La cyber resilienza dei prodotti con elementi digitali entra in una nuova fase di attuazione normativa. Con l’art. 15 della Legge 17 marzo 2026, n. 36 (Legge di delegazione europea 2025), il legislatore ha conferito al Governo la delega ad adottare, entro sei mesi dall’entrata in vigore della legge, uno o più decreti legislativi per adeguare l’ordinamento italiano alle disposizioni del Regolamento (UE) 2024/2847, relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali, comunemente noto come Regolamento sulla cyber resilienza o Cyber Resilience Act.

Con questo breve articolo vogliamo offrire ai nostri lettori un aggiornamento sull’adeguamento nazionale al Cyber Resilience Act, illustrando i principali criteri direttivi della delega, il ruolo attribuito all’Agenzia per la cybersicurezza nazionale e le possibili ricadute per imprese, produttori, importatori, distributori e operatori della filiera digitale.

Il Cyber Resilience Act e la sicurezza dei prodotti digitali

Il Regolamento (UE) 2024/2847 – come  noto –  introduce una disciplina orizzontale sulla cyber resilienza dei prodotti con elementi digitali. La normativa interviene direttamente sul “prodotto in sé”, imponendo che hardware, software e soluzioni connesse siano progettati, sviluppati e mantenuti secondo requisiti essenziali di cybersicurezza.

La novità del Cyber Resilience Act (CRA) consiste nell’aver elevato la cyber resilienza a qualità giuridicamente rilevante del prodotto con elementi digitali. La sicurezza non è più concepita come attività successiva o accessoria, ma come componente strutturale della progettazione, della documentazione tecnica, della gestione delle vulnerabilità e del rapporto tra produttore, utilizzatore e mercato.

Il Regolamento incide, dunque, sulla filiera economica dei prodotti digitali, attribuendo rilievo agli obblighi dei fabbricanti, degli importatori e dei distributori, nonché alla conformità dei prodotti immessi sul mercato dell’Unione.

La delega al Governo nella L. 36/2026

L’art. 15 in commento ha attribuito al Governo il compito di adottare decreti delegati per adeguare la normativa nazionale alle disposizioni del Regolamento (UE) 2024/2847.

La previsione si inserisce nella funzione propria della legge di delegazione europea, quale strumento attraverso il quale il legislatore nazionale abilita il Governo a intervenire sull’ordinamento interno per assicurare l’attuazione, il coordinamento e l’effettività degli obblighi derivanti dal diritto dell’Unione.

La circostanza che il Cyber Resilience Act abbia natura di regolamento europeo non esclude, infatti, la necessità di un intervento nazionale di adeguamento. Il Regolamento è direttamente applicabile, ma richiede comunque che ciascuno Stato membro individui le autorità competenti, disciplini i procedimenti amministrativi, predisponga un sistema sanzionatorio coerente ed elimini eventuali disposizioni interne incompatibili. In questa prospettiva, la delega contenuta nella L. 36/2026 non replica il contenuto precettivo della fonte europea, ma ne organizza l’inserimento nell’architettura nazionale della sicurezza cibernetica.

Cyber resilienza e ruolo dell’ACN

La legge di delegazione europea ha attribuito all’Agenzia per la cybersicurezza nazionale un ruolo di prim’ordine nell’attuazione interna del Regolamento (UE) 2024/2847. Il legislatore delegante ha individuato in ACN l’autorità di notifica ai sensi dell’art. 36 del Regolamento e di vigilanza del mercato ai sensi dell’art. 52.

La scelta appare coerente con l’evoluzione dell’ordinamento nazionale della sicurezza cibernetica, che negli ultimi anni ha progressivamente concentrato in capo all’Agenzia funzioni di regolazione tecnica, vigilanza, coordinamento e indirizzo.

Il decreto prevede espressamente che l’ACN debba disporre di adeguate risorse umane, strumentali e finanziarie per lo svolgimento dei compiti discendenti dal Regolamento. Nel dettaglio, il legislatore quantifica gli oneri necessari al rafforzamento dell’Agenzia, prevedendo specifiche risorse per gli anni 2026, 2027, 2028 e a decorrere dal 2029.

Il coordinamento con NIS 2, Perimetro cibernetico e discipline settoriali

L’art. 15 L. 17 marzo 2026, n. 36 attribuisce particolare rilievo al coordinamento tra il futuro decreto legislativo di adeguamento al Regolamento (UE) 2024/2847 e le discipline nazionali già vigenti in materia di sicurezza cibernetica.

Il riferimento espresso al decreto-legge 21 settembre 2019, n. 105, relativo al Perimetro di sicurezza nazionale cibernetica, e al D. Lgs. 4 settembre 2024 (Decreto NIS 2), n. 138, di recepimento della Direttiva NIS 2, conferma che la cyber resilienza dei prodotti con elementi digitali dovrà essere inserita in un sistema unitario di regole.

La ragione è evidente. Il Cyber Resilience Act disciplina la sicurezza dei prodotti con elementi digitali; la NIS 2 regola, invece, la sicurezza delle reti, dei sistemi informativi e dei processi organizzativi dei soggetti essenziali e importanti; il Perimetro cibernetico presidia le funzioni essenziali dello Stato e gli interessi nazionali strategici. Si tratta di piani distinti, ma potenzialmente convergenti.

Nell’adeguamento delle norme nazionali, il legislatore delegato dovrà raccordare le disposizioni del Regolamento (UE) 2024/2847 le norme nazionali sulla vigilanza, sorveglianza del mercato e controllo della sicurezza cibernetica dei prodotti con elementi digitali.

La sorveglianza del mercato è sinonimo di garanzia dell’affidabilità dell’ecosistema digitale. I prodotti con elementi digitali, infatti, possono generare vulnerabilità non soltanto per il singolo utilizzatore, ma anche per reti, sistemi informativi, catene di fornitura e infrastrutture interconnesse.

Il sistema sanzionatorio nella legge di delegazione europea

Tra i criteri direttivi di maggiore rilievo vi è la definizione del sistema sanzionatorio applicabile in caso di violazione degli obblighi derivanti dal Regolamento (UE) 2024/2847. Il legislatore delegante richiede che le sanzioni siano effettive, dissuasive e proporzionate alla gravità, alla durata e all’eventuale reiterazione della violazione, secondo una formula ormai ricorrente nel diritto europeo della regolazione digitale, ma particolarmente significativa nel settore della cyber resilienza.

La disciplina sanzionatoria dovrà essere costruita in deroga, ove necessario, ai criteri e ai limiti ordinariamente previsti dall’art. 32, comma 1, lettera d), della Legge 24 dicembre 2012, n. 234. Tale previsione conferma la volontà di attribuire al futuro decreto legislativo uno spazio di intervento adeguato alla rilevanza degli interessi protetti, poiché la sicurezza dei prodotti con elementi digitali incide sulla stabilità delle catene digitali, sulla protezione dei dati, sulla continuità dei servizi e sulla sicurezza complessiva del mercato.

L’art. 15 in commento impone, inoltre, che il sistema sanzionatorio sia coordinato con quello previsto dal Perimetro di sicurezza nazionale cibernetica e dal D. Lgs. n. 138/2024 in materia di NIS 2, in coerenza con il procedimento applicabile presso l’ACN.

Cyber resilienza e impatto sulle imprese

Il Regolamento (UE) 2024/2847 incide in modo significativo sulle imprese che progettano, sviluppano, fabbricano, importano, distribuiscono o commercializzano prodotti con elementi digitali.

Per gli operatori economici, il passaggio più rilevante consiste nella necessità di anticipare la valutazione della cyber resilienza sin dalla fase di progettazione e sviluppo. Il prodotto digitale dovrà essere concepito tenendo conto dei requisiti essenziali di sicurezza, della gestione delle vulnerabilità, della documentazione tecnica, degli aggiornamenti, della tracciabilità delle componenti e della capacità di dimostrare la conformità alle autorità competenti.

Ne deriva una progressiva integrazione tra compliance legale, sicurezza informatica e organizzazione aziendale. Tale evoluzione assume particolare rilievo anche nei rapporti contrattuali tra imprese. I produttori dovranno verificare con maggiore attenzione le clausole relative alla responsabilità, agli obblighi di manutenzione, alla gestione degli aggiornamenti, alla segnalazione delle vulnerabilità e alla ripartizione dei rischi lungo la filiera.

Cyber resilienza, imprese e prodotti digitali. Assistenza legale dedicata

Per le imprese, l’adeguamento al Cyber Resilience Act richiederà un approccio anticipato e integrato, capace di coniugare valutazione giuridica, governance tecnologica, contrattualistica e procedure interne di compliance.

Lo Studio segue da tempo l’evoluzione della normativa europea e nazionale in materia di cybersicurezza, sicurezza dei prodotti digitali, protezione dei dati, offrendo supporto nella corretta attuazione degli obblighi e nella loro traduzione in modelli organizzativi, contratti e/o processi aziendali coerenti con il quadro normativo.

Contattaci per un confronto!

 

Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.