La Commissione europea ha pubblicato una bozza di linee guida dedicate all’applicazione del Cyber Resilience Act (CRA – Regolamento UE 2024/2847), il quadro normativo europeo che introduce obblighi di cybersecurity by design e by default lungo l’intero ciclo di vita dei prodotti digitali, dalla fase di sviluppo fino alla dismissione.
Le indicazioni, previste dall’articolo 26 del Regolamento, sono pensate in particolare per supportare piccole e medie imprese nell’adeguamento ai nuovi requisiti, tenendo conto delle difficoltà operative delle organizzazioni che non dispongono di strutture interne dedicate alla sicurezza informatica. La bozza affronta alcuni dei profili più rilevanti del CRA, tra cui la gestione continuativa delle vulnerabilità, gli obblighi di monitoraggio e remediation dei bug di sicurezza, la governance dei componenti software di terze parti e la predisposizione di procedure standardizzate per la notifica di incidenti e vulnerabilità attivamente sfruttate.
Il documento conferma l’approccio del legislatore europeo volto a rafforzare la responsabilizzazione dei produttori rispetto alla sicurezza dei prodotti digitali immessi sul mercato, estendendo gli obblighi di conformità anche alla fase post-commercializzazione. La consultazione pubblica sulle linee guida resterà aperta fino al 31 marzo 2026, consentendo agli stakeholder di presentare osservazioni e contributi sul testo proposto.