La regolazione europea della sicurezza digitale sta attraversando una trasformazione profonda, destinata a incidere non soltanto sulle imprese tecnologiche, sui produttori di software e sui fornitori di servizi digitali, ma sull’intero modo in cui le organizzazioni progettano, acquistano, gestiscono e governano tecnologie connesse.Per molti anni la cybersecurity è stata collocata in una posizione prevalentemente funzionale rispetto ad altri ambiti regolatori: costituiva una misura tecnica nell’ambito della protezione dei dati personali, un requisito contrattuale nei rapporti con i fornitori, un presidio organizzativo nelle infrastrutture critiche o un elemento di diligenza professionale nei servizi digitali.Oggi, invece, l’Unione europea sembra aver compiuto un salto di qualità, costruendo progressivamente un sistema normativo nel quale la sicurezza non è più un requisito settoriale, ma una condizione generale di affidabilità del mercato digitale.In questa prospettiva, il Regolamento (UE) 2024/2847, comunemente noto come Cyber Resilience Act, rappresenta un passaggio decisivo. Il CRA introduce requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali, imponendo obblighi lungo l’intero ciclo di vita del prodotto, dalla progettazione alla messa a disposizione sul mercato, dalla gestione delle vulnerabilità agli aggiornamenti di sicurezza, dalla documentazione tecnica alla sorveglianza post-commercializzazione. L’importanza del regolamento non risiede soltanto nella sua portata applicativa, che intercetta una vasta pluralità di software, hardware e prodotti connessi, ma nella sua funzione sistemica: spostare la cybersecurity a monte, nel momento in cui il prodotto viene concepito, sviluppato, valutato e immesso nel mercato europeo.Il rapporto tra Cyber Resilience Act, GDPR e NIS2 deve essere letto precisamente entro tale scenario. Non si tratta di tre normative parallele, destinate a convivere senza interazioni significative, né di tre discipline che si sovrappongono casualmente generando un aggravio di compliance. Al contrario, esse delineano i tre livelli di un medesimo sistema integrato di sicurezza digitale. Il GDPR presidia la sicurezza del trattamento dei dati personali, imponendo al titolare e al responsabile del trattamento di adottare misure tecniche e organizzative adeguate al rischio. La NIS2 presidia la sicurezza e la resilienza dell’organizzazione, imponendo ai soggetti essenziali e importanti obblighi di gestione del rischio cyber, governance, continuità operativa, sicurezza della supply chain e notifica degli incidenti. Il Cyber Resilience Act presidia invece la sicurezza del prodotto digitale, intervenendo sul software e sull’hardware prima che essi diventino componenti dell’infrastruttura organizzativa o strumenti attraverso i quali vengono trattati dati personali.La tesi è dunque chiara: il CRA non si limita ad aggiungere un ulteriore adempimento al quadro europeo della cybersecurity, ma completa una triangolazione normativa che collega prodotto, trattamento e organizzazione. Se il GDPR impone di proteggere i dati personali nel contesto dei trattamenti, e se la NIS2 impone di rendere resilienti le organizzazioni che erogano servizi essenziali o importanti, il Cyber Resilience Act interviene sul presupposto tecnologico di entrambi: la sicurezza dei prodotti digitali che tali organizzazioni acquistano, integrano, sviluppano, distribuiscono o utilizzano.Indice degli argomenti