~ 2000 / 2026 ~
// Documenti disponibili n:
48.301
// Documenti scaricati n:
40.050.798
// Newsletter n:
3403
Sicurezza L.
Ambiente
Normazione
Marcat. CE
P. Incendi
Chemicals
Impianti
Macchine
Merci P.
Costruzioni
Trasporti
Featured
L'interazione del Cyber Resilience Act con il quadro normativo UE
Permalink:
https://certifico.com/id/26554
L'interazione del Cyber Resilience Act con il quadro normativo UE / Note Giugno 2026
ID 26554 | 28 Giugno 2026 / In allegato note complete
Il Cyber Resilience Act (CRA) si inserisce in un articolato sistema di regolamentazione dei prodotti dell'Unione europea, con il quale entra in relazione secondo logiche di volta in volta complementari, sussidiarie o di reciproca esclusione. Comprendere tali rapporti è essenziale per gli operatori economici, poiché un medesimo prodotto con elementi digitali può ricadere simultaneamente nel perimetro applicativo di più atti normativi, ciascuno portatore di obblighi propri.
Il presente documento illustra le principali interazioni tra il CRA e gli altri strumenti del diritto dell'Unione, chiarendo i criteri che governano la sovrapposizione, l'esenzione o il cumulo degli obblighi.
Il Cyber Resilience Act (CRA) si rapporta al restante quadro normativo dell'Unione secondo tre modelli fondamentali.
Un primo modello è quello dell'esclusione, che opera per i settori dotati di regimi di sicurezza propri e consolidati, aviazione civile e attrezzature marine, in cui il Cyber Resilience Act (CRA) cede il passo alla normativa di settore, salvo il recupero applicativo per i prodotti e i componenti non coperti da quest'ultima.
Un secondo modello è quello del cumulo, che caratterizza i rapporti con il Regolamento Macchine e con il Regolamento sullo Spazio europeo dei dati sanitari sul piano dei requisiti sostanziali, imponendo il simultaneo rispetto di entrambi i corpi normativi, pur con possibili sinergie e integrazioni delle valutazioni del rischio.
Un terzo modello, infine, è quello della complementarità senza sovrapposizione, proprio dei rapporti con la Direttiva sulla responsabilità per i prodotti, con il Regolamento generale sulla protezione dei dati e con il Data Act (DA), ove i diversi strumenti presidiano profili distinti e concorrono, ciascuno per la propria parte, a un sistema di tutela coerente.
La corretta gestione di tali interazioni richiede agli operatori economici un'analisi puntuale e preventiva del perimetro normativo applicabile a ciascun prodotto, così da individuare con precisione gli obblighi cumulativi, le procedure di valutazione della conformità pertinenti e gli adempimenti documentali richiesti, evitando tanto i rischi di non conformità quanto le inutili duplicazioni di oneri.
__________
1. Aviazione civile: il Regolamento (UE) 2018/1139
Il rapporto tra Il CRA (Regolamento UE 2024/2847) e il Regolamento (UE) 2018/1139 “Regolamento di base EASA" si fonda su una distinzione di ambito oggettivo.
Mentre il CRA disciplina trasversalmente i prodotti con elementi digitali, il Regolamento di base EASA si applica ai prodotti aeronautici, alle parti e alle apparecchiature, software incluso.
Per evitare una duplicazione regolatoria, l'articolo 2, paragrafo 3, del CRA dispone l'esenzione dei prodotti certificati ai sensi del Regolamento (UE) 2018/1139, in considerazione del fatto che il regime di certificazione aeronautica integra già requisiti di sicurezza delle informazioni.
L'esenzione, tuttavia, non si estende all'intero settore aeronautico, bensì opera in funzione dell'effettiva certificazione del singolo prodotto. Ne consegue che i prodotti i quali, pur rientrando nell'ambito del Regolamento (UE) 2018/1139, non risultino certificati ai sensi di quest'ultimo, come nel caso dei droni della categoria aperta, restano assoggettati al Cyber Resilience Act (CRA), ove costituiscano prodotti con elementi digitali messi a disposizione sul mercato.
2. Attrezzature marine: la Direttiva (UE) 2014/90
Analogamente al settore aeronautico, anche le attrezzature marine beneficiano di un regime di esclusione. L'articolo 2, paragrafo 4, del CRA stabilisce infatti che il regolamento non si applica alle attrezzature ricomprese nell'ambito della Direttiva (UE) 2014/90. Anche in questo caso, peraltro, l'esclusione è circoscritta ai prodotti effettivamente disciplinati dalla direttiva di settore: i componenti destinati all'integrazione in attrezzature marine che non rientrino autonomamente nell'ambito applicativo della Direttiva (UE) 2014/90 possono pertanto risultare soggetti al CRA.
3. Responsabilità per i prodotti: la Direttiva (UE) 2024/2853
Il rapporto tra il CRA e la Direttiva sulla responsabilità per i prodotti (Product Liability Directive, PLD) si configura come complementare e privo di sovrapposizione giuridica, attesa la diversa natura dei due strumenti. La Direttiva sulla responsabilità per i prodotti detta una disciplina di carattere risarcitorio, fondata sul principio della responsabilità oggettiva del fabbricante: chi subisce un danno cagionato da un prodotto difettoso può ottenere il risarcimento a prescindere dalla colpa, gravando sul produttore la responsabilità per il difetto del proprio prodotto.
La complementarità emerge con particolare evidenza in materia di aggiornamenti di sicurezza.
Il Cyber Resilience Act (CRA) impone obblighi sostanziali e specifici quanto alla fornitura di security update per i prodotti con elementi digitali; la PLD, per contro, non prescrive alcun obbligo di aggiornamento, ma mantiene il fabbricante responsabile tanto per i difetti introdotti attraverso un aggiornamento, quanto per quelli che si manifestino in ragione della mancata fornitura dell'aggiornamento medesimo. I due regimi, dunque, presidiano profili distinti, l'uno regolatorio e preventivo, l'altro risarcitorio e successivo, che concorrono a rafforzare la tutela complessiva.
4. Macchine: il Regolamento (UE) 2023/1230
Il Regolamento Macchine (Machinery Regulation, MR), applicabile a decorrere dal 20 gennaio 2027, introduce un'ipotesi di cumulo di obblighi.
I fabbricanti di prodotti che rientrino nell'ambito del Regolamento (UE) 2023/1230 e che siano, al contempo, prodotti con elementi digitali sono tenuti al rispetto sia dei requisiti essenziali di cybersicurezza del Regolamento UE 2024/2847, sia dei requisiti essenziali di salute e sicurezza posti dal Regolamento Macchine.
Il cumulo non si risolve in una mera sommatoria automatica: la conformità ai requisiti di uno dei due regolamenti non può essere considerata di per sé idonea a soddisfare quelli dell'altro.
Tuttavia, in ragione della parziale convergenza degli obiettivi di sicurezza, la conformità al Regolamento UE 2024/2847 può agevolare il conseguimento della conformità ai requisiti del MR sotto taluni profili. Il medesimo principio di cumulo si proietta sul piano procedurale: per un prodotto che sia simultaneamente prodotto con elementi digitali e macchinario, la valutazione della conformità deve essere assicurata attraverso le procedure previste, in via autonoma, da ciascuno dei due regolamenti.
[...] Segue in allegato
Certifico Srl - IT | Rev. 0.0 2026
©Copia autorizzata Abbonati
Collegati
Allegati (Riservati) Abbonati Full Plus
| Descrizione | Lingua | Dimensioni | Downloads | |
|---|---|---|---|---|
 |
L'interazione del Cyber Resilience Act con il quadro normativo UE / Note
Certifico Srl - Rev. 0.0 Giugno 2026
Abbonati Full Plus
|
IT | 182 kB | 0 |
Certifico s.r.l.
Sede: Via A. De Curtis, 28 - 06135 Perugia - IT
Sede: Via Madonna Alta 138/A - 06128 Perugia - IT
P. IVA: IT02442650541
Tel. 1: +39 075 599 73 63
Tel. 2: +39 075 599 73 43
Assistenza: 800 14 47 46
www.certifico.com
info@certifico.com
Sede: Via Madonna Alta 138/A - 06128 Perugia - IT
P. IVA: IT02442650541
Tel. 1: +39 075 599 73 63
Tel. 2: +39 075 599 73 43
Assistenza: 800 14 47 46
www.certifico.com
info@certifico.com
Testata editoriale iscritta al n. 22/2024 del registro periodici della cancelleria del Tribunale di Perugia in data 19.11.2024