I prodotti digitali connessi, che vanno dai router ai termostati, devono rispettare nuove regole sulla sicurezza informatica grazie al Cyber Resilience Act (Regolamento UE 2024/2847), entrato in vigore nel 2024. I produttori che operano nel mercato UE devono conformarsi a questo regolamento entro dicembre 2027.

Responsabilità irrinunciabile per il fabbricante

Una delle linee guida fondamentali emerse dalla bozza della Commissione Europea afferma che la responsabilità della sicurezza informatica non è delegabile. Il produttore è interamente responsabile di assicurare un livello adeguato di sicurezza, indipendentemente dai processi o dagli accordi con terzi (paragrafo 145).

Un altro punto cruciale è che l'obbligo di conformità non dipende dall'atteggiamento personale del produttore né da considerazioni di natura commerciale, ma esclusivamente dal rispetto dei requisiti essenziali stabiliti nel regolamento (paragrafi 141-143). Questo significa che il rischio residuo che un produttore giudiche accettabile non è sufficiente; deve essere affrontato in maniera conforme alle normative UE.

Due obblighi principali

Secondo il documento, due obblighi guida per i produttori emergono chiaramente (paragrafo 151):

Questi obblighi sono complementari: la valutazione del rischio serve a comprendere il livello complessivo di esposizione alle minacce, mentre la due diligence garantisce che ogni componente del prodotto soddisfi tale profilo.

Le famiglie di prodotti e le valutazioni condivise

Non è necessario effettuare un'analisi del rischio separata per ogni singolo prodotto di una famiglia, quando i vari esemplari condividono la stessa architettura, le stesse caratteristiche rilevanti per la sicurezza e lo stesso profilo di rischio (paragrafi 158 e 159). Questa logica ha senso, ad esempio, per il colore di un router, che non altera l'architettura di sicurezza complessiva.

Il regolamento consente ai produttori di effettuare un'unica valutazione di conformità per l’intera famiglia, a condizione che le proprietà di sicurezza di tutti gli elementi siano uguali (articolo 13, 2, CRA). In questo modo, se le varianti sono identiche per quanto riguarda la sicurezza informatica, il processo è semplificato e richiede una sola dichiarazione UE.

Differenze tecniche determinanti

Il fattore decisivo, tuttavia, non è la somiglianza commerciale, bensì l’identità delle proprietà di sicurezza informatica. Le linee guida ribadiscono con chiarezza che le differenze irrilevanti, come il colore, la dimensione fisica o la capacità di memoria, non influiscono su questa valutazione (paragrafo 160).

Nel momento in cui le varianti differiscono per interfacce di comunicazione o stack software, o modificano la strategia di aggiornamento del firmware o i modelli di connettività, il cambiamento influisce sull’esposizione complessiva alle minacce e altera l'implementazione dei requisiti essenziali. In tali casi, le valutazioni devono essere distinte.

Un esempio concreto

Immaginiamo un produttore, Connect Base, che commercializza due versioni di un router CB-1000:

Nonostante il design e la confezione siano identici, il “cuore” di questi prodotti introduce rischi differenti. La versione professionale ha un più ampio spettro di vulnerabilità, come un'area di attacco maggiore, che richiede un’analisi del rischio specifica.

Complicazioni con le nuove varianti

Alla complicazione si aggiunge una terza variante, il CB-1000E, con un modulo radio diverso rispetto a quelle commercializzate in Nord America. Anche se la struttura esterna non varia, i canali di comunicazione wireless, il livello di crittografia e le interazioni via radio differiscono, introducendo scenari di rischio distinti, e quindi una valutazione e una conformità separate.

Cioè, la versione europea necessita di una valutazione diversa a causa della diversa progettazione del modulo radio. Questo è un chiaro esempio del motivo per cui non si può parlare di una valutazione condivisa, se una variante introduce aspetti tecnici rilevanti alla sicurezza.

Revisione delle linee di prodotto esistenti

I produttori che hanno precedentemente organizzato la propria governance del mercato sulla base del design o della strategia commerciale potranno dover rivedere le proprie linee di prodotto, focalizzandosi invece sul criterio tecnico di identità di sicurezza.

Gli esistenti gruppi di prodotti commerciali dovranno essere suddivisi in base a una mappatura delle proprietà di sicurezza. Per ogni variante, il produttore deve domandarsi se le differenze rispetto alle altre siano irrilevanti (ad esempio, colore, dimensione fisica o capacità di memoria) o rilevanti (aggiornamenti di firmware, interfacce, stack software o moduli di comunicazione).

Le varianti che differiscono in modo rilevante richiederanno valutazioni separate, documentazione tecnica aggiornata e procedure di conformità individuali.

Rischi futuri e aggiornamenti richiesti

Le nuove varianti presentano non solo un problema potenziale per il mercato futuro, ma rappresentano un aggiustamento necessario a livello operativo. Ogni volta che una variante introduce nuovi rischi o modifica l’applicabilità dei requisiti essenziali, l’ente deve aggiornare immediatamente le valutazioni e la documentazione associata.

Un punto da evidenziare è il fatto che le linee guida, in questa fase, sono ancora in forma di bozza. Il testo definitivo potrebbe aggiungere dettagli tecnici, ma il principio centrale — la base per la condivisione della valutazione del rischio è la identità delle proprietà tecnico-informatiche — è ben chiaro.

I produttori devono dunque preparare le strutture interne, non aspettando la fine della redazione, ma anticipando che la regola non è la conformità in base alle esigenze del prodotto commerciale, ma in base ai fattori di sicurezza informatica rilevanti.

Per rispettare pienamente il CRA, la chiave di volta di un piano di conformità effettivo sta nel prendere in esame la mappatura complessiva delle variabilità produttive e valutare se esse presentano