Il Cyber Resilience Act entra nella sua fase operativa. Mancano meno di tre mesi alla prima scadenza vincolante: dall’11 settembre 2026 i produttori di prodotti con elementi digitali dovranno segnalare a ENISA le vulnerabilità attivamente sfruttate e gli incidenti gravi. Il regolamento, formalmente Regolamento (UE) 2024/2847, è la prima legge orizzontale europea che impone requisiti di cibersicurezza obbligatori a hardware e software venduti nel mercato unico. Chi non si adegua rischia multe fino a 15 milioni di euro o il 2,5% del fatturato mondiale annuo.

Per le imprese italiane ed europee non si tratta di un esercizio teorico. Il cyber resilience act trasforma la cibersicurezza da costo opzionale a requisito di accesso al mercato, allo stesso modo in cui la marcatura CE governa già la sicurezza fisica dei prodotti. Questa analisi raccoglie le date, le categorie di rischio, gli obblighi per produttori e distributori, il regime sanzionatorio e l’impatto concreto sul tessuto produttivo del continente, con cifre verificate e fonti istituzionali.

Cos’è il Cyber Resilience Act e perché conta adesso

Il Cyber Resilience Act è stato pubblicato sulla Gazzetta Ufficiale dell’Unione europea il 20 novembre 2024 ed è entrato in vigore il 10 dicembre 2024. La Commissione europea lo descrive come il quadro orizzontale che, per la prima volta, lega i requisiti di cibersicurezza alla sorveglianza del mercato e alla marcatura CE. Lo studio legale Hogan Lovells lo definisce una “normativa pionieristica che stabilisce standard di cibersicurezza obbligatori per la maggior parte dei prodotti hardware e software immessi sul mercato UE”.

La logica è semplice quanto dirompente: fino a oggi un router, una telecamera connessa o un’applicazione potevano essere venduti in Europa senza alcun controllo minimo di sicurezza. Il cyber resilience act introduce il principio del “secure by design”, obbligando i produttori a integrare la sicurezza in ogni fase, dalla progettazione alla manutenzione. La portata è ampia: il regolamento copre i “prodotti con elementi digitali” il cui uso previsto, o ragionevolmente prevedibile, comporta una connessione dati diretta o indiretta a un dispositivo o a una rete.

Il momento è cruciale perché il calendario delle scadenze è già iniziato. La fase di preparazione si chiude e quella degli obblighi concreti comincia proprio nel 2026. Le aziende che hanno rimandato l’adeguamento contando sul 2027 scoprono ora che la prima ondata di obblighi arriva molto prima.

Le date che contano: la scadenza dell’11 settembre 2026

Il legislatore europeo ha scaglionato l’applicazione del regolamento per dare tempo alle imprese di adeguarsi. Tre date scandiscono il percorso. La prima, l’11 giugno 2026, riguarda la notifica degli organismi di valutazione della conformità da parte degli Stati membri. La seconda, l’11 settembre 2026, attiva gli obblighi di segnalazione di vulnerabilità e incidenti. La terza, l’11 dicembre 2027, segna l’applicazione piena di tutti i requisiti essenziali.

Un dettaglio spesso trascurato riguarda i prodotti già sul mercato. Secondo l’analisi di Cycode, gli articoli immessi prima dell’11 dicembre 2027 non rientrano retroattivamente nei requisiti completi del cyber resilience act, a meno che non subiscano una “modifica sostanziale” dopo tale data. Gli obblighi di segnalazione previsti dall’articolo 14, però, si applicano da settembre 2026 a tutti i prodotti, compresi quelli legacy. Una distinzione che cambia radicalmente la pianificazione delle aziende con cataloghi ampi.

DataObbligo che entra in vigoreChi è coinvolto
20 novembre 2024Pubblicazione in Gazzetta Ufficiale UETutti
10 dicembre 2024Entrata in vigore del regolamentoTutti
11 giugno 2026Notifica degli organismi di valutazione della conformitàStati membri
11 settembre 2026Obblighi di segnalazione di vulnerabilità e incidenti (art. 14)Produttori
11 dicembre 2027Applicazione piena: requisiti essenziali, conformità, CEProduttori, importatori, distributori

Quali prodotti rientrano: i “prodotti con elementi digitali”

La definizione di “prodotto con elementi digitali” è volutamente larga. Comprende qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati a distanza, inclusi i componenti software o hardware venduti separatamente. In pratica, ricadono nel perimetro sistemi operativi, applicazioni mobili, router domestici, telecamere IP, giocattoli connessi, software gestionali, librerie commerciali e dispositivi industriali IoT.

Il criterio chiave è la connessione: se l’uso previsto del prodotto comporta un collegamento logico o fisico, diretto o indiretto, a un dispositivo o a una rete, il cyber resilience act si applica. Conta anche il principio del mercato: la normativa vale per tutti i prodotti messi a disposizione sul mercato UE, indipendentemente da dove ha sede il produttore. Un’azienda con base negli Stati Uniti o in Asia che vende in Italia deve rispettare le stesse regole di un produttore tedesco o francese.

Restano esclusi alcuni settori già regolati da normative settoriali specifiche, come dispositivi medici, veicoli e prodotti aeronautici, per evitare sovrapposizioni. Anche i servizi cloud puri, che ricadono sotto la direttiva NIS2, non rientrano direttamente nel CRA, anche se le soluzioni di elaborazione dati a distanza collegate a un prodotto sì.

Le tre categorie di rischio: default, importante, critico

Il regolamento classifica i prodotti in base al rischio, modulando di conseguenza la severità della valutazione di conformità. Esistono tre raggruppamenti: default, importante e critico. La categoria “importante” si divide a sua volta in due classi, comunemente indicate come classe I e classe II.

La voce di Wikipedia sul regolamento stima che circa il 90% dei prodotti con elementi digitali ricada nella categoria default, per cui i produttori effettuano un’autovalutazione, redigono una dichiarazione di conformità UE e forniscono la documentazione tecnica. Questo dato proviene da una fonte enciclopedica e non dal testo legale, quindi va trattato come stima indicativa. I prodotti “critici”, invece, dovranno superare audit esterni e valutazioni di conformità più rigorose.

CategoriaEsempi indicativiTipo di valutazione
Default (circa 90%)App, software gestionali, dispositivi IoT comuniAutovalutazione e dichiarazione UE
Importante classe IGestori di password, VPN, browser, sistemi di rete domesticiStandard armonizzati o valutazione
Importante classe IISistemi operativi, firewall, microprocessori, hypervisorValutazione di terza parte
CriticoSmart card, HSM, dispositivi sicuri a uso strategicoAudit esterni e conformità rafforzata

La classificazione determina quanto un’azienda dovrà investire. Per un produttore di un’app commerciale il percorso resta relativamente snello. Per chi realizza sistemi operativi o firewall, la valutazione di terza parte impone costi e tempi che vanno pianificati con largo anticipo rispetto al 2027.

Obblighi per produttori, importatori e distributori

Il peso maggiore ricade sui produttori. Devono rispettare i requisiti essenziali di cibersicurezza nella pianificazione, progettazione, sviluppo e manutenzione del prodotto, lungo tutta la catena del valore. Tra gli obblighi figurano la valutazione del rischio prima dell’immissione sul mercato, la gestione delle vulnerabilità per l’intero periodo di supporto e la fornitura di aggiornamenti di sicurezza.

Un punto rilevante riguarda gli aggiornamenti automatici. Il software per cui ci si attende ragionevolmente l’aggiornamento automatico dovrà distribuire le patch di sicurezza per impostazione predefinita, lasciando agli utenti la possibilità di disattivarle. Quando possibile, gli aggiornamenti di sicurezza vanno separati da quelli funzionali. Le aziende devono inoltre conservare documentazione e inventario dei dati per 10 anni dopo l’immissione sul mercato o per la durata del periodo di supporto, se più lunga.

Importatori e distributori non sono spettatori. Secondo l’analisi di Cycode, devono verificare che i prodotti siano conformi, dotati di documentazione tecnica e marcatura CE prima di immetterli in circolazione. La responsabilità, quindi, si distribuisce lungo l’intera filiera, un meccanismo che richiama da vicino le logiche già viste negli attacchi alla supply chain che hanno colpito centinaia di aziende.

Reporting a ENISA: la Single Reporting Platform e la regola delle 24 ore

Il cuore operativo del 2026 è l’obbligo di segnalazione. A partire dall’11 settembre, i produttori dovranno notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi che compromettono riservatezza, integrità o disponibilità del prodotto. La segnalazione passa per la Single Reporting Platform di ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e va trasmessa anche al CSIRT nazionale competente.

La tempistica è stringente. Le fonti indicano un meccanismo di allerta precoce entro 24 ore dalla scoperta di una vulnerabilità sfruttata o di un incidente grave. La voce enciclopedica sul regolamento conferma l’obbligo di notificare ENISA entro 24 ore dalla presa di consapevolezza. La formulazione esatta delle finestre temporali successive resta da consolidare nelle linee guida attuative, ma la direzione è chiara: la trasparenza sulle vulnerabilità diventa obbligo di legge, non scelta volontaria.

Questa architettura avvicina il CRA al modello di segnalazione già introdotto per il settore finanziario dal Regolamento DORA e alla logica della direttiva NIS2. La differenza è il perimetro: il cyber resilience act non guarda alle organizzazioni critiche, ma ai prodotti, spostando l’obbligo direttamente sui produttori di tecnologia.

Marcatura CE e valutazione di conformità

La marcatura CE è il simbolo più visibile del regolamento. I prodotti che soddisfano i requisiti del CRA dovranno apporre la marcatura CE per indicare la conformità, esattamente come accade da decenni per la sicurezza elettrica o meccanica. Secondo la Commissione europea, i prodotti che recano la marcatura CE garantiranno “un livello minimo di controlli di cibersicurezza”.

Il regolamento si inserisce nel quadro della sorveglianza del mercato dell’Unione, modificando l’allegato I del Regolamento (UE) 2019/1020 in modo che le autorità nazionali coordinino controlli e azioni congiunte transfrontaliere. Le verifiche, in altre parole, non saranno isolate per Stato, ma potranno tradursi in campagne coordinate a livello europeo. Per un’azienda significa che un prodotto bloccato in un Paese può esserlo rapidamente in tutti gli altri.

Autovalutazione contro valutazione di terza parte

Il livello di scrutinio dipende dalla categoria di rischio. Per la maggioranza dei prodotti, l’autovalutazione accompagnata dalla dichiarazione di conformità UE è sufficiente. Per i prodotti importanti di classe II e per quelli critici interviene un organismo notificato. È qui che diventa rilevante la scadenza dell’11 giugno 2026: senza organismi di valutazione notificati e operativi, l’intera macchina della conformità non può funzionare in tempo per il 2027.

Multe fino a 15 milioni di euro: il regime sanzionatorio

Le sanzioni danno mordente al regolamento. La violazione dei requisiti essenziali o degli obblighi di segnalazione può comportare multe fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo totale dell’esercizio precedente, a seconda di quale importo sia più elevato. La cifra colloca il CRA nella stessa fascia di severità del GDPR e dei principali strumenti regolatori digitali europei.

Le sanzioni sono modulate. Le violazioni meno gravi, come la mancata collaborazione con le autorità o la documentazione incompleta, prevedono soglie inferiori. Resta però il principio: per un’azienda con fatturato miliardario, il 2,5% può superare di gran lunga i 15 milioni, rendendo l’inadempienza un rischio finanziario di prima grandezza. La sorveglianza del mercato e i meccanismi nazionali di enforcement completano il quadro.

Tipo di violazioneSanzione massimaBase di calcolo
Requisiti essenziali e obblighi produttori15 milioni € o 2,5% fatturatoFatturato mondiale annuo, esercizio precedente
Altri obblighi del regolamento10 milioni € o 2% fatturatoFatturato mondiale annuo
Informazioni inesatte o incomplete5 milioni € o 1% fatturatoFatturato mondiale annuo
Sviluppatori open source non commercialiNessuna multaEsclusi dal regime sanzionatorio

Open source: come il CRA tratta gli “steward”

Uno dei temi più dibattuti durante l’iter legislativo è stato il trattamento del software libero. La comunità open source temeva che obblighi di conformità pensati per i grandi produttori finissero per schiacciare i progetti volontari. Il testo finale introduce la figura dello steward open source e, secondo le fonti disponibili, esclude gli sviluppatori open source non commerciali dal regime sanzionatorio. La voce enciclopedica conferma che le multe non si applicano agli sviluppatori open source non commerciali.

La portata esatta degli obblighi degli steward e la definizione giuridica della figura non sono ancora del tutto chiarite nelle fonti pubbliche, e attendono le linee guida attuative. Il principio, però, segna un compromesso: distinguere chi sviluppa software come attività economica da chi contribuisce a un bene comune digitale senza scopo di lucro. Per l’ecosistema europeo, dove molte infrastrutture poggiano su componenti open source, è una distinzione tutt’altro che marginale.

Impatto sul mercato e sulle aziende europee

L’effetto del cyber resilience act sul mercato è profondo perché agisce sulla condizione stessa di vendita. Senza conformità, niente marcatura CE; senza marcatura CE, niente accesso al mercato unico da quasi 450 milioni di consumatori. Questo trasforma la cibersicurezza in un fattore competitivo: chi si adegua prima conquista un vantaggio, chi resta indietro rischia l’esclusione.

Le fonti consultate non forniscono una stima ufficiale e verificabile dei costi di conformità complessivi né del numero esatto di prodotti o aziende coinvolte. Su questo punto è doveroso non avventurarsi in numeri non confermati. È però ragionevole attendersi un impatto significativo sulle piccole e medie imprese, che dispongono di risorse limitate per documentazione tecnica, gestione delle vulnerabilità e valutazioni di conformità. La gradualità delle scadenze nasce proprio per attenuare questo squilibrio.

Sul fronte opposto, il regolamento crea un mercato per servizi di compliance, audit e gestione delle vulnerabilità. Gli organismi notificati, i consulenti e i fornitori di piattaforme di sicurezza vedono aprirsi una domanda strutturale. Lo stesso vale per le competenze interne: profili capaci di gestire il ciclo di vita della sicurezza di un prodotto diventano una risorsa scarsa e contesa.

CRA, NIS2, DORA e Cybersecurity Act 2.0: come si incastrano

Il CRA non vive isolato. Si inserisce in un mosaico di norme europee sulla cibersicurezza che, viste insieme, ridisegnano il rapporto tra tecnologia e responsabilità legale. La direttiva NIS2 regola le organizzazioni che gestiscono servizi essenziali. Il Regolamento DORA si concentra sul settore finanziario. Il cyber resilience act, invece, guarda ai prodotti.

A questo quadro si aggiunge il pacchetto presentato dalla Commissione il 20 gennaio 2026, ribattezzato dagli analisti “Cybersecurity Act 2.0”, che propone di rafforzare ENISA e semplificare la certificazione. Le riforme della certificazione, secondo le analisi, mirano ad allinearsi proprio al CRA per ridurre gli oneri amministrativi e migliorare la coerenza tra le diverse leggi. Chi vuole approfondire può leggere la nostra analisi sul Cybersecurity Act 2.0 e sul Regolamento DORA.

La sovrapposizione tra queste norme è anche fonte di complessità. Un’azienda finanziaria che produce software, per esempio, può trovarsi a dover rispettare contemporaneamente DORA, NIS2 e CRA. La semplificazione promessa dal pacchetto di gennaio nasce per ridurre questa frammentazione, ma il percorso legislativo è appena iniziato.

Cosa significa per l’Italia e l’ACN

In Italia il regolamento si innesta su un’architettura nazionale già strutturata. L’Agenzia per la Cybersicurezza Nazionale (ACN) coordina la strategia di sicurezza del Paese e ospita il CSIRT Italia, il punto di riferimento per la gestione degli incidenti. Con l’avvio degli obblighi di segnalazione dell’11 settembre 2026, il CSIRT nazionale diventa il canale verso cui i produttori italiani indirizzeranno le notifiche, in parallelo alla piattaforma ENISA.

Le fonti consultate non offrono cifre specifiche e verificate sull’impatto del CRA per l’Italia o sui costi di adeguamento per l’ACN, quindi evitiamo proiezioni non confermate. Sul piano qualitativo, però, l’effetto è chiaro: il sistema produttivo italiano, ricco di PMI manifatturiere che integrano componenti digitali nei propri prodotti, dovrà colmare in fretta un divario di competenze e processi. Il coordinamento tra ACN, autorità di sorveglianza del mercato ed ENISA sarà decisivo per evitare che le imprese più piccole restino schiacciate dagli adempimenti.

Il tessuto industriale italiano, dalla domotica all’automazione di fabbrica, è esposto in pieno. Un produttore di elettrodomestici connessi, di centraline industriali o di software gestionale rientra senza ambiguità nel perimetro del cyber resilience act. Per molte di queste realtà, abituate a competere sulla qualità del prodotto fisico, la sicurezza del software diventa un terreno nuovo.

Contesto storico: dalla sicurezza fisica al “secure by design”

Per capire la portata del CRA conviene guardare indietro. La marcatura CE nasce negli anni Ottanta e Novanta per garantire che i prodotti fisici venduti in Europa rispettassero standard minimi di sicurezza, dalla compatibilità elettromagnetica alla resistenza meccanica. Per decenni, però, la sicurezza informatica dei prodotti è rimasta fuori da questo schema. Un dispositivo poteva essere perfettamente sicuro dal punto di vista elettrico e completamente vulnerabile sul piano digitale.

Gli ultimi anni hanno reso insostenibile questa lacuna. Botnet costruite su dispositivi IoT non aggiornati, vulnerabilità in router e telecamere, attacchi che sfruttano software dimenticato dai produttori: la superficie d’attacco è esplosa con la diffusione dei dispositivi connessi. Il CRA è la risposta strutturale dell’Unione, lo stesso impulso che ha guidato l’attenzione crescente verso temi come la minaccia ransomware e la resilienza collettiva testata in esercizi come Cyber Europe 2026.

Il principio del “secure by design” sposta la responsabilità a monte. Non è più l’utente a doversi proteggere da un prodotto insicuro, ma il produttore a dover garantire la sicurezza fin dalla progettazione. È un cambio di paradigma che allinea la sicurezza digitale agli standard che da tempo regolano la sicurezza fisica.

Previsioni: cosa aspettarsi entro il 2027

Sulla base del quadro normativo e delle dinamiche di mercato, emergono alcune previsioni ragionevoli per i prossimi diciotto mesi.

  • Corsa agli organismi notificati. Con la scadenza dell’11 giugno 2026, gli Stati membri dovranno notificare in fretta gli organismi di valutazione. Probabile un collo di bottiglia nella capacità di certificazione, soprattutto per i prodotti di classe II e critici.
  • Pressione sulle PMI. Le piccole imprese chiederanno linee guida semplificate e supporto pubblico. È prevedibile l’emergere di servizi di compliance “chiavi in mano” pensati per chi non ha team di sicurezza interni.
  • Effetto Bruxelles globale. Come accaduto con il GDPR, molti produttori extra-UE applicheranno gli standard CRA all’intera linea di prodotti per semplificare la logistica, estendendo di fatto le regole europee oltre i confini del continente.
  • Crescita della domanda di SBOM. La distinta dei componenti software (Software Bill of Materials) diventerà uno strumento standard per documentare le dipendenze e gestire le vulnerabilità lungo la filiera.
  • Convergenza normativa. Il pacchetto “Cybersecurity Act 2.0” e gli interventi di semplificazione spingeranno verso un’armonizzazione tra CRA, NIS2 e DORA, riducendo nel tempo le sovrapposizioni che oggi gravano sulle aziende multisettore.

Come prepararsi: checklist operativa per le imprese

L’adeguamento al cyber resilience act richiede un percorso strutturato. Le aziende che partono ora hanno il tempo di arrivare preparate alle scadenze. Ecco i passaggi prioritari da affrontare.

  1. Inventario dei prodotti. Mappare tutti i prodotti con elementi digitali venduti nell’UE e classificarli per categoria di rischio (default, importante, critico).
  2. Gap analysis. Confrontare i processi attuali con i requisiti essenziali del CRA, identificando le lacune nella gestione delle vulnerabilità e nella documentazione.
  3. Processo di reporting. Predisporre entro l’estate 2026 il flusso di segnalazione verso ENISA e il CSIRT nazionale, con responsabilità e tempistiche definite per rispettare le 24 ore.
  4. Aggiornamenti e supporto. Definire la politica di aggiornamenti di sicurezza automatici e il periodo di supporto, con la documentazione da conservare per 10 anni.
  5. Catena di fornitura. Coinvolgere fornitori, importatori e distributori per garantire la conformità lungo tutta la filiera, richiedendo SBOM e dichiarazioni di conformità.

Le imprese più mature stanno già integrando questi passaggi nei propri processi di sviluppo, anticipando di fatto la scadenza del 2027. Per approfondire le buone pratiche di sicurezza, è utile consultare la nostra sezione dedicata alla sicurezza.

Domande frequenti sul Cyber Resilience Act

Quando entra in vigore il Cyber Resilience Act?

Il regolamento è entrato in vigore il 10 dicembre 2024. Gli obblighi si applicano in modo scaglionato: la notifica degli organismi di valutazione dall’11 giugno 2026, gli obblighi di segnalazione dall’11 settembre 2026 e l’applicazione piena dall’11 dicembre 2027.

Quali prodotti rientrano nel CRA?

Tutti i “prodotti con elementi digitali”, cioè hardware e software il cui uso comporta una connessione dati diretta o indiretta a un dispositivo o a una rete. Restano esclusi i settori già coperti da normative specifiche, come dispositivi medici, veicoli e prodotti aeronautici.

Quali sono le multe per la non conformità?

Le sanzioni massime per la violazione dei requisiti essenziali arrivano a 15 milioni di euro o al 2,5% del fatturato mondiale annuo totale dell’esercizio precedente, a seconda di quale importo sia più elevato. Esistono soglie inferiori per violazioni meno gravi.

Il CRA si applica al software open source?

Il regolamento introduce la figura dello steward open source, ma esclude gli sviluppatori open source non commerciali dal regime sanzionatorio. La portata esatta degli obblighi per gli steward attende ancora chiarimenti nelle linee guida attuative.

Cosa devono segnalare le aziende dall’11 settembre 2026?

I produttori dovranno notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi che compromettono riservatezza, integrità o disponibilità del prodotto, trasmettendo la segnalazione tramite la Single Reporting Platform di ENISA e al CSIRT nazionale competente, con un’allerta precoce entro 24 ore.

Il CRA vale anche per le aziende non europee?

Sì. Si applica il principio del mercato: qualsiasi produttore che immette prodotti con elementi digitali sul mercato UE deve rispettare il regolamento, indipendentemente dal Paese in cui ha sede o produce.

Che rapporto c’è tra CRA, NIS2 e DORA?

Le tre norme coprono ambiti diversi: NIS2 le organizzazioni che gestiscono servizi essenziali, DORA il settore finanziario, il CRA i prodotti con elementi digitali. Il pacchetto “Cybersecurity Act 2.0” del gennaio 2026 punta a ridurre le sovrapposizioni e ad armonizzare la certificazione.

Fonti e approfondimenti

Articolo pubblicato il 17 giugno 2026. I dati normativi citati si riferiscono al Regolamento (UE) 2024/2847 e alle fonti istituzionali disponibili a giugno 2026. Le cifre prive di fonte ufficiale verificabile sono state segnalate come stime o omesse.