che vendono nell'UE, il CRA non è un esercizio documentale. È un regime di assurance regolamentato con coinvolgimento di organismo notificato per qualunque funzione di sicurezza non banale, obblighi continuativi durante il periodo di supporto e sanzioni calibrate per garantire che la compliance sia meno costosa della non-compliance. Lo tratti come tratterebbe il Regolamento sui Dispositivi Medici o la Radio Equipment Directive: un input strutturale di progetto, non un audit dell'ultimo miglio.

Concretamente: identificare oggi la classificazione Allegato III del proprio prodotto; ingaggiare un organismo notificato per i prodotti di Classe II almeno 12 mesi prima dell'ingresso pianificato sul mercato; integrare l'infrastruttura SBOM e CVD nel proprio processo ingegneristico anziché aggiungerla in seguito; allineare meccanismo di aggiornamento firmware, threat model e runbook di incident response all'Allegato I prima del tape-out, non dopo.

Per gli acquirenti di prodotti di sicurezza hardware, il CRA è una potente leva di procurement. Da dicembre 2027, la marcatura CE su un prodotto in scope è una dichiarazione vincolante di conformità ai requisiti essenziali di cybersecurity. Il fascicolo di valutazione di conformità, la SBOM e la policy CVD sono documenti che Lei ha diritto di esigere. La presenza di una postura regolatoria solida è ora un fattore discriminante fra vendor seri e gli altri [1][2][3].