~ 2000 / 2026 ~
// Documenti disponibili n:
48.313
// Documenti scaricati n:
40.086.829
// Newsletter n:
3422
Sicurezza L.
Ambiente
Normazione
Marcat. CE
P. Incendi
Chemicals
Impianti
Macchine
Merci P.
Costruzioni
Trasporti
L'interazione del Cyber Resilience Act con il quadro normativo UE / Note Giugno 2026
ID 3477
Per poter visualizzare la newsletter con i dati personalizzati devi essere connesso. Fai click qui per effettuare l'accesso al sito.
| Abbonamento Full Plus | ||
| Newsletter n. 3410 del 29 Giugno 2026 | ||
 |
||
| Salve Visitatore | ||
|
L'interazione del Cyber Resilience Act con il quadro normativo UE ID 26554 | 28 Giugno 2026 / In allegato note complete Il Cyber Resilience Act (CRA) si inserisce in un articolato sistema di regolamentazione dei prodotti dell'Unione europea, con il quale entra in relazione secondo logiche di volta in volta complementari, sussidiarie o di reciproca esclusione. Comprendere tali rapporti è essenziale per gli operatori economici, poiché un medesimo prodotto con elementi digitali può ricadere simultaneamente nel perimetro applicativo di più atti normativi, ciascuno portatore di obblighi propri. Il presente documento illustra le principali interazioni tra il CRA e gli altri strumenti del diritto dell'Unione, chiarendo i criteri che governano la sovrapposizione, l'esenzione o il cumulo degli obblighi. Il Cyber Resilience Act (CRA) si rapporta al restante quadro normativo dell'Unione secondo tre modelli fondamentali. Un primo modello è quello dell'esclusione, che opera per i settori dotati di regimi di sicurezza propri e consolidati, aviazione civile e attrezzature marine, in cui il Cyber Resilience Act (CRA) cede il passo alla normativa di settore, salvo il recupero applicativo per i prodotti e i componenti non coperti da quest'ultima. Un terzo modello, infine, è quello della complementarità senza sovrapposizione, proprio dei rapporti con la Direttiva sulla responsabilità per i prodotti, con il Regolamento generale sulla protezione dei dati e con il Data Act (DA), ove i diversi strumenti presidiano profili distinti e concorrono, ciascuno per la propria parte, a un sistema di tutela coerente. La corretta gestione di tali interazioni richiede agli operatori economici un'analisi puntuale e preventiva del perimetro normativo applicabile a ciascun prodotto, così da individuare con precisione gli obblighi cumulativi, le procedure di valutazione della conformità pertinenti e gli adempimenti documentali richiesti, evitando tanto i rischi di non conformità quanto le inutili duplicazioni di oneri. __________ 1. Aviazione civile: il Regolamento (UE) 2018/1139 Il rapporto tra Il CRA (Regolamento UE 2024/2847) e il Regolamento (UE) 2018/1139 “Regolamento di base EASA" si fonda su una distinzione di ambito oggettivo. Mentre il CRA disciplina trasversalmente i prodotti con elementi digitali, il Regolamento di base EASA si applica ai prodotti aeronautici, alle parti e alle apparecchiature, software incluso. Per evitare una duplicazione regolatoria, l'articolo 2, paragrafo 3, del CRA dispone l'esenzione dei prodotti certificati ai sensi del Regolamento (UE) 2018/1139, in considerazione del fatto che il regime di certificazione aeronautica integra già requisiti di sicurezza delle informazioni. L'esenzione, tuttavia, non si estende all'intero settore aeronautico, bensì opera in funzione dell'effettiva certificazione del singolo prodotto. Ne consegue che i prodotti i quali, pur rientrando nell'ambito del Regolamento (UE) 2018/1139, non risultino certificati ai sensi di quest'ultimo, come nel caso dei droni della categoria aperta, restano assoggettati al Cyber Resilience Act (CRA), ove costituiscano prodotti con elementi digitali messi a disposizione sul mercato. 2. Attrezzature marine: la Direttiva (UE) 2014/90 Analogamente al settore aeronautico, anche le attrezzature marine beneficiano di un regime di esclusione. L'articolo 2, paragrafo 4, del CRA stabilisce infatti che il regolamento non si applica alle attrezzature ricomprese nell'ambito della Direttiva (UE) 2014/90. Anche in questo caso, peraltro, l'esclusione è circoscritta ai prodotti effettivamente disciplinati dalla direttiva di settore: i componenti destinati all'integrazione in attrezzature marine che non rientrino autonomamente nell'ambito applicativo della Direttiva (UE) 2014/90 possono pertanto risultare soggetti al CRA. 3. Responsabilità per i prodotti: la Direttiva (UE) 2024/2853 Il rapporto tra il CRA e la Direttiva sulla responsabilità per i prodotti (Product Liability Directive, PLD) si configura come complementare e privo di sovrapposizione giuridica, attesa la diversa natura dei due strumenti. La Direttiva sulla responsabilità per i prodotti detta una disciplina di carattere risarcitorio, fondata sul principio della responsabilità oggettiva del fabbricante: chi subisce un danno cagionato da un prodotto difettoso può ottenere il risarcimento a prescindere dalla colpa, gravando sul produttore la responsabilità per il difetto del proprio prodotto. La complementarità emerge con particolare evidenza in materia di aggiornamenti di sicurezza. Il Cyber Resilience Act (CRA) impone obblighi sostanziali e specifici quanto alla fornitura di security update per i prodotti con elementi digitali; la PLD, per contro, non prescrive alcun obbligo di aggiornamento, ma mantiene il fabbricante responsabile tanto per i difetti introdotti attraverso un aggiornamento, quanto per quelli che si manifestino in ragione della mancata fornitura dell'aggiornamento medesimo. I due regimi, dunque, presidiano profili distinti, l'uno regolatorio e preventivo, l'altro risarcitorio e successivo, che concorrono a rafforzare la tutela complessiva. 4. Macchine: il Regolamento (UE) 2023/1230 Il Regolamento Macchine (Machinery Regulation, MR), applicabile a decorrere dal 20 gennaio 2027, introduce un'ipotesi di cumulo di obblighi. I fabbricanti di prodotti che rientrino nell'ambito del Regolamento (UE) 2023/1230 e che siano, al contempo, prodotti con elementi digitali sono tenuti al rispetto sia dei requisiti essenziali di cybersicurezza del Regolamento UE 2024/2847, sia dei requisiti essenziali di salute e sicurezza posti dal Regolamento Macchine. Il cumulo non si risolve in una mera sommatoria automatica: la conformità ai requisiti di uno dei due regolamenti non può essere considerata di per sé idonea a soddisfare quelli dell'altro. Tuttavia, in ragione della parziale convergenza degli obiettivi di sicurezza, la conformità al Regolamento UE 2024/2847 può agevolare il conseguimento della conformità ai requisiti del MR sotto taluni profili. Il medesimo principio di cumulo si proietta sul piano procedurale: per un prodotto che sia simultaneamente prodotto con elementi digitali e macchinario, la valutazione della conformità deve essere assicurata attraverso le procedure previste, in via autonoma, da ciascuno dei due regolamenti. [...] Segue in allegato Certifico Srl - IT | Rev. 0.0 2026
Collegati
|
||
 |
||
|
sono siti di: Se vuoi cancellarti dall'invio della newsletter clicca qui oppure effettua il login al sito ed entra nella Tua Area Riservata, in “Modifica dati” agisci con la spunta sul box di selezione “newsletter”. L'elenco completo di tutte le ns newsletter è qui: Archivio newsletter certifico.com
Testata editoriale iscritta al n. 22/2024 registro periodici Tribunale di Perugia 19.11.2024 |
||
   |
||
 |
||
| Certifico Srl 2000-2026 | VAT IT02442650541 | ||
Certifico s.r.l.
Sede: Via A. De Curtis, 28 - 06135 Perugia - IT
Sede: Via Madonna Alta 138/A - 06128 Perugia - IT
P. IVA: IT02442650541
Tel. 1: +39 075 599 73 63
Tel. 2: +39 075 599 73 43
Assistenza: 800 14 47 46
www.certifico.com
info@certifico.com
Sede: Via Madonna Alta 138/A - 06128 Perugia - IT
P. IVA: IT02442650541
Tel. 1: +39 075 599 73 63
Tel. 2: +39 075 599 73 43
Assistenza: 800 14 47 46
www.certifico.com
info@certifico.com
Testata editoriale iscritta al n. 22/2024 del registro periodici della cancelleria del Tribunale di Perugia in data 19.11.2024