Il Cyber Resilience Act è un regolamento dell’UE che richiede a molti prodotti con elementi digitali di soddisfare le regole di cybersicurezza prima di essere venduti. Si applica a cose come software, firmware, dispositivi connessi e alcuni prodotti che dipendono da servizi online controllati dal produttore. L’idea centrale è che la sicurezza debba essere integrata nel prodotto, non aggiunta in seguito come funzionalità facoltativa.
Nella pratica, il CRA è importante perché collega l’accesso al mercato a controlli di sicurezza misurabili. I fornitori possono dover adottare impostazioni predefinite secure-by-design, processi di gestione delle vulnerabilità, supporto agli aggiornamenti a lungo termine e documentazione che dimostri come i rischi vengono gestiti. Se emerge una falla attivamente sfruttata, il tempo di segnalazione può imporre una notifica e un follow-up rapidi. Per chi difende, ciò significa che inventari software, SBOM, tracciamento delle dipendenze e playbook di incident response diventano strumenti di conformità. Per gli attaccanti, password predefinite deboli, sistemi di aggiornamento esposti e scarsa gestione delle patch sono בדיוק i tipi di lacune che il regolamento intende ridurre.