Cyber Resilience Act Guide

La Guida intende chiarire l’applicazione del Regolamento UE 2024/2847 (Cyber Resilience Act, CRA), che dal dicembre 2027 renderà applicabili obblighi e requisiti di cybersicurezza per la maggioranza dei prodotti hardware e software, fornendo indicazioni operative e interpretative per i soggetti coinvolti, tra cui gli operatori economici rilevanti, consulenti legali ed esperti informatici di cybersicurezza. Al fine di ridurre l’alta complessità tecnico-giuridica del CRA, la guida adotta un approccio innovativo che combina i principi del legal design con le competenze tecniche, informatiche e giuridiche, in materia di cybersicurezza. Le disposizioni, le procedure e i meccanismi complessi del CRA sono tradotti in processi e misure più accessibili e applicabili alle esigenze specifiche di coloro che dovranno applicarli, riducendo pertanto il rischio di errate interpretazioni nelle fasi di pianificazione della conformità e di attuazione.

[ENG] The Guide aims to clarify the application of EU Regulation 2024/2847 (Cyber Resilience Act, CRA), which, from December 2027, will make cybersecurity requirements and obligations applicable to most hardware and software products. It aims to do so by providing operational and interpretive guidance for the parties involved, including relevant economic operators, legal advisors, and cybersecurity IT experts. To lower the high technical-legal complexity of the CRA, the Guide employs an innovative approach that integrates legal design principles with technical expertise, encompassing both IT and legal aspects, in the cybersecurity field. The CRA’s complex provisions, procedures, and mechanisms are translated into processes and measures that are more accessible and tailored to the specific needs of those required to implement them, thereby reducing the risk of misinterpretation during compliance planning and implementation phases.

L’iniziativa nasce con l’intento di chiarire il funzionamento del Regolamento e di tradurre requisiti normativi e tecnici complessi in misure organizzative e operative concrete, fornendo quindi indicazioni chiare e attuabili ai soggetti coinvolti nella sua applicazione, tra cui operatori economici (fabbricanti, importatori, distributori, rappresentanti autorizzati e gestori di software open source), consulenti legali ed esperti tecnici di cybersicurezza. In questa prospettiva, la Guida si configura non solo come un riferimento per comprendere il testo giuridico, ma come uno strumento pratico per la pianificazione della conformità, il coordinamento tra i diversi attori coinvolti dalle attività di compliance (internamente ed esternamente ad un’azienda) e la riduzione del rischio di errore interpretativo durante la fase di implementazione.

[ENG] The initiative was launched to clarify how the Regulation operates and to translate complex legal and technical requirements into specific organizational and operational measures. This will provide clear and actionable guidance for all parties involved in its implementation, including economic operators (such as manufacturers, importers, distributors, authorized representatives, and open-source software managers), legal advisers, and cybersecurity experts. From this perspective, the Guide is configured not only as a reference to understand the legal act, but also as a practical tool for compliance planning, for coordinating the various actors involved in compliance activities (both within and outside a company), and for reducing the risk of interpretative errors during the implementation phase.

La Guida adotta un approccio metodologico innovativo, fondato sull’integrazione di principi di legal design e competenze tecniche, vale a dire, giuridiche e informatiche, di cybersicurezza. Il legal design contiene nel suo spettro competenze trasversali di matrice giuridica, linguistica e di design, le cui tecniche, sinergicamente applicate, permettono di rimodellare testualmente e graficamente il precetto normativo, lasciandone invariata la corretta connotazione giuridica. Il punto focale di tale disciplina, e delle tecniche ad essa sottese, corrisponde ai bisogni e alle esigenze pratiche degli utenti finali specificamente identificati per il progetto di specie. Tale architettura progettuale consente, così, di semplificare e rendere fruibili contenuti normativi complessi.  In particolare, colmare la lacuna epistemica tra i “classici” utenti del diritto (avvocati, giudici e autorità) e tutti gli altri utenti (cittadini, consumatori, imprese). L'originalità del progetto risiede soprattutto nella "scomposizione" e "ricomposizione" del regolamento secondo un ordine concettuale chiaro, coerente e logicamente fruibile.

[ENG] The Guide adopts an innovative methodological approach, based on the integration of legal design principles and technical expertise—namely legal, IT, and cybersecurity skills. Legal design encompasses a range of cross-disciplinary competencies rooted in law, linguistics, and design. When these techniques are applied synergistically, they enable the reshaping of the legal provision both textually and visually, while preserving its normative value. The focal point of this discipline, and the techniques underpinning it, lies in addressing the needs and practical requirements of the end users specifically identified for the project at hand. This design framework, therefore, makes it possible to simplify and render accessible complex regulatory content, particularly by bridging the epistemic gap between the “traditional” users of law (lawyers, judges, and authorities) and all other users (citizens, consumers, businesses). Against this backdrop, the originality of the project lies above all in the “deconstruction” and “recomposition” of the regulation according to a clear, coherent, and logically accessible conceptual order.

La prima fase ha avuto l’obiettivo di comprendere i bisogni e le esigenze degli utilizzatori finali della Guida, al fine di raccogliere insight qualitativi e quantitativi utili all’impostazione del progetto. In linea con un approccio di co-design collaborativo, è stata definita una strategia di ricerca basata su interviste strutturate, strumenti che hanno consentito di delineare in modo realistico le aspettative, le criticità operative e le competenze degli utenti potenziali.  Sulla base dei dati raccolti, infatti, il team ha delineato i profili rappresentativi dei potenziali destinatari che, nelle diverse tipologie professionali, si troveranno a utilizzare la Guida nella pratica quotidiana.

The first phase aimed to understand the needs and requirements of the Guide’s end users, in order to gather qualitative and quantitative insights that would be useful for shaping the project. In line with a collaborative co-design approach, a research strategy was defined based on structured interviews. This enabled us to realistically outline the expectations, operational challenges, and competencies of potential users. Based on the collected data, the team identified representative profiles of potential recipients who, across various professional roles, will utilize the Guide in their day-to-day practice.

La seconda fase è stata concepita come un unico step da un punto di vista metodologico, e ha tradotto gli insight emersi nella fase ‘Ricerca’ in soluzioni progettuali concrete. Attraverso tecniche di whiteboarding, information mapping e co-design collaborativo, sono stati rielaborati i contenuti del Regolamento, organizzandoli in un’architettura chiara, coerente e facilmente fruibile. 

The second phase was conceived as a single methodological step and translated the insights that emerged during the Research phase into concrete design solutions. Through whiteboarding, information mapping, and collaborative co-design techniques, the contents of the Regulation were reworked and organized into a clear, coherent, and easily accessible structure.

La terza fase è stata dedicata alla ‘Prototipazione' della soluzione scelta, che ha assunto la forma di un documento interattivo a contenuto visivo e testuale, coerente con la logica della conformità alla normativa. Le disposizioni del regolamento, nonché i requisiti essenziali di natura tecnico-informatica, sono stati rielaborati e sintetizzati in schemi e percorsi visuali che consentissero una comprensione immediata e funzionale dei relativi obblighi.

The third phase was dedicated to prototyping the chosen solution, which took the form of an interactive document combining visual and textual content, consistent with the logic of regulatory compliance. The provisions of the Regulation, as well as the technical essential requirements, were reworked and distilled into diagrams and visual pathways that enable an immediate and functional understanding of the corresponding obligations.

Nella quarta fase sono stati coinvolti nuovi soggetti dai diversi background (es., consulenti tecnici; giuristi; informatici; responsabili aziendali) al fine di testare il prototipo e valutare l’efficacia comunicativa e la fruibilità operativa. I feedback raccolti, sia sul piano percettivo-visivo, sia concettuale-logico, hanno consentito di apportare le necessarie modifiche e ottimizzazioni in vista del rilascio definitivo della Guida.

In the fourth phase, new participants from diverse backgrounds (e.g., technical consultants, legal experts, IT specialists, company managers) were involved to test the prototype and assess its communicative effectiveness and operational usability. The feedback collected, both in terms of perceptual-visual aspects and conceptual-logical structure, enabled the introduction of necessary adjustments and optimizations in preparation for the Guide’s final release.

Nella quinta fase sono state apportate le modifiche necessarie alla luce dei feedback emersi nella fase precedente e quindi è stato organizzato il rilascio della Guida. 

In the fifth phase, the necessary modifications were made in light of the feedback gathered in the previous stage, and the release of the Guide was subsequently organized.