L’11 settembre 2026 non è solo una data sul calendario: è il giorno in cui il Cyber Resilience Act impone agli oltre 400.000 produttori di prodotti digitali nell’Unione Europea di segnalare vulnerabilità attivamente sfruttate entro 24 ore. Mancano 83 giorni. Chi non è pronto rischia sanzioni fino a €15 milioni o il 2,5% del fatturato globale, il ritiro dal mercato e l’esclusione dalle catene di fornitura europee.
Il Cyber Resilience Act (Regolamento UE 2024/2847) è entrato in vigore il 10 dicembre 2024 come prima normativa europea a imporre requisiti vincolanti di sicurezza informatica per tutti i prodotti con elementi digitali. La scadenza del 11 giugno 2026 per gli organismi di valutazione della conformità è già trascorsa. Ora il conto alla rovescia punta all’11 settembre 2026, quando scattano gli obblighi di segnalazione, e molte aziende italiane non sono ancora pronte.
Tre mesi alla scadenza: cosa cambia l’11 settembre 2026
La data dell’11 settembre 2026 segna un cambiamento fondamentale nel panorama della cybersecurity europea. Da quel giorno, qualsiasi produttore di prodotti con elementi digitali sul mercato UE, indipendentemente da dove sia stabilito, deve notificare all’ENISA e al CSIRT nazionale competente ogni vulnerabilità attivamente sfruttata entro 24 ore dal momento in cui ne viene a conoscenza.
L’obbligo si applica anche ai prodotti già presenti sul mercato prima del dicembre 2027, compreso chi ha immesso il proprio dispositivo sul mercato anni fa. Una stampante di rete venduta nel 2019, un router industriale del 2021, un sistema di controllo IoT del 2023: tutti rientrano nel perimetro se ancora disponibili sul mercato europeo.
Il ricercatore di sicurezza di Keysight Technologies ha sintetizzato il rischio nella sua analisi di settembre 2025: “La maggior parte delle organizzazioni crede di avere tempo fino all’11 dicembre 2027 per conformarsi al CRA. Questa ipotesi è pericolosamente sbagliata. La prima scadenza reale è l’11 settembre 2026.” Questa confusione tra la scadenza per il reporting e quella per la piena conformità sta esponendo migliaia di aziende italiane ed europee a rischi legali immediati.
Il processo di notifica si articola in tre fasi distinte. Entro 24 ore dall’identificazione di una vulnerabilità attivamente sfruttata, l’azienda deve inviare una prima notifica con informazioni preliminari sul prodotto, la natura della vulnerabilità e i potenziali impatti. Entro 72 ore, segue un rapporto più dettagliato con informazioni tecniche aggiornate. Infine, entro 14 giorni dall’adozione di misure correttive o di mitigazione, va presentata la relazione finale con analisi della causa radice, misure implementate e aggiornamenti pianificati.
Cos’è il Cyber Resilience Act: la prima legge UE sulla sicurezza dei prodotti
Il Cyber Resilience Act rappresenta una svolta storica nella regolamentazione europea: per la prima volta, la sicurezza informatica diventa un requisito legale obbligatorio per i prodotti digitali, non una scelta commerciale. Prima del CRA, un produttore poteva vendere dispositivi connessi con vulnerabilità note senza conseguenze legali dirette. Dal 2027, questo non sarà più possibile.
Il regolamento si applica a qualsiasi prodotto con elementi digitali: hardware e software destinati al mercato UE con connessione diretta o indiretta a un dispositivo o a una rete. Telecamere di sorveglianza, frigoriferi smart, router, sistemi SCADA industriali, software gestionale, password manager, sistemi operativi. Circa il 90% dei prodotti rientra nei requisiti standard; il restante 10% cade nelle categorie Critica I e Critica II, con obblighi più severi.
La Commissione Europea ha pubblicato le prime linee guida operative il 3 marzo 2026, offrendo chiarimenti su casi limite come la classificazione dei componenti software open source integrati in prodotti commerciali e i criteri per definire una “modifica sostanziale” che richiede nuova valutazione di conformità. Queste linee guida hanno ridotto alcune incertezze normative, ma molte aziende italiane, in particolare le PMI del manifatturiero e dell’elettronica, stanno ancora valutando il perimetro dei propri obblighi.
“Il CRA rappresenta un punto di svolta: come prima regolamentazione europea applicabile orizzontalmente sulla cybersecurity, rende obbligatoria la sicurezza per tutti i prodotti con elementi digitali. Non si tratta più di una scelta competitiva, ma di un obbligo legale.”
Taylor Wessing, analisi legale CRA, novembre 2025
La timeline completa del CRA: tre scadenze critiche
Il CRA segue una struttura di implementazione graduale con tre scadenze operative principali. Comprendere esattamente quali obblighi scattano in ciascuna data è essenziale per la pianificazione della conformità.
| Data | Scadenza | Soggetti interessati | Conseguenze del mancato rispetto |
|---|---|---|---|
| 10 dic 2024 | CRA entra in vigore (Reg. UE 2024/2847) | Tutti i produttori/importatori/distributori UE | Inizio del periodo transitorio |
| 11 giu 2026 | Notifica degli organismi di valutazione della conformità | Autorità nazionali (BSI Germania, ACN Italia) | Ritardo nell’accreditamento delle CAB |
| 11 set 2026 | Obblighi di segnalazione vulnerabilità (Art. 14) | Tutti i produttori di PDE sul mercato UE | Sanzioni fino a €15M o 2,5% del fatturato |
| 11 dic 2027 | Piena conformità: tutti i requisiti del CRA | Tutti i soggetti della filiera | Divieto di immissione sul mercato UE |
La Germania ha già nominato il Bundesamt für Sicherheit in der Informationstechnik (BSI) come autorità competente per il CRA e da giugno 2026 il BSI notifica i soggetti terzi autorizzati come organismi di valutazione della conformità, con il potere di ispezionare i prodotti per la conformità alla cybersecurity. In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) svolgerà il ruolo equivalente, sebbene la designazione formale non sia ancora stata formalizzata con decreto ministeriale al 20 giugno 2026.
Quali prodotti rientrano nel perimetro del CRA
La definizione di “prodotto con elementi digitali” (PDE) nel CRA è volutamente ampia per coprire l’intero ecosistema digitale. Il criterio chiave è la capacità di connessione, diretta o indiretta, a un dispositivo o a una rete. In pratica, questo include la grande maggioranza dei prodotti hardware e software disponibili sul mercato europeo.
Sul fronte hardware rientrano router e switch, telecamere di sorveglianza, dispositivi IoT consumer (frigoriferi smart, termostati, speaker intelligenti), apparecchiature industriali OT, dispositivi medici connessi, moduli di controllo industriale, hardware crittografico. Sul fronte software: sistemi operativi, software di gestione della rete, applicazioni di sicurezza informatica, software embedded, browser e client email.
Le esenzioni principali riguardano prodotti già coperti da normative di settore specifiche con requisiti di sicurezza equivalenti: dispositivi medici (Regolamento MDR 2017/745), veicoli a motore (Regolamento (UE) 2019/2144), prodotti aeronautici e le attrezzature navali. Anche il software non commerciale open source (FOSS) è esente, a patto che non venga commercializzato: chi integra componenti FOSS in prodotti commerciali deve comunque garantire la conformità del prodotto finale.
Le tre classi di prodotti: standard, Critica I e Critica II
Il CRA distingue tre livelli di criticità per i prodotti con elementi digitali, ciascuno con requisiti di conformità crescenti. Questa classificazione determina quale percorso di valutazione deve seguire il produttore prima di apporre il marchio CE e immettere il prodotto sul mercato UE dopo il dicembre 2027.
| Classe CRA | Quota mercato | Esempi di prodotti | Requisiti di conformità | Valutazione |
|---|---|---|---|---|
| Standard (Default) | ~90% | Router domestici, stampanti, smart TV, IoT consumer | Requisiti essenziali CRA, Annex I | Autovalutazione + documentazione |
| Critica Classe I | ~9% | Password manager, interfacce di rete, microcontrollori, firewall | Standard armonizzati o valutazione terze parti | Standard EN o audit esterno |
| Critica Classe II | ~1% | Sistemi operativi, CPU, HSM, secure elements, hypervisor | Valutazione obbligatoria di terze parti | Solo organismo accreditato |
La Commissione Europea ha riservato la Classe II ai componenti con il maggior impatto potenziale sulla sicurezza dell’intero ecosistema digitale europeo. Un sistema operativo compromesso o un processore con vulnerabilità hardware può esporre milioni di dispositivi simultaneamente. Per questi prodotti, nessuna autovalutazione è ammessa: solo un organismo terzo accreditato può rilasciare la certificazione necessaria.
Gli obblighi di segnalazione: 24 ore per notificare le vulnerabilità
Gli obblighi di segnalazione previsti dall’Articolo 14 del CRA sono tra gli aspetti più operativamente complessi per le aziende. A partire dall’11 settembre 2026, ogni produttore con prodotti sul mercato UE deve disporre di processi interni in grado di rilevare, classificare e notificare vulnerabilità attivamente sfruttate in tempi che nessun sistema manuale può garantire con affidabilità.
Le notifiche vanno inviate simultaneamente al CSIRT nazionale competente (in Italia, il CSIRT Italia di ACN) e all’ENISA. Questo duplica la complessità amministrativa per le aziende con prodotti in più mercati UE, che possono trovarsi a notificare più CSIRT nazionali per lo stesso incidente.
Un aspetto critico spesso sottovalutato: l’obbligo si applica retroattivamente a prodotti già presenti sul mercato. Come specificato nell’articolo 14(6) del regolamento, la deroga al regime completo per i prodotti immessi sul mercato prima del dicembre 2027 non si estende agli obblighi di reporting dell’Articolo 14. Un’azienda che ha venduto router nel 2022 deve, a partire dall’11 settembre 2026, segnalare qualsiasi vulnerabilità attivamente sfruttata in quei dispositivi ancora in circolazione.
“Dal 2026, la sicurezza informatica diventa un obbligo legale durante l’intero ciclo di vita del prodotto. Questo vale anche per i prodotti legacy già distribuiti anni fa: se sono ancora sul mercato e emerge una vulnerabilità sfruttata, il produttore deve notificarla entro 24 ore.”
Hogan Lovells, analisi CRA del 10 giugno 2026
Il CRA in Italia: ACN come autorità di vigilanza
In Italia, l’Agenzia per la Cybersicurezza Nazionale è destinata a svolgere il ruolo di autorità di sorveglianza del mercato per il CRA, in linea con le funzioni già esercitate in ambito NIS2. L’ACN gestisce il CSIRT Italia, il punto di contatto nazionale per le notifiche di incidenti e vulnerabilità ai sensi sia della direttiva NIS2 che, a partire da settembre 2026, del CRA.
Il contesto italiano giustifica l’urgenza della conformità. Secondo il rapporto operativo ACN per il primo semestre 2025, in Italia si sono verificati 1.549 eventi informatici nei primi sei mesi dell’anno, con un aumento del 53% rispetto allo stesso periodo del 2024. Gli incidenti con impatto confermato sono saliti a 346, quasi il doppio rispetto al 2024. I settori più colpiti rimangono la Pubblica Amministrazione, le telecomunicazioni, la sanità e l’energia.
Solo nel settembre 2025, il CSIRT Italia ha registrato 270 casi di ransomware, un aumento del 103% rispetto al mese precedente, con 55 incidenti confermati. Le varianti più diffuse, Akira e SafePay, hanno causato interruzioni di servizi e violazioni di dati in ospedali, università e fornitori di servizi digitali. L’Associazione Bancaria Italiana (ABI) stima che le banche italiane investiranno circa 500 milioni di euro in cybersecurity nel 2026, un segnale della consapevolezza crescente del settore finanziario.
“Il 2026 sarà ricordato come l’anno in cui il crimine informatico ha smesso di essere un settore basato sui servizi ed è diventato completamente automatizzato. È iniziata l’era in cui agenti di intelligenza artificiale scoprono, sfruttano e monetizzano i punti deboli senza l’intervento umano.”
TrendAI, business unit di Trend Micro, dal report “The AI-fication of Cyberthreats: Security Predictions for 2026”
Per le aziende italiane che producono o distribuiscono prodotti digitali, questo scenario amplifica l’urgenza della conformità al CRA. Un produttore di dispositivi IoT industriali non conforme che subisce una violazione non solo affronta le sanzioni del CRA, ma anche l’esposizione reputazionale e le potenziali responsabilità civili verso i clienti europei. Il CSIRT Italia, già sovraccarico di notifiche NIS2, dovrà assorbire anche il flusso di segnalazioni CRA dal settembre 2026.
Le sanzioni del CRA: cifre che non lasciano margini di interpretazione
Il regime sanzionatorio del CRA è tra i più severi nell’ecosistema normativo europeo sulla cybersecurity. L’Articolo 64 del regolamento stabilisce una struttura a doppio livello basata sulla gravità della violazione:
- Infrazioni gravi (ad esempio, immissione sul mercato di prodotti non conformi ai requisiti essenziali): sanzione pari al maggiore tra €15 milioni e il 2,5% del fatturato annuo mondiale dell’anno precedente
- Infrazioni meno gravi (violazioni di obblighi di documentazione, cooperazione con le autorità, obblighi di comunicazione agli utenti): sanzione pari al maggiore tra €10 milioni e il 2% del fatturato annuo mondiale
- Informazioni false o fuorvianti fornite agli organismi di sorveglianza: sanzione fino a €5 milioni o 1% del fatturato annuo mondiale
Oltre alle sanzioni pecuniarie, le autorità di sorveglianza del mercato possono ritirare il prodotto dal mercato, vietarne la disponibilità o disporne il richiamo. Per un’azienda che vende sistemi di automazione industriale in tutta Europa, il richiamo del prodotto può comportare costi operativi che superano le sanzioni stesse.
Un confronto con le altre normative UE di riferimento per la cybersecurity evidenzia come il CRA si posizioni in modo coerente ma distinto nel panorama regolatorio europeo:
| Normativa | Ambito | Sanzione massima | Soggetti | Focus principale |
|---|---|---|---|---|
| CRA (2024/2847) | Prodotti con elementi digitali | €15M o 2,5% fatturato | Produttori, importatori, distributori | Sicurezza del prodotto |
| NIS2 (2022/2555) | Operatori di servizi essenziali | €10M o 2% fatturato | Aziende settori critici | Sicurezza dell’organizzazione |
| DORA (2022/2554) | Settore finanziario | €5M o 1% fatturato | Banche, assicurazioni, fintech | Resilienza operativa digitale |
| GDPR (2016/679) | Dati personali | €20M o 4% fatturato | Tutti i titolari del trattamento | Protezione dei dati |
Il contesto della minaccia: il settore dei trasporti europeo nel mirino
Il Cyber Resilience Act non nasce nel vuoto regolatorio. L’urgenza normativa riflette una realtà operativa documentata dall’ENISA nel suo rapporto NIS360 2026, pubblicato il 28 maggio 2026: il settore dei trasporti, insieme a sanità, gestione dei servizi ICT, spazio e pubblica amministrazione, rimane nella “zona di rischio” europea, dove la criticità sistemica supera la maturità della cybersecurity.
Secondo l’ENISA Threat Landscape 2024, il settore dei trasporti è stato il secondo settore più attaccato in Europa, rappresentando l’11,19% di tutti gli incidenti registrati nel periodo di riferimento. Gli attacchi DDoS sono stati la tipologia prevalente, con l’8,75% degli incidenti nel settore; il ransomware ha rappresentato l’1,54%. Nel sistema CIRAS (European Cyber Incident Repository), i trasporti hanno totalizzato il 16% di tutti gli incidenti del 2023, il secondo livello più alto per settore, con il 60% attribuito ad azioni maligne.
Questo contesto ha spinto l’ENISA a focalizzare la sua ottava edizione di Cyber Europe 2026 (10-11 giugno 2026) proprio sul settore dei trasporti, simulando attacchi coordinati simultanei a reti ferroviarie e infrastrutture marittime in tutta l’Unione. Per la prima volta, l’esercizio ha incluso un test operativo dell’EU Cybersecurity Reserve prevista dal Regolamento sulla Cibersolidarietà, adottato il 2 dicembre 2024. Questo meccanismo consente agli Stati membri di richiedere supporto da un pool di esperti preaccreditati in caso di incidenti di cybersecurity su larga scala.
“Il settore dei trasporti ferroviari e marittimi è nella zona di rischio: la criticità supera la maturità della cybersecurity. Entrambi i settori si trovano ad affrontare sfide legate a sistemi legacy e all’integrazione di infrastrutture OT con sistemi moderni.”
ENISA NIS360 2026, pubblicato il 28 maggio 2026
Open source e software libero: cosa prevede il CRA
Il trattamento del software open source nel CRA è stato uno dei punti più controversi durante la fase negoziale, con forti pressioni dalla comunità degli sviluppatori. Il testo finale del regolamento ha accolto in parte queste preoccupazioni.
Il software open source non commerciale (FOSS) è esente dai requisiti del CRA. Sono esenti anche i progetti che recuperano costi o reinvestono i profitti in attività non commerciali. Le donazioni ai progetti open source non attivano la conformità CRA. Tuttavia, chi integra componenti FOSS in prodotti commerciali deve garantire la conformità del prodotto finale: la catena di responsabilità sale al livello del produttore commerciale.
Questo crea una complessità significativa per molte aziende che sviluppano prodotti embedded basati su kernel Linux, librerie crittografiche open source o stack di rete FOSS. Il Software Bill of Materials (SBOM), già richiesto in altri contesti normativi come l’Executive Order on Cybersecurity statunitense, diventa uno strumento operativo indispensabile per documentare la catena di dipendenze software e dimostrare la conformità agli organismi di sorveglianza.
CRA vs NIS2 vs DORA: le differenze fondamentali
Una fonte di confusione frequente nelle aziende italiane è la sovrapposizione percepita tra CRA, NIS2 e DORA. Le tre normative coprono ambiti distinti e si applicano a soggetti diversi, con obblighi che in alcuni casi si combinano.
La NIS2 (recepita in Italia con il D.Lgs. 138/2024, entrata in vigore il 17 ottobre 2024) si rivolge agli operatori di servizi essenziali e importanti, focalizzandosi sulla sicurezza delle reti e dei sistemi informativi dell’organizzazione. Un produttore di router che vende anche servizi di connettività gestita può essere soggetto contemporaneamente al CRA (per il prodotto) e alla NIS2 (per il servizio).
Il DORA (Digital Operational Resilience Act, applicabile dal gennaio 2025) riguarda esclusivamente il settore finanziario: banche, assicurazioni, fintech, IMEL. Anche qui, una banca che sviluppa internamente app mobili o dispositivi hardware per autenticazione dovrà considerare sia i requisiti DORA che il CRA per quei prodotti.
Il CRA si distingue per il suo approccio orizzontale basato sul prodotto: non importa il settore dell’azienda, ma se il prodotto ha elementi digitali e viene immesso sul mercato UE. Questo rende il CRA la normativa più ampia per perimetro di applicazione.
L’impatto sulle PMI italiane e sulla catena di fornitura
Le piccole e medie imprese sono il segmento più esposto alla complessità del CRA. In Italia, il tessuto produttivo è dominato da PMI del manifatturiero e dell’elettronica che producono componenti e sistemi destinati al mercato europeo: automazione industriale, macchinari con controlli embedded, strumentazione medica, apparecchiature di rete.
Il CRA prevede alcune facilitazioni per le microimprese e le PMI nella fase di conformità post-2027, ma gli obblighi di segnalazione dell’11 settembre 2026 si applicano senza distinzioni dimensionali. Una PMI di Brescia che produce controllori PLC industriali con connettività Ethernet deve notificare vulnerabilità sfruttate entro 24 ore esattamente come un colosso multinazionale.
Nella catena di fornitura, la responsabilità si estende agli importatori e ai distributori. Chi importa in Italia prodotti tecnologici da paesi extra-UE (inclusa la Cina, che domina il mercato dei dispositivi IoT consumer) deve verificare che i prodotti soddisfino i requisiti CRA. Se il produttore extra-UE non è conforme, l’importatore italiano ne risponde direttamente. Questo crea un incentivo immediato per la due diligence dei fornitori e la revisione dei contratti di fornitura.
“Il Cyber Resilience Act è la prima normativa europea che riconosce esplicitamente il problema del software insicuro come una questione di mercato: il costo delle vulnerabilità non deve più essere esternalizzato agli utenti finali, ma internalizzato dai produttori.”
Open Source Security Foundation (OpenSSF), analisi del CRA, giugno 2026
Previsioni 2026-2027: cinque scenari per il mercato europeo
Le prossime 18 mesi ridisegneranno il panorama competitivo del mercato dei prodotti digitali in Europa. Cinque tendenze sembrano ora consolidarsi.
1. Consolidamento della catena di fornitura IoT. L’obbligo di conformità CRA genererà una selezione naturale tra i produttori di dispositivi IoT a basso costo, in particolare quelli di origine asiatica non conformi. I distributori europei che importano prodotti non certificati rischiano blocchi alle importazioni e sanzioni. Nel medio periodo, si prevede un consolidamento verso fornitori capaci di garantire supporto post-vendita e aggiornamenti di sicurezza per l’intera vita del prodotto.
2. Crescita esplosiva del mercato SBOM e gestione delle vulnerabilità. Il CRA rende lo Software Bill of Materials un requisito operativo di fatto. Le soluzioni di Software Composition Analysis (SCA) e gestione delle vulnerabilità vedrranno una domanda significativa da parte delle aziende che devono monitorare le dipendenze software dei propri prodotti in tempo reale.
3. Emergere degli organismi di valutazione accreditati come collo di bottiglia. La Classe II del CRA richiede valutazioni da parte di organismi accreditati. La capacità attuale degli organismi di certificazione europei è insufficiente per assorbire il volume atteso di richieste entro il 2027. Le aziende che iniziano il percorso di certificazione ora avranno un vantaggio competitivo significativo.
4. Cyber insurance: premi più alti per chi non è conforme. Le compagnie assicurative stanno già integrando la conformità CRA nei criteri di valutazione del rischio. Dal 2027, la mancata conformità potrebbe tradursi in esclusione dalle polizze cyber o in premi insostenibili per le PMI.
5. L’Italia guadagna terreno sulla cybersecurity industriale. Con €500 milioni di investimenti bancari nel 2026 e la crescente consapevolezza istituzionale post-NIS2, l’Italia ha le basi per posizionare le proprie eccellenze manifatturiere come leader europei nella cybersecurity dei prodotti industriali. Il distretto dell’automazione di Emilia-Romagna e l’elettronica lombarda sono i candidati naturali per diventare riferimenti europei per la certificazione CRA dei sistemi industriali.
Come prepararsi alla scadenza del CRA: la lista operativa
Con 83 giorni alla prima scadenza operativa, le aziende che non hanno ancora avviato la pianificazione CRA devono agire subito. Le priorità immediate non riguardano la conformità piena al 2027, ma la capacità di segnalazione delle vulnerabilità che scatta l’11 settembre 2026.
Inventario dei prodotti. Il primo passo è l’identificazione di tutti i prodotti con elementi digitali attualmente sul mercato UE o in pipeline. Include prodotti legacy ancora distribuiti: se ancora disponibili per l’acquisto sul mercato europeo, rientrano nell’obbligo di reporting.
Classificazione CRA. Per ciascun prodotto, determinare se rientra nella categoria standard, Critica I o Critica II. La Commissione Europea ha pubblicato orientamenti il 3 marzo 2026 per i casi limite; per le incertezze, consultare un organismo di valutazione della conformità o uno studio legale specializzato.
Processo di vulnerability management. Implementare o aggiornare i processi interni di gestione delle vulnerabilità con trigger automatici per la notifica al CSIRT entro 24 ore. Questo richiede integrazione con feed di intelligence sulle vulnerabilità (CVE, NVD, vendor-specific), monitoring dei prodotti in produzione e un team di risposta reperibile 24/7.
Software Bill of Materials. Generare e mantenere aggiornato un SBOM per ogni prodotto. Gli strumenti di SCA (CycloneDX, SPDX) sono diventati standard de facto. L’SBOM è la base documentale per rispondere rapidamente in caso di vulnerabilità nelle dipendenze.
Revisione dei contratti. Importatori e distributori devono inserire clausole CRA nei contratti con i fornitori, includendo obblighi di notifica delle vulnerabilità, garanzie di aggiornamento e responsabilità in caso di non conformità.
Copertura correlata
Per approfondire il contesto normativo e le minacce che hanno motivato il Cyber Resilience Act:
- NIS2 Italia 2026: 12.000 aziende e sanzioni fino a €10M
- NIS2 vs DORA: chi deve conformarsi, sanzioni fino a €10M
- Rapporto TIM 2026: Ransomware +14% in Italia, 166 attacchi e 48.500 CVE
- Sandworm: 30 impianti UE, 500K famiglie a rischio
- GDPR 2026: €7,1 miliardi di sanzioni, 443 violazioni al giorno
FAQ sul Cyber Resilience Act
Il CRA si applica alle aziende fuori dall’UE?
Sì. Qualsiasi produttore, importatore o distributore che immette prodotti con elementi digitali sul mercato europeo è soggetto al CRA, indipendentemente da dove sia stabilita l’azienda. Un produttore cinese, americano o indiano che vende in Europa deve rispettare il CRA o nominare un rappresentante autorizzato nell’UE.
Cosa si intende per “vulnerabilità attivamente sfruttata”?
Il CRA non fornisce una definizione tecnica precisa, ma il riferimento standard è quello utilizzato dalla CISA (Cybersecurity and Infrastructure Security Agency) americana nel suo KEV Catalog: una vulnerabilità per cui esistono prove di sfruttamento attivo in contesti reali, non solo in ambienti di test. Le aziende dovranno monitorare costantemente i feed CVE, i bollettini vendor e le comunicazioni del CSIRT nazionale per identificare tempestivamente le vulnerabilità applicabili ai propri prodotti.
Cosa succede ai prodotti già in vendita prima di dicembre 2027?
I prodotti immessi sul mercato prima dell’11 dicembre 2027 sono in linea di principio esenti dalla maggior parte dei requisiti tecnici del CRA. Tuttavia, l’obbligo di segnalazione delle vulnerabilità (Articolo 14) si applica dall’11 settembre 2026 anche ai prodotti già in circolazione. Dal dicembre 2027, solo i nuovi prodotti devono rispettare tutti i requisiti; i prodotti esistenti sono soggetti al CRA completo solo se vengono apportate “modifiche sostanziali”.
In Italia, dove si segnalano le vulnerabilità?
Il punto di contatto è il CSIRT Italia, gestito dall’Agenzia per la Cybersicurezza Nazionale. Il sito ufficiale è www.acn.gov.it. Le notifiche devono essere inviate contemporaneamente al CSIRT Italia e all’ENISA. L’ACN sta sviluppando portali dedicati per le notifiche CRA, ma alla data del 20 giugno 2026 non risultano ancora operativi i sistemi automatizzati previsti; le aziende devono prepararsi con i canali esistenti.
Il software SaaS rientra nel CRA?
I software forniti esclusivamente come servizio (SaaS) non rientrano nel perimetro del CRA, che si applica ai prodotti con elementi digitali immessi sul mercato. Tuttavia, i componenti software forniti come parte di un prodotto hardware, o il software con remote data processing che costituisce parte integrante del prodotto, rientrano. Il confine tra SaaS puro e software-embedded-in-product è uno degli aspetti più dibattuti nelle interpretazioni del regolamento; le linee guida della Commissione del marzo 2026 hanno offerto alcuni chiarimenti, ma il quadro rimane in evoluzione.
Come si calcola il marchio CE per il CRA?
Il marchio CE per i prodotti CRA segue il percorso di conformità determinato dalla classe del prodotto. Per i prodotti standard, l’autovalutazione del produttore con documentazione tecnica è sufficiente. Per i prodotti Critica I, si richiede l’applicazione di standard armonizzati o la valutazione da parte di un organismo notificato. Per i prodotti Critica II, solo un organismo notificato accreditato può rilasciare il certificato che consente l’apposizione del marchio CE. Il marchio CE CRA sarà obbligatorio per tutti i nuovi prodotti dal dicembre 2027.
Dove trovare le linee guida ufficiali sul CRA?
La Commissione Europea mantiene la pagina ufficiale sul CRA all’indirizzo digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act. L’ENISA pubblica aggiornamenti tecnici e orientamenti per le aziende sul proprio sito. Il sito european-cyber-resilience-act.com mantiene un tracker delle aggiornamenti normativi, delle scadenze e delle FAQ operative. Per l’Italia, l’ACN (acn.gov.it) è il riferimento per la supervisione nazionale e le notifiche al CSIRT.
