Il Cyber Resilience Act (CRA) dell'UE 2024/2847 introduce requisiti obbligatori di cybersicurezza per i prodotti con elementi digitali venduti nell'UE. Gli obblighi di segnalazione delle vulnerabilità entrano in vigore l'11 settembre 2026, mentre la piena conformità del prodotto diventa obbligatoria l'11 dicembre 2027. Sebbene i dispositivi medici ai sensi del MDR siano esenti dai requisiti di prodotto del CRA, molti componenti digitali nell'ecosistema sanitario non lo sono.
L'esenzione per i dispositivi medici e i suoi limiti
L'Articolo 2(2) del CRA esenta i prodotti già coperti da legislazione di armonizzazione settoriale dell'UE che impone requisiti di cybersicurezza equivalenti. I dispositivi medici regolamentati ai sensi del MDR 2017/745 e i dispositivi diagnostici in vitro ai sensi dell'IVDR 2017/746 rientrano in questa esenzione.
Tuttavia, l'esenzione si applica esclusivamente al dispositivo medico stesso. I prodotti digitali che interagiscono con, supportano o si connettono a un dispositivo medico, ma che non sono essi stessi classificati come dispositivi medici, sono pienamente soggetti al CRA:
| Prodotto | Si applica il CRA? | Motivazione |
|---|---|---|
| SaMD classificato ai sensi del MDR | No | Coperto dai requisiti di cybersicurezza del MDR |
| Sistema informativo ospedaliero interfacciato con dispositivi | Sì | Non è un dispositivo medico ai sensi del MDR |
| App mobile classificata come accessorio di Classe I | No | Coperta dal MDR |
| Piattaforma cloud che ospita dati del dispositivo (non classificata come SaMD) | Sì | Non è un dispositivo medico |
| Strumento di aggiornamento firmware per un dispositivo medico (non parte del dispositivo stesso) | Sì | Prodotto digitale autonomo |
| Sistema operativo generico installato su un dispositivo medico | Sì | Non coperto dal MDR come prodotto autonomo |
Se fabbricate sia dispositivi regolamentati dal MDR sia prodotti digitali non classificati come dispositivi nello stesso ecosistema, potreste dover rispettare sia il MDR (per il dispositivo) sia il CRA (per il software di supporto).
Segnalazione delle vulnerabilità: 11 settembre 2026
Gli obblighi di segnalazione delle vulnerabilità del CRA ai sensi dell'Articolo 14 si applicano dall'11 settembre 2026. I fabbricanti di prodotti rientranti nell'ambito di applicazione devono segnalare le vulnerabilità attivamente sfruttate e gli incidenti di sicurezza significativi al proprio CSIRT (Computer Security Incident Response Team) nazionale e all'ENISA attraverso un'unica piattaforma di segnalazione.
Le tempistiche di segnalazione sono rigorose:
| Fase | Scadenza | Contenuto richiesto |
|---|---|---|
| Allarme rapido | Entro 24 ore dalla presa di conoscenza | Notifica che una vulnerabilità è attivamente sfruttata o che si è verificato un incidente significativo |
| Notifica della vulnerabilità | Entro 72 ore | Informazioni dettagliate sulla vulnerabilità, l'attività di sfruttamento e le misure correttive adottate o pianificate |
| Rapporto finale | Entro 14 giorni dalla mitigazione | Descrizione completa della vulnerabilità, analisi delle cause profonde e azioni correttive applicate |
Queste tempistiche di segnalazione si applicano anche se una correzione completa non è ancora disponibile. Lo scopo è consentire una risposta coordinata in tutta l'UE.
Requisiti di conformità del prodotto: 11 dicembre 2027
Gli obblighi di piena conformità del prodotto CRA entrano in vigore l'11 dicembre 2027. Per i prodotti rientranti nell'ambito di applicazione, questo significa:
Sicurezza fin dalla progettazione (Allegato I del CRA, Parte I): I prodotti devono essere progettati, sviluppati e fabbricati per garantire un livello appropriato di cybersicurezza. Ciò include configurazioni predefinite sicure, protezione dall'accesso non autorizzato e riservatezza e integrità dei dati.
Gestione delle vulnerabilità (Allegato I del CRA, Parte II): I fabbricanti devono identificare e documentare le vulnerabilità, fornire aggiornamenti di sicurezza per la durata di vita prevista del prodotto (minimo 5 anni) e operare una politica di divulgazione coordinata delle vulnerabilità.
Software Bill of Materials (SBOM): I fabbricanti devono produrre e mantenere un SBOM che elenchi tutti i componenti, comprese le librerie open source e le dipendenze di terze parti. L'SBOM fa parte della documentazione tecnica e deve essere reso disponibile alle autorità di sorveglianza del mercato su richiesta.
Valutazione di conformità: La maggior parte dei prodotti segue un percorso di autovalutazione basato sul controllo interno (Allegato VI del CRA). I prodotti importanti e critici (come definiti negli Allegati III e IV del CRA) richiedono una valutazione di terze parti.
Interazione con i requisiti di cybersicurezza del MDR
Il MDR richiede già ai fabbricanti di affrontare la cybersicurezza nella loro documentazione tecnica. L'Allegato I del MDR, Sezione 17.4 richiede che i dispositivi che incorporano software o che sono sistemi elettronici programmabili siano progettati per garantire ripetibilità, affidabilità e prestazioni. Il documento MDCG 2019-16 fornisce indicazioni sulla cybersicurezza per i dispositivi medici.
Per i fabbricanti con prodotti che rientrano in entrambi i regolamenti, l'approccio pratico è:
- Applicare i requisiti di cybersicurezza del MDR al dispositivo medico stesso
- Applicare i requisiti del CRA a qualsiasi prodotto digitale non classificato come dispositivo nell'ecosistema
- Utilizzare un quadro comune di gestione del rischio di cybersicurezza (come la IEC 81001-5-1) per entrambi
Scadenze principali
| Data | Requisito |
|---|---|
| 11 settembre 2026 | Inizio degli obblighi di segnalazione delle vulnerabilità per i prodotti rientranti nell'ambito del CRA |
| 11 dicembre 2027 | Piena conformità del prodotto richiesta per i prodotti rientranti nell'ambito del CRA |
| Continuativo | Gli aggiornamenti di sicurezza devono essere forniti per la durata di vita prevista del prodotto (minimo 5 anni) |
Cercate lo strumento giusto per la regulatory intelligence? Leggete la nostra guida alla valutazione delle piattaforme di regulatory intelligence.
Punti chiave
- I dispositivi medici ai sensi del MDR sono esenti dai requisiti di prodotto del CRA, ma molti prodotti digitali associati non lo sono
- La segnalazione delle vulnerabilità inizia l'11 settembre 2026: notifica iniziale entro 24 ore, rapporto dettagliato entro 72 ore, rapporto finale entro 14 giorni
- La piena conformità del prodotto (sicurezza fin dalla progettazione, SBOM, gestione delle vulnerabilità) è richiesta entro l'11 dicembre 2027
- I fabbricanti con portafogli di prodotti misti devono determinare quali prodotti rientrano nel MDR e quali nel CRA
- Il CRA richiede un SBOM per tutti i prodotti rientranti nell'ambito di applicazione, mantenuto durante l'intero ciclo di vita del prodotto
- La divulgazione coordinata delle vulnerabilità e i processi di aggiornamento della sicurezza sono obbligatori
Come RegAid può aiutare
RegAid copre i requisiti di cybersicurezza del MDR, incluso l'Allegato I Sezione 17.4 e tutte le linee guida MDCG sulla cybersicurezza per i dispositivi medici. Chiedete "Quale documentazione di cybersicurezza mi serve per il mio dispositivo medico connesso?" e otterrete risposte con riferimenti che collegano i requisiti MDR al documento MDCG 2019-16 e alle norme armonizzate applicabili.