La regolazione europea della sicurezza digitale sta attraversando una trasformazione profonda, destinata a incidere non soltanto sulle imprese tecnologiche, sui produttori di software e sui fornitori di servizi digitali, ma sull’intero modo in cui le organizzazioni progettano, acquistano, gestiscono e governano tecnologie connesse.

Per molti anni la cybersecurity è stata collocata in una posizione prevalentemente funzionale rispetto ad altri ambiti regolatori: costituiva una misura tecnica nell’ambito della protezione dei dati personali, un requisito contrattuale nei rapporti con i fornitori, un presidio organizzativo nelle infrastrutture critiche o un elemento di diligenza professionale nei servizi digitali.

Oggi, invece, l’Unione europea sembra aver compiuto un salto di qualità, costruendo progressivamente un sistema normativo nel quale la sicurezza non è più un requisito settoriale, ma una condizione generale di affidabilità del mercato digitale. In questa prospettiva, il Regolamento (UE) 2024/2847, comunemente noto come Cyber Resilience Act (CRA), rappresenta un passaggio decisivo.

Che cosa prevede il Cyber Resilience Act

Il CRA introduce requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali, imponendo obblighi lungo l’intero ciclo di vita del prodotto. Questi includono:

    • Progettazione e concezione del prodotto con criteri di sicurezza;
    • Messa a disposizione sul mercato seguendo procedure di conformità;
    • Gestione delle vulnerabilità attraverso aggiornamenti regolari;
    • Documentazione tecnica chiara e trasparente;
    • Sorveglianza post-commercializzazione per garantire l’adeguamento nel tempo.

L’importanza del regolamento non risiede soltanto nella sua portata applicativa, che intercetta una vasta pluralità di software, hardware e prodotti connessi, ma nella sua funzione sistemica: spostare la cybersecurity a monte, nel momento in cui il prodotto viene concepito, sviluppato, valutato e immesso nel mercato europeo.

Il sistema normativo integrato GDPR-CRA-NIS2

Il rapporto tra il Cyber Resilience Act, il GDPR e la NIS2 deve essere letto precisamente entro una prospettiva unitaria. Non si tratta di tre normative parallele o di tre discipline che si sovrappongono, ma di tre livelli che delineano un medesimo sistema integrato di sicurezza digitale:

    • IIl GDPR presidia la sicurezza del trattamento dei dati personali;
    • La NIS2 presidia la sicurezza e la resilienza dell’organizzazione;
    • Il CRA presidia la sicurezza del prodotto digitale.

I tre regolamenti, quindi, colgono diversi livelli di sicurezza: da una parte, il GDPR e la NIS2 concentrano la loro azione sulle organizzazioni che trattano dati personali o forniscono servizi essenziali, dall’altra parte, il CRA si pone come punto di intersezione tecnologica, assicurando che i prodotti digitali acquisiti siano sicuri fin dalla loro concezione.

Il ruolo sistemico del Cyber Resilience Act

Il CRA non si limita ad aggiungere un ulteriore adempimento al quadro europeo della cybersecurity, ma completa una triangolazione normativa fondamentale. Mentre il GDPR impone di proteggere i dati personali nel contesto dei trattamenti e la NIS2 impone di rendere resilienti le organizzazioni che operano su larga scala, il Cyber Resilience Act interviene a livello tecnico, garantendo che il prodotto digitale in uso soddisfi standard di sicurezza intrinseca.

Il GDPR ha rappresentato, sin dalla sua entrata in applicazione, il principale strumento europeo di responsabilizzazione delle organizzazioni rispetto alla protezione dei dati personali. La sua forza innovativa è andata ben al di là dell’ampliamento dei diritti degli interessati: ha introdotto il principio di accountability, richiedendo che il titolare del trattamento non solo rispetti i principi, ma sappia anche comprovare tale rispetto.

I riferimenti centrali in materia di sicurezza all’interno del GDPR sono l’articolo 25 e l’articolo 32. Il primo introduce il concetto di privacy by design, richiedendo l’integrazione di misure protettive durante la fase progettuale; il secondo richiede l’adozione di misure organizzative e tecniche adeguate al rischio. Queste disposizioni sono state decisive nel ridefinire le responsabilità in materia di trattamento dei dati personali, ma presentano un limite strutturale, in quanto si applicano esclusivamente a contesti in cui i dati vengono trattati, non al prodotto che li elabora.

Il Cyber Resilience Act entra in gioco proprio in questo vuoto. Ogni prodotto digitale, siano essi un software, un hardware oppure una piattaforma connessa, deve soddisfare requisiti di base in materia di sicurezza. Questo è cruciale per garantire che i dispositivi non diventino una fonte di vulnerabilità per chi li utilizza. L’obiettivo del CRA è chiaro: anticipare la sicurezza al momento della progettazione, al fine di evitare che vengano introdotti strumenti digitali con debolezze strutturali nel mercato europeo.

Sinergia tra CRA e GDPR

Il CRA si colloca in un rapporto complementare con il GDPR. Il GDPR non interviene sulla sicurezza dei prodotti, ma su come i dati vengono trattati al loro interno. Quando tale prodotto non gestisce dati personali oppure quando il problema di sicurezza riguarda l’infrastruttura digitale prima dell’utilizzo, il GDPR non risulta essere sufficiente.

Tuttavia, quando un prodotto viene utilizzato per la gestione di dati personali, il GDPR impone misure preventive e responsabilizzanti al titolare e al responsabile del trattamento, ma non sempre esiste un diretto controllo sugli sviluppatori, produttori o fornitori di tale prodotto. Il CRA colma appunto questa lacuna, stabilendo obblighi riguardanti non solo l’utilizzo, ma anche la concezione, lo sviluppo, e la distribuzione dei prodotti digitali.

Ciò permette di garantire che la sicurezza non possa essere compromessa da vulnerabilità intrinseche del software o dell’hardware, spesso introdotte a causa di procedure di sviluppo insufficientemente controllate. Questo aspetto rafforza indirettamente anche l’efficacia degli obblighi GDPR, in particolare quelli dell’articolo 25 e 32.

Il contributo del NIS2

Se il GDPR presidia la sicurezza del trattamento dei dati personali e il CRA interviene sul prodotto digitale, la NIS2 (Network and Information Security Directive 2) si concentra sulla sicurezza dell’organizzazione. La Direttiva (UE) 2022/2555 impone a soggetti considerati rilevanti (critical e important entities) di adottare misure specifiche di governance digitale, come:

    • Gestione del rischio;
    • Continuità operativa;
    • Protezione della supply chain;
    • Notifica degli incidenti;
    • Pianificazione degli interventi di ripristino.

Il Cyber Resilience Act si distingue per l’approccio tecnologico, concentrato sulla sicurezza del singolo componente digitale, in modo parallelo al NIS2 che agisce su livello organizzativo e oper