All’inizio del 2026, l’European Telecommunications Standards Institute (ETSI) ha pubblicato una serie di bozze di standard di cybersicurezza destinate a rendere operativo il prossimo Cyber Resilience Act (CRA) dell’UE. Queste bozze, ora aperte alla consultazione, rappresentano un collegamento fondamentale tra i requisiti legali di alto livello e i controlli tecnici concreti che ci si aspetta che i produttori implementino. Per le aziende che immettono prodotti con elementi digitali nel mercato dell’Unione Europea, la direzione è chiara: la conformità in materia di cybersicurezza sta diventando più prescrittiva, più tecnica e più verificabile.
Le proposte degli standard ETSI coprono un’ampia gamma di prodotti e software, tra cui router, modem e switch, sistemi operativi, browser, VPN, strumenti anti-malware, sistemi di gestione di rete, piattaforme SIEM, boot manager, interfacce di rete e componenti per infrastrutture a chiave pubblica. Piuttosto che ridefinire gli obiettivi del CRA, questi documenti traducono i suoi principi — come secure by design, secure by default e la gestione delle vulnerabilità lungo tutto il ciclo di vita — in requisiti tecnici dettagliati.
ETSI sta rendendo disponibili questi documenti in modo trasparente attraverso un’area pubblica online, dove i produttori possono consultare le versioni in aggiornamento, seguire le modifiche e capire come stanno evolvendo i requisiti di sicurezza. Questo ambiente di lavoro aperto mostra che gli standard sono ancora in fase di definizione, ma offre anche un’anticipazione utile di come potrebbero presentarsi i futuri standard armonizzati una volta adottati formalmente.
Ai sensi del Cyber Resilience Act, la maggior parte dei prodotti con elementi digitali — siano essi dispositivi consumer, apparecchiature industriali o software indipendenti — dovranno dimostrare la conformità prima di essere immessi nel mercato UE. Una volta che gli standard ETSI saranno armonizzati e citati nella Gazzetta Ufficiale dell’Unione Europea, la loro applicazione offrirà una presunzione di conformità ai requisiti pertinenti del CRA. In termini pratici, ciò può ridurre significativamente l’incertezza normativa e semplificare le strategie di marcatura CE.
Tuttavia, il rovescio della medaglia è un aumento delle aspettative. I produttori dovranno dimostrare che la cybersicurezza è integrata in tutto il ciclo di vita del prodotto. Ciò include il threat modelling in fase di progettazione, pratiche di sviluppo sicuro, controlli di accesso robusti, meccanismi di aggiornamento e patch, processi di divulgazione delle vulnerabilità e monitoraggio post-market. Per le aziende abituate a considerare la cybersicurezza come una caratteristica opzionale o un’aggiunta post-lancio, il nuovo quadro rappresenta un cambiamento strutturale.
Le bozze degli standard suggeriscono diversi impatti immediati per i produttori coinvolti:
Sebbene gli obblighi principali del CRA dovrebbero applicarsi dal 2027, la preparazione dovrebbe iniziare molto prima. I produttori dovrebbero considerare di:
Le bozze degli standard ETSI di cybersicurezza rappresentano un punto di svolta nel modo in cui la conformità dei prodotti digitali sarà valutata in Europa. Per i produttori, offrono sia una roadmap sia un avvertimento: chi si attiverà per tempo e adatterà le pratiche di sviluppo ora sarà in una posizione migliore per garantire un accesso fluido al mercato quando il Cyber Resilience Act entrerà pienamente in vigore.