{"id":2212,"date":"2025-03-04T09:49:13","date_gmt":"2025-03-04T08:49:13","guid":{"rendered":"https:\/\/zdarsky-wirtschaftsrecht.de\/cyber-resilience-act"},"modified":"2025-11-14T11:49:17","modified_gmt":"2025-11-14T10:49:17","slug":"cyber-resilience-act","status":"publish","type":"page","link":"https:\/\/zdarsky-wirtschaftsrecht.de\/it\/cyber-resilience-act","title":{"rendered":"Cyber Resilience Act"},"content":{"rendered":"<p>Con il Cyber Resilience Act (CRA), l&#8217;UE regola la sicurezza informatica dei prodotti che hanno una connessione diretta o indiretta a una rete o un dispositivo abilitato alla rete.<br \/>\nUn prodotto con elementi digitali deve soddisfare i requisiti del CRA dallo sviluppo allo smaltimento. Il rilascio del marchio CE \u00e8 in futuro subordinato al soddisfacimento dei requisiti della CRA.<br \/>\nL&#8217;UE ha fissato un calendario rigoroso per l&#8217;introduzione e l&#8217;attuazione di tali norme:<br \/>\n&#8211; A partire da settembre 2026 vi \u00e8 l&#8217;obbligo di segnalare vulnerabilit\u00e0 e incidenti di sicurezza<br \/>\n&#8211; A partire da dicembre 2027 tutti i requisiti del CRA devono essere attuati e soddisfatti<br \/>\nIl mancato rispetto delle norme della CRA \u00e8 passibile di pesanti ammende.<br \/>\nPer le microimprese, le piccole e medie imprese, nonch\u00e9 per le start-up \u00e8 previsto l&#8217;invio di una lettera. Articolo 33 Misure di formazione e accompagnamento &#8211; https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Informations-Information-und-Empfehlungen\/Cyber_Resilience_Act\/cyber_resilience_act_node.html.<br \/>\nI fabbricanti e i distributori devono classificare i prodotti interessati e rilasciare una dichiarazione di conformit\u00e0. Questo certificato pu\u00f2 essere emesso direttamente o da un organismo incaricato. \u201cOrganismo incaricato&#8221; \u00e8 ogni consulente esperto in grado di effettuare una valutazione dei rischi (per esempio organizzazioni di controllo come T\u00dcV ecc.).<br \/>\nAi fini della classificazione, della verifica e della certificazione di conformit\u00e0, i prodotti devono essere classificati in una delle classi di rischio elencate nell&#8217;allegato III del CRA con indicazione dei rispettivi prodotti:<br \/>\n&#8211; Prodotti con elementi digitali<br \/>\n&#8211; Prodotti importanti di classe I<br \/>\n&#8211; Prodotti importanti classe II<br \/>\n&#8211; Prodotti critici<\/p>\n<p><a href=\"https:\/\/cyber-resilience-act.de\/anhaenge\/anhang-iii\/\">https:\/\/cyber-resilience-act.de\/anhaenge\/anhang-iii\/<\/a><\/p>\n<p>Nell&#8217;ambito della valutazione dei rischi, i produttori devono riconoscere e risolvere gli eventuali rischi di sicurezza informatica gi\u00e0 durante lo sviluppo del prodotto. Secondo il principio &#8220;secure by design&#8221;, i prodotti connessi devono essere sviluppati tenendo conto dei requisiti di sicurezza informatica.<\/p>\n<p>I dati memorizzati o trasmessi con il prodotto devono essere crittografati e il meno possibile vulnerabili. Le impostazioni predefinite dei prodotti in rete devono contribuire ad aumentarne la sicurezza. Questo requisito pu\u00f2 essere soddisfatto, ad esempio, con password standard forti obbligatorie o installando automaticamente aggiornamenti di sicurezza (gratuiti per l&#8217;utente). Gi\u00e0 durante lo sviluppo dei prodotti i punti deboli devono essere affrontati obbligatoriamente. Gli strumenti per la creazione di Software Bill of Materials (SBOM) devono pertanto essere integrati. Una SBOM include in dettaglio tutte le librerie e altri componenti software implementati nel prodotto. La CRA \u00e8 tenuta a redigere una SBOM, che deve essere conservata dal rispettivo produttore.<\/p>\n<p>Per agire correttamente, le aziende interessate dovrebbero chiarire il prima possibile chi \u00e8 responsabile della sicurezza informatica all&#8217;interno dell&#8217;azienda. Perch\u00e9 il processo che la CRA prescrive vincola risorse umane e finanziarie.<\/p>\n<p>In una cerchia di collaboratori possibilmente interdisciplinare, dallo sviluppo del prodotto alla distribuzione, il portafoglio di prodotti dovrebbe essere esaminato per individuare punti comuni e possibili rischi e vulnerabilit\u00e0. Ci\u00f2 offre anche l&#8217;opportunit\u00e0 di riconoscere i possibili rischi multipli e di eliminarli in modo efficiente.<\/p>\n<p>Rientra pertanto nell&#8217;obbligo di diligenza dell&#8217;impresa controllare continuamente tutti i processi in un&#8217;azienda per rilevare possibili rischi, pericoli e punti deboli. Ci\u00f2 deve essere documentato in modo esaustivo.<\/p>\n<p>In caso di individuazione di un punto debole, l&#8217;azione immediata \u00e8 obbligatoria.<\/p>\n<p>Se una vulnerabilit\u00e0 \u00e8 stata sfruttata attraverso un accesso non autorizzato, tale vulnerabilit\u00e0 deve essere segnalata entro 24 ore alle autorit\u00e0 competenti al fine di limitare il danno subito. I clienti devono essere immediatamente informati e devono disporre di strumenti per colmare la vulnerabilit\u00e0.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Con il Cyber Resilience Act (CRA), l&#8217;UE regola la sicurezza informatica dei prodotti che hanno una connessione diretta o indiretta a una rete o un dispositivo abilitato alla rete. Un prodotto con elementi digitali deve soddisfare i requisiti del CRA dallo sviluppo allo smaltimento. Il rilascio del marchio CE \u00e8 in futuro subordinato al soddisfacimento [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-2212","page","type-page","status-publish","hentry"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/zdarsky-wirtschaftsrecht.de\/it\/wp-json\/wp\/v2\/pages\/2212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zdarsky-wirtschaftsrecht.de\/it\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/zdarsky-wirtschaftsrecht.de\/it\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/zdarsky-wirtschaftsrecht.de\/it\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/zdarsky-wirtschaftsrecht.de\/it\/wp-json\/wp\/v2\/comments?post=2212"}],"version-history":[{"count":2,"href":"https:\/\/zdarsky-wirtschaftsrecht.de\/it\/wp-json\/wp\/v2\/pages\/2212\/revisions"}],"predecessor-version":[{"id":2326,"href":"https:\/\/zdarsky-wirtschaftsrecht.de\/it\/wp-json\/wp\/v2\/pages\/2212\/revisions\/2326"}],"wp:attachment":[{"href":"https:\/\/zdarsky-wirtschaftsrecht.de\/it\/wp-json\/wp\/v2\/media?parent=2212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}