C'è un impianto di tintura in un'azienda tessile biellese. È collegato in rete per il monitoraggio remoto delle temperature, per il controllo dei consumi energetici, per la manutenzione predittiva. È un esempio di Industria 4.0 ben riuscito. Ma da settembre 2026, chi ha prodotto quell'impianto e chi lo utilizza dovranno rispettare obblighi nuovi e chi non li conosce ancora rischia di trovarsi impreparato.
Si chiama Cyber Resilience Act (CRA, Regolamento UE 2024/2847) ed è la norma europea più ambiziosa mai scritta sulla sicurezza dei prodotti digitali. Non riguarda solo le software house o i giganti tecnologici. Riguarda chiunque produca, importi o distribuisca qualsiasi dispositivo o sistema con una componente digitale connessa. Macchinari industriali, sistemi di controllo, sensori IoT, software gestionale, firmware per dispositivi embedded: se c'è un microprocessore connesso, il CRA si applica.
L'obiettivo è chiaro: porre fine all'era dei prodotti digitali "sicuri quanto basta per essere venduti" e imporre uno standard minimo di cybersicurezza obbligatorio in tutto il mercato europeo. Un po' come il marchio CE ha standardizzato la sicurezza fisica dei prodotti, il CRA fa lo stesso per la sicurezza informatica. Ma con implicazioni operative molto più profonde.
Cosa dice esattamente la norma
Il CRA introduce un principio che chi segue questa rubrica già conosce bene: il Security by Design. La sicurezza non può essere aggiunta a posteriori, come una vernice su un prodotto già finito. Deve essere progettata dentro il prodotto dall'inizio, mantenuta durante tutto il suo ciclo di vita e garantita anche dopo la vendita.
In pratica, i produttori devono:
• Progettare con sicurezza integrata: identificare e mitigare i rischi cyber già nella fase di design, adottare configurazioni sicure di default, ridurre al minimo la superficie di attacco.
• Eliminare le vulnerabilità note: non immettere sul mercato prodotti con vulnerabilità già note e non corrette. Sembra ovvio, eppure oggi non è obbligatorio.
• Garantire aggiornamenti di sicurezza: per tutta la vita attesa del prodotto (con un minimo di 5 anni), il produttore deve fornire patch e aggiornamenti tempestivi per le vulnerabilità scoperte.
• Notificare le vulnerabilità sfruttate: dal 10 settembre 2026, obbligo di segnalare alle autorità (ENISA e CSIRT nazionale) le vulnerabilità attivamente sfruttate e gli incidenti significativi entro 24 ore dalla scoperta.
• Fornire documentazione tecnica: una "distinta base del software" (SBOM - Software Bill of Materials) che elenchi tutti i componenti del prodotto, incluse le librerie open source, per permettere la tracciabilità delle vulnerabilità.
Chi è coinvolto: più aziende di quante si pensi
La prima reazione di molti imprenditori è: «Non siamo una software house, non ci riguarda.» È un errore che vale la pena correggere subito.
Il CRA si applica a qualsiasi prodotto con elementi digitali (hardware o software) che venga messo a disposizione sul mercato europeo e che preveda una connessione dati, diretta o indiretta. L'elenco è più lungo di quanto si immagini:
• Macchine industriali connesse: impianti di produzione, macchine a controllo numerico, sistemi SCADA, robot industriali con interfaccia di rete o connettività remota.
• Dispositivi IoT industriali: sensori di temperatura, pressione, umidità; misuratori di energia; sistemi di monitoraggio ambientale collegati a una rete.
• Sistemi di controllo degli edifici: centraline HVAC connesse, sistemi antincendio con monitoraggio remoto, controllo accessi digitale.
• Software gestionale e ERP: se vendete o distribuite software a terzi, siete produttori ai sensi del CRA.
• Prodotti consumer connessi: qualsiasi dispositivo venduto ai consumatori con connettività: da un termostato smart a un sistema di allarme, da uno smartwatch industriale a un router.
La norma prevede tre categorie di prodotti con livelli crescenti di requisiti: prodotti standard (la maggioranza), prodotti critici di Classe I (richiedono audit da parte dell'azienda stessa) e prodotti critici di Classe II (richiedono certificazione da un organismo terzo indipendente). In Classe II rientrano, ad esempio, sistemi operativi industriali, hypervisor, firewall, router industriali e sistemi di controllo di infrastrutture critiche.
Il nodo che cambia tutto: il ciclo di vita del prodotto
Qui sta la vera rivoluzione concettuale del CRA, e vale la pena fermarsi un momento.
Fino ad oggi, la logica dominante era: produco il macchinario, lo vendo, il cliente lo usa. Se dopo qualche anno emerge una vulnerabilità informatica nel firmware, non è affar mio; l'ho già venduto. Il CRA demolisce questa logica. Il produttore è responsabile della sicurezza del prodotto per tutta la sua vita utile, con un minimo garantito di 5 anni.
Questo significa che se vendete oggi un impianto con firmware che nel 2029 si scopre vulnerabile, dovete rilasciare una patch. Se non siete più in grado di farlo, perché avete chiuso quella linea di prodotto, perché avete cambiato fornitore del componente, perché non avete più le competenze, avete un problema legale ed economico.
Per molte PMI manifatturiere, questo richiederà un cambio di mentalità profondo: la sicurezza informatica non è un costo del progetto, ma un servizio continuativo nel tempo. Come la garanzia meccanica, ma per il software.
La SBOM: la distinta base del software che cambia i contratti
Uno dei requisiti più operativi (e meno conosciuti) del CRA è la SBOM, Software Bill of Materials: un documento che elenca tutti i componenti software contenuti in un prodotto, comprese le librerie open source di terze parti.
Il concetto è analogo alla distinta base di un prodotto meccanico: sapere esattamente da quali pezzi è composto, chi li ha prodotti, quale versione è montata. Quando emerge una vulnerabilità in una libreria, ad esempio la celeberrima Log4Shell del 2021, che ha colpito migliaia di prodotti in tutto il mondo, con una SBOM aggiornata si può immediatamente sapere quali prodotti ne sono affetti e intervenire.
La SBOM non è solo un obbligo tecnico: cambia la contrattualistica con i fornitori di componenti software. Chi compra software o librerie di terze parti dovrà includere nei contratti obblighi di notifica delle vulnerabilità, diritti di audit e clausole di responsabilità. Un impatto diretto sui rapporti commerciali.
Le sanzioni: fino al 2,5% del fatturato mondiale
Le conseguenze della non conformità sono significative. Il CRA prevede:
• Fino a 15 milioni di euro o 2,5% del fatturato annuo mondiale per la violazione dei requisiti essenziali di cybersicurezza; la sanzione più grave.
• Fino a 10 milioni di euro o 2% del fatturato per la violazione degli obblighi di notifica delle vulnerabilità.
• Fino a 5 milioni di euro o 1% del fatturato per aver fornito informazioni false o incomplete alle autorità.
• Ritiro del prodotto dal mercato: le autorità nazionali possono ordinare il ritiro o il blocco della vendita di prodotti non conformi.
Per una PMI con 10 milioni di fatturato, una sanzione del 2,5% significa 250.000 euro. Non abbastanza per chiudere l'azienda, ma abbastanza per generare una crisi di liquidità seria, senza contare i danni reputazionali e la perdita di contratti con clienti che richiedono la conformità come prerequisito.
Il collegamento con NIS2 e ISO 27001: un ecosistema normativo coerente
Chi segue questa rubrica sa già che la NIS2 impone obblighi di sicurezza alle organizzazioni che operano in settori critici. Il CRA è il suo complemento naturale: mentre NIS2 regola la sicurezza delle organizzazioni, il CRA regola la sicurezza dei prodotti. Insieme, costruiscono un ecosistema normativo coerente.
La buona notizia per chi ha già investito in ISO 27001 o nel NIST CSF 2.0: molti dei processi già implementati, gestione delle vulnerabilità, incident response, gestione dei fornitori, documentazione tecnica, sono direttamente riutilizzabili per la conformità al CRA. Non si riparte da zero: si estende e si adatta quanto già fatto.
Il framework di Secure Coding by Design (di cui abbiamo già parlato in questa rubrica) diventa il punto di partenza tecnico per chi sviluppa software o firmware. La sicurezza nel codice, progettata dall'inizio, è esattamente quello che il CRA richiede.
L'opportunità che si nasconde nell'obbligo
C'è un modo per leggere il CRA come un peso burocratico: l'ennesima norma europea che aumenta i costi e complica la vita alle imprese. Ma c'è un modo molto più strategico di interpretarlo.
Le aziende che arriveranno conformi al CRA prima dei concorrenti avranno un vantaggio competitivo misurabile sui mercati internazionali. I clienti tedeschi, francesi, nordici (che hanno familiare il concetto di sicurezza certificata) preferiscono fornitori che possono dimostrare la conformità del proprio prodotto. La marcatura CE estesa alla cybersicurezza diventerà un argomento di vendita, non solo un obbligo.
Nel distretto biellese, dove la manifattura di qualità è da sempre un'eccellenza riconosciuta, aggiungere la qualità digitale certificata ai propri prodotti è un'estensione naturale del posizionamento. Le macchine tessili biellesi sono affidabili meccanicamente: possono, devono, diventarlo anche informaticamente.
Il Cyber Resilience Act non è una minaccia per chi produce bene. È un'opportunità per distinguersi da chi produce male.
Per maggiori informazioni:
Sito web: www.seccomarco.com