Commissione UE: adottato il Regolamento di esecuzione (UE) 2025/2392 che chiarisce quali prodotti sono “importanti” e “critici” ai sensi del Cyber Resilience Act.

Con il Regolamento di esecuzione (UE) 2025/2392, la Commissione europea ha compiuto un passo decisivo nell’attuazione del Cyber Resilience Act (CRA), fissando in modo puntuale quali prodotti rientrano nelle categorie di rischio “importante” e “critico”.

Finora, gli allegati del CRA si limitavano a elencare macro-categorie come “firewall”, “sistemi di gestione delle identità” o “dispositivi smart home”, senza una definizione tecnica di dettaglio. I produttori erano quindi costretti a interpretare da sé se un determinato prodotto dovesse essere collocato nel livello di rischio base (“Default”) o in quelli superiori, con l’ovvia incertezza sul tipo di valutazione di conformità da applicare.

Il Regolamento 2025/2392 colma proprio questo vuoto. Per tutte le 28 categorie di prodotti con elementi digitali che il CRA colloca nei tre livelli superiori di rischio – prodotti importanti di Classe I, prodotti importanti di Classe II e prodotti critici – viene ora fornita una descrizione tecnica precisa, che delimita il perimetro di applicazione. In concreto, per fare qualche esempio, i password manager vengono definiti come software che memorizzano, generano e auto-compilano credenziali; i prodotti di sicurezza per la smart home includono espressamente serrature intelligenti, sistemi di videosorveglianza domestica, baby monitor, sistemi di allarme e sensori che svolgono funzioni di sicurezza; i sistemi di automazione e controllo industriale rientrano nella Classe II solo quando sono utilizzati da soggetti qualificati come entità essenziali ai sensi della direttiva NIS 2.

Queste definizioni non sono un dettaglio tecnico, ma incidono direttamente sul regime di conformità applicabile. Il CRA prevede infatti quattro livelli di rischio: il livello Default, cui si applica il normale percorso di autocertificazione del produttore, e tre livelli superiori (“Important” Classe I, “Important” Classe II e “Critical”) per i quali si innalzano gli obblighi di valutazione. Per i prodotti importanti di Classe I resta teoricamente possibile l’autovalutazione, ma solo se il produttore applica integralmente le norme armonizzate pertinenti, una volta pubblicate. Per i prodotti importanti di Classe II e per i prodotti critici, invece, non è più ammessa l’autocertificazione: è sempre richiesta una valutazione di conformità da parte di un organismo notificato e, per i prodotti critici, si apre anche la prospettiva di una certificazione europea di cybersicurezza.

Il nuovo regolamento di esecuzione, entrato in vigore il 29 novembre 2025, ha anche il merito di tracciare meglio il confine per alcune famiglie di prodotti industriali, distinguendo tra sistemi di monitoraggio, che restano in una fascia di rischio meno elevata, e sistemi di controllo di sicurezza utilizzati da operatori critici, che richiedono un livello di vigilanza più stringente. Per i produttori, il messaggio è chiaro: non ci si può più limitare a considerare il proprio prodotto come “fuori dal radar” del CRA sulla base di valutazioni generiche. È necessario confrontarsi con le nuove definizioni tecniche e verificare in quale classe di rischio ricada concretamente ciascun prodotto, per poi impostare di conseguenza il percorso di valutazione della conformità e la strategia di compliance.