{"id":254,"date":"2026-06-20T04:00:00","date_gmt":"2026-06-20T04:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/?p=254"},"modified":"2026-06-20T04:31:00","modified_gmt":"2026-06-20T04:31:00","slug":"cyber-resilience-act-2026-scadenza-settembre-sanzioni","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/20\/cyber-resilience-act-2026-scadenza-settembre-sanzioni\/","title":{"rendered":"Cyber Resilience Act: 83 Giorni alla Scadenza, Sanzioni fino a \u20ac15M [2026]"},"content":{"rendered":"\n

L’11 settembre 2026 non \u00e8 solo una data sul calendario: \u00e8 il giorno in cui il Cyber Resilience Act<\/strong> impone agli oltre 400.000 produttori di prodotti digitali nell’Unione Europea di segnalare vulnerabilit\u00e0 attivamente sfruttate entro 24 ore. Mancano 83 giorni. Chi non \u00e8 pronto rischia sanzioni fino a \u20ac15 milioni o il 2,5% del fatturato globale<\/strong>, il ritiro dal mercato e l’esclusione dalle catene di fornitura europee.<\/p>\n\n\n\n

Il Cyber Resilience Act (Regolamento UE 2024\/2847) \u00e8 entrato in vigore il 10 dicembre 2024 come prima normativa europea a imporre requisiti vincolanti di sicurezza informatica per tutti i prodotti con elementi digitali. La scadenza del 11 giugno 2026 per gli organismi di valutazione della conformit\u00e0 \u00e8 gi\u00e0 trascorsa. Ora il conto alla rovescia punta all’11 settembre 2026, quando scattano gli obblighi di segnalazione, e molte aziende italiane non sono ancora pronte.<\/p>\n\n\n\n

Tre mesi alla scadenza: cosa cambia l’11 settembre 2026<\/h2>\n\n\n\n

La data dell’11 settembre 2026 segna un cambiamento fondamentale nel panorama della cybersecurity europea. Da quel giorno, qualsiasi produttore di prodotti con elementi digitali sul mercato UE, indipendentemente da dove sia stabilito, deve notificare all’ENISA e al CSIRT nazionale competente ogni vulnerabilit\u00e0 attivamente sfruttata entro 24 ore<\/strong> dal momento in cui ne viene a conoscenza.<\/p>\n\n\n\n

L’obbligo si applica anche ai prodotti gi\u00e0 presenti sul mercato prima del dicembre 2027, compreso chi ha immesso il proprio dispositivo sul mercato anni fa. Una stampante di rete venduta nel 2019, un router industriale del 2021, un sistema di controllo IoT del 2023: tutti rientrano nel perimetro se ancora disponibili sul mercato europeo.<\/p>\n\n\n\n

Il ricercatore di sicurezza di Keysight Technologies<\/strong> ha sintetizzato il rischio nella sua analisi di settembre 2025: “La maggior parte delle organizzazioni crede di avere tempo fino all’11 dicembre 2027 per conformarsi al CRA. Questa ipotesi \u00e8 pericolosamente sbagliata. La prima scadenza reale \u00e8 l’11 settembre 2026.” Questa confusione tra la scadenza per il reporting e quella per la piena conformit\u00e0 sta esponendo migliaia di aziende italiane ed europee a rischi legali immediati.<\/p>\n\n\n\n

Il processo di notifica si articola in tre fasi distinte. Entro 24 ore dall’identificazione di una vulnerabilit\u00e0 attivamente sfruttata, l’azienda deve inviare una prima notifica con informazioni preliminari sul prodotto, la natura della vulnerabilit\u00e0 e i potenziali impatti. Entro 72 ore, segue un rapporto pi\u00f9 dettagliato con informazioni tecniche aggiornate. Infine, entro 14 giorni dall’adozione di misure correttive o di mitigazione, va presentata la relazione finale con analisi della causa radice, misure implementate e aggiornamenti pianificati.<\/p>\n\n\n\n

Cos’\u00e8 il Cyber Resilience Act: la prima legge UE sulla sicurezza dei prodotti<\/h2>\n\n\n\n

Il Cyber Resilience Act<\/strong> rappresenta una svolta storica nella regolamentazione europea: per la prima volta, la sicurezza informatica diventa un requisito legale obbligatorio per i prodotti digitali, non una scelta commerciale. Prima del CRA, un produttore poteva vendere dispositivi connessi con vulnerabilit\u00e0 note senza conseguenze legali dirette. Dal 2027, questo non sar\u00e0 pi\u00f9 possibile.<\/p>\n\n\n\n

Il regolamento si applica a qualsiasi prodotto con elementi digitali: hardware e software destinati al mercato UE con connessione diretta o indiretta a un dispositivo o a una rete. Telecamere di sorveglianza, frigoriferi smart, router, sistemi SCADA industriali, software gestionale, password manager, sistemi operativi. Circa il 90% dei prodotti rientra nei requisiti standard; il restante 10% cade nelle categorie Critica I e Critica II, con obblighi pi\u00f9 severi.<\/p>\n\n\n\n

La Commissione Europea ha pubblicato le prime linee guida operative il 3 marzo 2026, offrendo chiarimenti su casi limite come la classificazione dei componenti software open source integrati in prodotti commerciali e i criteri per definire una “modifica sostanziale” che richiede nuova valutazione di conformit\u00e0. Queste linee guida hanno ridotto alcune incertezze normative, ma molte aziende italiane, in particolare le PMI del manifatturiero e dell’elettronica, stanno ancora valutando il perimetro dei propri obblighi.<\/p>\n\n\n\n

\n

“Il CRA rappresenta un punto di svolta: come prima regolamentazione europea applicabile orizzontalmente sulla cybersecurity, rende obbligatoria la sicurezza per tutti i prodotti con elementi digitali. Non si tratta pi\u00f9 di una scelta competitiva, ma di un obbligo legale.”<\/p>\nTaylor Wessing, analisi legale CRA, novembre 2025<\/cite>\n<\/blockquote>\n\n\n\n

La timeline completa del CRA: tre scadenze critiche<\/h2>\n\n\n\n

Il CRA segue una struttura di implementazione graduale con tre scadenze operative principali. Comprendere esattamente quali obblighi scattano in ciascuna data \u00e8 essenziale per la pianificazione della conformit\u00e0.<\/p>\n\n\n\n

Data<\/th>Scadenza<\/th>Soggetti interessati<\/th>Conseguenze del mancato rispetto<\/th><\/tr><\/thead>
10 dic 2024<\/strong><\/td>CRA entra in vigore (Reg. UE 2024\/2847)<\/td>Tutti i produttori\/importatori\/distributori UE<\/td>Inizio del periodo transitorio<\/td><\/tr>
11 giu 2026<\/strong><\/td>Notifica degli organismi di valutazione della conformit\u00e0<\/td>Autorit\u00e0 nazionali (BSI Germania, ACN Italia)<\/td>Ritardo nell’accreditamento delle CAB<\/td><\/tr>
11 set 2026<\/strong><\/td>Obblighi di segnalazione vulnerabilit\u00e0 (Art. 14)<\/td>Tutti i produttori di PDE sul mercato UE<\/td>Sanzioni fino a \u20ac15M o 2,5% del fatturato<\/td><\/tr>
11 dic 2027<\/strong><\/td>Piena conformit\u00e0: tutti i requisiti del CRA<\/td>Tutti i soggetti della filiera<\/td>Divieto di immissione sul mercato UE<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La Germania ha gi\u00e0 nominato il Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) come autorit\u00e0 competente per il CRA e da giugno 2026 il BSI notifica i soggetti terzi autorizzati come organismi di valutazione della conformit\u00e0, con il potere di ispezionare i prodotti per la conformit\u00e0 alla cybersecurity. In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN)<\/strong> svolger\u00e0 il ruolo equivalente, sebbene la designazione formale non sia ancora stata formalizzata con decreto ministeriale al 20 giugno 2026.<\/p>\n\n\n\n

Quali prodotti rientrano nel perimetro del CRA<\/h2>\n\n\n\n

La definizione di “prodotto con elementi digitali” (PDE) nel CRA \u00e8 volutamente ampia per coprire l’intero ecosistema digitale. Il criterio chiave \u00e8 la capacit\u00e0 di connessione, diretta o indiretta, a un dispositivo o a una rete. In pratica, questo include la grande maggioranza dei prodotti hardware e software disponibili sul mercato europeo.<\/p>\n\n\n\n

Sul fronte hardware rientrano router e switch, telecamere di sorveglianza, dispositivi IoT consumer (frigoriferi smart, termostati, speaker intelligenti), apparecchiature industriali OT, dispositivi medici connessi, moduli di controllo industriale, hardware crittografico. Sul fronte software: sistemi operativi, software di gestione della rete, applicazioni di sicurezza informatica, software embedded, browser e client email.<\/p>\n\n\n\n

Le esenzioni principali riguardano prodotti gi\u00e0 coperti da normative di settore specifiche con requisiti di sicurezza equivalenti: dispositivi medici (Regolamento MDR 2017\/745), veicoli a motore (Regolamento (UE) 2019\/2144), prodotti aeronautici e le attrezzature navali. Anche il software non commerciale open source (FOSS) \u00e8 esente, a patto che non venga commercializzato: chi integra componenti FOSS in prodotti commerciali deve comunque garantire la conformit\u00e0 del prodotto finale.<\/p>\n\n\n\n

Le tre classi di prodotti: standard, Critica I e Critica II<\/h2>\n\n\n\n

Il CRA distingue tre livelli di criticit\u00e0 per i prodotti con elementi digitali, ciascuno con requisiti di conformit\u00e0 crescenti. Questa classificazione determina quale percorso di valutazione deve seguire il produttore prima di apporre il marchio CE e immettere il prodotto sul mercato UE dopo il dicembre 2027.<\/p>\n\n\n\n

Classe CRA<\/th>Quota mercato<\/th>Esempi di prodotti<\/th>Requisiti di conformit\u00e0<\/th>Valutazione<\/th><\/tr><\/thead>
Standard (Default)<\/strong><\/td>~90%<\/td>Router domestici, stampanti, smart TV, IoT consumer<\/td>Requisiti essenziali CRA, Annex I<\/td>Autovalutazione + documentazione<\/td><\/tr>
Critica Classe I<\/strong><\/td>~9%<\/td>Password manager, interfacce di rete, microcontrollori, firewall<\/td>Standard armonizzati o valutazione terze parti<\/td>Standard EN o audit esterno<\/td><\/tr>
Critica Classe II<\/strong><\/td>~1%<\/td>Sistemi operativi, CPU, HSM, secure elements, hypervisor<\/td>Valutazione obbligatoria di terze parti<\/td>Solo organismo accreditato<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La Commissione Europea ha riservato la Classe II ai componenti con il maggior impatto potenziale sulla sicurezza dell’intero ecosistema digitale europeo. Un sistema operativo compromesso o un processore con vulnerabilit\u00e0 hardware pu\u00f2 esporre milioni di dispositivi simultaneamente. Per questi prodotti, nessuna autovalutazione \u00e8 ammessa: solo un organismo terzo accreditato pu\u00f2 rilasciare la certificazione necessaria.<\/p>\n\n\n\n

Gli obblighi di segnalazione: 24 ore per notificare le vulnerabilit\u00e0<\/h2>\n\n\n\n

Gli obblighi di segnalazione previsti dall’Articolo 14 del CRA sono tra gli aspetti pi\u00f9 operativamente complessi per le aziende. A partire dall’11 settembre 2026, ogni produttore con prodotti sul mercato UE deve disporre di processi interni in grado di rilevare, classificare e notificare vulnerabilit\u00e0 attivamente sfruttate in tempi che nessun sistema manuale pu\u00f2 garantire con affidabilit\u00e0.<\/p>\n\n\n\n

Le notifiche vanno inviate simultaneamente al CSIRT nazionale competente (in Italia, il CSIRT Italia di ACN) e all’ENISA. Questo duplica la complessit\u00e0 amministrativa per le aziende con prodotti in pi\u00f9 mercati UE, che possono trovarsi a notificare pi\u00f9 CSIRT nazionali per lo stesso incidente.<\/p>\n\n\n\n

Un aspetto critico spesso sottovalutato: l’obbligo si applica retroattivamente a prodotti gi\u00e0 presenti sul mercato. Come specificato nell’articolo 14(6) del regolamento, la deroga al regime completo per i prodotti immessi sul mercato prima del dicembre 2027 non si estende agli obblighi di reporting dell’Articolo 14. Un’azienda che ha venduto router nel 2022 deve, a partire dall’11 settembre 2026, segnalare qualsiasi vulnerabilit\u00e0 attivamente sfruttata in quei dispositivi ancora in circolazione.<\/p>\n\n\n\n

\n

“Dal 2026, la sicurezza informatica diventa un obbligo legale durante l’intero ciclo di vita del prodotto. Questo vale anche per i prodotti legacy gi\u00e0 distribuiti anni fa: se sono ancora sul mercato e emerge una vulnerabilit\u00e0 sfruttata, il produttore deve notificarla entro 24 ore.”<\/p>\nHogan Lovells, analisi CRA del 10 giugno 2026<\/cite>\n<\/blockquote>\n\n\n\n

Il CRA in Italia: ACN come autorit\u00e0 di vigilanza<\/h2>\n\n\n\n

In Italia, l’Agenzia per la Cybersicurezza Nazionale<\/strong> \u00e8 destinata a svolgere il ruolo di autorit\u00e0 di sorveglianza del mercato per il CRA, in linea con le funzioni gi\u00e0 esercitate in ambito NIS2. L’ACN gestisce il CSIRT Italia, il punto di contatto nazionale per le notifiche di incidenti e vulnerabilit\u00e0 ai sensi sia della direttiva NIS2 che, a partire da settembre 2026, del CRA.<\/p>\n\n\n\n

Il contesto italiano giustifica l’urgenza della conformit\u00e0. Secondo il rapporto operativo ACN per il primo semestre 2025, in Italia si sono verificati 1.549 eventi informatici<\/strong> nei primi sei mesi dell’anno, con un aumento del 53%<\/strong> rispetto allo stesso periodo del 2024. Gli incidenti con impatto confermato sono saliti a 346<\/strong>, quasi il doppio rispetto al 2024. I settori pi\u00f9 colpiti rimangono la Pubblica Amministrazione, le telecomunicazioni, la sanit\u00e0 e l’energia.<\/p>\n\n\n\n

Solo nel settembre 2025, il CSIRT Italia ha registrato 270 casi di ransomware<\/strong>, un aumento del 103%<\/strong> rispetto al mese precedente, con 55 incidenti confermati. Le varianti pi\u00f9 diffuse, Akira e SafePay, hanno causato interruzioni di servizi e violazioni di dati in ospedali, universit\u00e0 e fornitori di servizi digitali. L’Associazione Bancaria Italiana (ABI)<\/strong> stima che le banche italiane investiranno circa 500 milioni di euro<\/strong> in cybersecurity nel 2026, un segnale della consapevolezza crescente del settore finanziario.<\/p>\n\n\n\n

\n

“Il 2026 sar\u00e0 ricordato come l’anno in cui il crimine informatico ha smesso di essere un settore basato sui servizi ed \u00e8 diventato completamente automatizzato. \u00c8 iniziata l’era in cui agenti di intelligenza artificiale scoprono, sfruttano e monetizzano i punti deboli senza l’intervento umano.”<\/p>\nTrendAI, business unit di Trend Micro, dal report “The AI-fication of Cyberthreats: Security Predictions for 2026”<\/cite>\n<\/blockquote>\n\n\n\n

Per le aziende italiane che producono o distribuiscono prodotti digitali, questo scenario amplifica l’urgenza della conformit\u00e0 al CRA. Un produttore di dispositivi IoT industriali non conforme che subisce una violazione non solo affronta le sanzioni del CRA, ma anche l’esposizione reputazionale e le potenziali responsabilit\u00e0 civili verso i clienti europei. Il CSIRT Italia, gi\u00e0 sovraccarico di notifiche NIS2, dovr\u00e0 assorbire anche il flusso di segnalazioni CRA dal settembre 2026.<\/p>\n\n\n\n

Le sanzioni del CRA: cifre che non lasciano margini di interpretazione<\/h2>\n\n\n\n

Il regime sanzionatorio del CRA \u00e8 tra i pi\u00f9 severi nell’ecosistema normativo europeo sulla cybersecurity. L’Articolo 64 del regolamento stabilisce una struttura a doppio livello basata sulla gravit\u00e0 della violazione:<\/p>\n\n\n\n