Cyber Resilience Act: pubblicata la bozza di linee guida della Commissione europea

Con l’avvicinarsi delle prime scadenze operative del Cyber Resilience Act (“CRA”), la Commissione europea ha pubblicato, il 3 marzo 2026, una prima bozza di linee guida volta ad aiutare operatori economici e autorità di vigilanza del mercato nell’applicazione del regolamento. Il CRA, inserito nel più ampio quadro europeo della normativa sui prodotti, introduce requisiti obbligatori di cybersicurezza destinati ad avere un impatto rilevante sulla maggior parte dei prodotti hardware e software immessi sul mercato dell’Unione.

L’esperienza dei primi progetti di implementazione ha mostrato che permangono incertezze giuridiche su alcuni aspetti centrali, soprattutto in relazione all’ambito di applicazione del regolamento e a taluni obblighi chiave. In questo contesto, la bozza di guidance pubblicata dalla Commissione rappresenta un passaggio importante, perché offre chiarimenti interpretativi utili agli operatori economici e, una volta finalizzata, potrà diventare un punto di riferimento essenziale per comprendere il CRA.

Contesto normativo

Il CRA, ossia il Regolamento (UE) 2024/2847, stabilisce requisiti essenziali di cybersicurezza per i “prodotti con elementi digitali” e impone obblighi a vari operatori economici, tra cui produttori, importatori e distributori, quando tali prodotti vengono messi a disposizione sul mercato dell’UE.

Il regolamento si applicherà pienamente dall’11 dicembre 2027, ma alcune disposizioni entreranno in vigore prima. In particolare:

• dal 11 giugno 2026 si applicherà il quadro relativo alla notifica degli organismi di valutazione della conformità;
• dal 11 settembre 2026 diventeranno applicabili gli obblighi di notifica delle vulnerabilità attivamente sfruttate e degli incidenti gravi;
• dall’11 dicembre 2027 troverà applicazione il corpo principale degli obblighi introdotti dal CRA.

Nel frattempo, la Commissione aveva già iniziato a pubblicare materiali di supporto per l’implementazione, incluse FAQ e altri strumenti pratici. Tuttavia, restavano aperte varie questioni interpretative, ad esempio sull’individuazione dei prodotti inclusi nel perimetro del CRA, sul trattamento delle remote data processing solutions, sul software libero e open source (FOSS), sulla determinazione del support period e su alcune specificità dei prodotti software, data la loro natura non tangibile.

Per questo motivo era molto attesa una guidance della Commissione. Dopo averne preannunciato la pubblicazione per l’inizio del 2026, la Commissione ha messo in consultazione pubblica la bozza il 3 marzo 2026, con termine per l’invio dei commenti fissato al 31 marzo 2026.

I principali temi affrontati dalla bozza di guidance

La bozza di linee guida offre chiarimenti pratici e ulteriore contesto su diversi aspetti centrali del CRA.

1. Ambito di applicazione del CRA
   La guidance chiarisce nozioni fondamentali come quella di “immissione sul mercato”, anche in relazione a prodotti progettati prima della data di piena applicazione del regolamento. Per il software, pur essendo un bene non tangibile, l’immissione sul mercato viene collegata al primo rilascio per distribuzione o utilizzo nel mercato UE, ad esempio tramite download o accesso remoto. Vengono inoltre affrontati il perimetro dei prodotti software, il requisito della “data connection” previsto dal CRA e i criteri per qualificare come prodotto, ai fini del regolamento, sistemi composti da più elementi hardware e software.
2. FOSS e open-source software stewards
   Un altro punto centrale riguarda il software libero e open source. La bozza prova a chiarire quando il FOSS debba considerarsi immesso sul mercato nell’ambito di un’attività commerciale e quando, invece, resti fuori da tale logica. Si sofferma anche sulla figura dell’open-source software steward, descrivendone i possibili compiti in termini operativi e distinguendola dal produttore vero e proprio. Questo tema rientra espressamente tra quelli indicati dalla Commissione come oggetto principale della bozza.
3. Modifiche sostanziali, riparazioni e parti di ricambio
   La guidance propone criteri pratici per stabilire quando una riparazione, una sostituzione o un aggiornamento software costituiscano una “modifica sostanziale”. Se la modifica è sostanziale, il prodotto modificato viene trattato come se fosse nuovamente immesso sul mercato, con conseguente applicazione degli obblighi CRA al soggetto che effettua o commissiona la modifica. La bozza chiarisce anche che i prodotti legacy immessi sul mercato prima dell’11 dicembre 2027 saranno soggetti al CRA solo se, da quella data in avanti, subiranno una modifica sostanziale.
4. Support period
   La bozza insiste sul fatto che il periodo di supporto di cinque anni non deve essere letto come uno standard automatico valido per ogni prodotto, ma come una soglia minima di tutela. La durata del supporto deve invece riflettere il periodo di utilizzo ragionevolmente prevedibile del prodotto. Per i software rilasciati in versioni successive, la guidance indica che ciascuna versione immessa sul mercato dovrebbe avere un support period dichiarato. Anche questo è uno dei temi esplicitamente segnalati dalla Commissione.
5. Prodotti importanti e critici
   La classificazione dei prodotti “important” o “critical” viene collegata alla funzionalità principale del prodotto nel suo complesso, e non alla qualificazione isolata dei singoli componenti integrati. La bozza affronta inoltre le conseguenze pratiche di questa classificazione sui percorsi di conformity assessment.
6. Valutazione del rischio di cybersicurezza e integrazione di componenti
   Un’altra area rilevante riguarda la struttura pratica della cybersecurity risk assessment richiesta ai produttori dal CRA. La guidance spiega come documentare uso previsto, misuse ragionevolmente prevedibile, scenari di minaccia e misure di mitigazione lungo il ciclo di vita del prodotto, compreso il trattamento di componenti di terzi e open source.
7. Remote data processing solutions (RDPS)
   Su uno dei temi più delicati, la bozza propone un test strutturato per capire quando una soluzione di trattamento remoto dei dati rientri nella nozione di RDPS ai fini del CRA. I criteri richiamati riguardano, in sostanza, la presenza di un’elaborazione “a distanza”, la dipendenza funzionale del prodotto da tale elaborazione e il fatto che il software remoto sia sviluppato dal produttore o sotto la sua responsabilità. Questo punto è pienamente coerente con la definizione generale riportata nei materiali ufficiali della Commissione sul CRA.
8. Reporting e vulnerability handling
   La bozza affronta anche il rapporto tra gestione delle vulnerabilità e obblighi di notifica. Sul piano normativo, è confermato che dal 11 settembre 2026 i produttori dovranno notificare vulnerabilità attivamente sfruttate e incidenti gravi che incidano sulla sicurezza del prodotto; il sistema prevede un early warning entro 24 ore, una notifica completa entro 72 ore e una relazione finale secondo le scadenze previste dal quadro CRA.
9. Interazione con altra normativa UE
   Infine, la bozza chiarisce il coordinamento tra CRA e altre discipline europee, anche in relazione ad alcune esclusioni di ambito e al trattamento dei componenti destinati a essere integrati in prodotti esenti. Anche questo profilo rientra tra i temi che la Commissione ha indicato espressamente nella comunicazione ufficiale di lancio della consultazione.

Prossimi passi

La guidance è ancora in bozza e la Commissione ha invitato gli stakeholder a presentare osservazioni entro il 31 marzo 2026. Per le imprese interessate dal CRA, il documento costituisce già adesso un utile strumento di lavoro per i progetti di adeguamento, pur con una cautela: il testo finale potrebbe cambiare rispetto alla versione oggi in consultazione. Inoltre, anche una volta adottate, le linee guida non avranno valore vincolante pari al regolamento; l’interpretazione autoritativa del diritto UE resta infatti riservata, in ultima istanza, alla Corte di giustizia dell’Unione europea.

In ogni caso, le aziende dovrebbero continuare a prepararsi alle scadenze del 2026, in particolare all’entrata in vigore degli obblighi di reporting dal 11 settembre 2026, e più in generale al percorso di adeguamento che porterà alla piena applicazione del CRA dal 11 dicembre 2027.