La parola produttore ora significa te
Il Cyber Resilience Act dell'UE è entrato in vigore nel dicembre 2024, e la sua definizione di produttore è più ampia di quanto la maggior parte dei consigli di amministrazione immagini. Copre qualsiasi prodotto con elementi digitali immesso sul mercato europeo: una macchina connessa, un controllore industriale, un dispositivo medico, un gadget di consumo o un software autonomo. Se il tuo prodotto comunica con una rete, rientra nell'ambito di applicazione, e così anche gli importatori e i distributori che lo immettono sul mercato.
Per un family office o per un proprietario del Mittelstand, la parte scomoda è la riclassificazione. Un'azienda che ha costruito macchine di precisione per tre generazioni, e che non si è mai definita un'attività di software, è ora un fornitore di software regolamentato agli occhi del diritto dell'UE. La norma si estende anche oltre il blocco. Un produttore con sede in qualsiasi parte del mondo che vende sul mercato europeo ha gli stessi doveri di uno con sede a Frankfurt.
Un orologio di 24 ore che non controlli
La prima scadenza vincolante è vicina. Dall'11 settembre 2026, una vulnerabilità attivamente sfruttata o un grave incidente di sicurezza fa partire una cascata di segnalazioni fissa attraverso un'unica piattaforma europea. Un avviso preventivo è dovuto entro 24 ore, una notifica più completa entro 72 ore e una relazione finale entro 14 giorni dall'emissione di una correzione o di una soluzione alternativa. L'orologio non aspetta la tua revisione legale o il tuo piano di comunicazione.
Quella tempistica è lo shock operativo. La finestra di 24 ore si apre nel momento peggiore di un incidente, quando le informazioni sono incomplete e l'istinto è di non dire nulla finché i fatti non sono chiari. L'Act elimina questa opzione. Un'organizzazione che non riesce a rilevare, valutare e segnalare un difetto entro un giorno mancherà la scadenza, non perché le manchi la buona volontà, ma perché non ha mai costruito la macchina per muoversi così velocemente.
Marcatura CE, e una sanzione commisurata al tuo fatturato
Gli obblighi più ampi seguono l'11 dicembre 2027. Da quella data, un prodotto con elementi digitali necessita di una marcatura CE che certifichi che è stato costruito con la sicurezza fin dalla progettazione, che viene spedito senza difetti sfruttabili noti e che riceverà aggiornamenti di sicurezza per un periodo di supporto definito. La conformità non è un test una tantum prima del lancio, è un dovere che dura per l'intera vita supportata di ogni unità venduta.
L'applicazione ha peso. Le autorità nazionali di vigilanza del mercato fanno rispettare le regole, e la Germania ha già emesso una prima bozza della legge per nominare la sua autorità competente. Le sanzioni per il mancato rispetto dei requisiti fondamentali raggiungono 15 milioni di euro o il 2,5 per cento del fatturato annuo globale, a seconda di quale sia più alta. Per un produttore di medie dimensioni redditizio, la cifra del fatturato è quella che dovrebbe concentrare l'attenzione di tutta la sala.
Da leggere ora: La tua difesa informatica è pronta per attacchi alla velocità della macchina? · La tua crittografia ha una scadenza