Il Regolamento (UE) 2024/2847, noto come Cyber Resilience Act (CRA), delinea un percorso strutturato per i fabbricanti che desiderano commercializzare tali prodotti. Tale percorso può essere schematicamente riassunto in quattro fasi principali.

Questi quattro passi rappresentano l’ossatura del processo che i fabbricanti di prodotti con elementi digitali dovranno seguire per garantire la conformità al Cyber Resilience Act e poter immettere i loro prodotti sul mercato europeo. Nei successivi paragrafi, analizzeremo nel dettaglio ciascuna di queste fasi, evidenziando gli aspetti più rilevanti e le implicazioni per i diversi attori coinvolti.

Con questa puntata terminiamo l’analisi del CRA; i precedenti Alert sul tema sono stati pubblicati in data 9 gennaio 2025 (Panoramica), 20 febbraio 2025 (Aspetti applicativi) e 6 marzo 2025 (Vulnerabilità e messa in commercio).

Processo preliminare alla messa in commercio

L’applicazione del CRA stabilisce un percorso strutturato per i produttori che intendono commercializzare tali prodotti. È importante notare che, sebbene le prescrizioni del CRA siano rivolte ai produttori, l’utilizzatore che acquisisce un prodotto digitale privo degli elementi obbligatori richiesti dal Regolamento può essere ritenuto direttamente responsabile dei danni causati a terzi dalle insufficienti misure di sicurezza del prodotto, in violazione del CRA. Analogamente, per i trattamenti di dati personali operati dall’acquirente di simili prodotti non conformi potrebbe configurarsi la violazione dei principi di liceità e di integrità e riservatezza.

Continua…