CRA für italienische Hersteller: ACN, ACCREDIA, Legge 36/2026

Länderüberblick für italienische Hersteller: ACN als Behörde, ACCREDIA-Akkreditierung, OCSI/EUCC, italienische Sprachpflichten und Transizione 5.0.

CRA Evidence-Team Veröffentlicht 6. Januar 2026 Aktualisiert 15. Juni 2026
Länder-Brief zur Legge sulla ciberresilienza für italienische Hersteller: ACN-Dokument mit zwei Siegeln (Art. 36 und Art. 52) als nationale institutionelle Kette
In diesem Artikel

Italienische Hersteller unterliegen denselben Pflichten aus der Legge sulla ciberresilienza wie alle anderen EU-Hersteller. Diese Seite ist ein Länder-Brief für Italien: wie Meldungen zu Schwachstellen und Vorfällen über CSIRT Italia laufen, wie ACN gemäß Legge 36/2026 gleichzeitig als notifizierende Behörde und als Marktüberwachungsbehörde fungiert, welche Rolle ACCREDIA als Akkreditierungsschritt übernimmt, wie OCSI in das europäische EUCC-Schema eingebunden ist, welche Sprachpflichten für den italienischen Markt gelten und welche der Förderlinien Transizione 5.0, PNRR und SECURE für Compliance-Investitionen realistisch sind. Das vollständige Pflichtenset finden Sie im Cluster-Leitfaden für Hersteller.

Zusammenfassung

  • Die Legge sulla ciberresilienza ist eine EU-Verordnung mit unmittelbarer Wirkung. Es gibt keine italienischen Sonderausnahmen für Produkthersteller.
  • Legge 17 marzo 2026, n. 36 (Legge di delegazione europea 2025, GU n. 70 del 25 marzo 2026) gibt der italienischen Regierung sechs Monate Zeit, das durchführende decreto legislativo (Umsetzungsdekret) zu veröffentlichen.
  • CSIRT Italia, betrieben von ACN, ist das empfangende italienische CSIRT für Meldungen zu Schwachstellen und Vorfällen gemäß der Legge sulla ciberresilienza, wenn die Hauptniederlassung des Herstellers in Italien liegt.
  • ACN (Agenzia per la Cybersicurezza Nazionale) ist sowohl die italienische notifizierende Behörde für Konformitätsbewertungsstellen als auch die Marktüberwachungsbehörde für Produkte mit digitalen Elementen. Damit bündelt Italien zwei Rollen, die Spanien und Frankreich auf getrennte Behörden aufteilen.
  • ACCREDIA (Ente Italiano di Accreditamento) akkreditiert italienische Konformitätsbewertungsstellen nach ISO/IEC 17065:2012. Die Akkreditierung ist der bevorzugte technische Schritt, bevor ACN eine Stelle notifiziert, obwohl sie nicht zwingend vorgeschrieben ist.
  • Italienisch ist für nutzerseitige Produktinformationen auf dem italienischen Markt erforderlich. Amtliche Minderheitensprachen (Deutsch in Südtirol, Französisch im Aostatal, Slowenisch in Friaul-Julisch Venetien) sind von der Legge sulla ciberresilienza nicht vorgeschrieben.
  • Transizione 5.0 ist ein auslaufender Ministero delle Imprese e del Made in Italy (MIMIT)-Steuergutschriftpfad für förderfähige digitale und energetische Transformation von Produktionsprozessen, kein allgemeiner Cybersicherheitszuschuss. PNRR befindet sich im abschließenden NextGenerationEU-Fenster (Frist 31. August 2026). Das neue EU-SECURE-Projekt (16,5 Millionen Euro direkte KMU-Förderung, ACN als italienischer Partner) eröffnete seinen ersten Aufruf vom 28. Januar bis 29. März 2026.

Für wen dieser Leitfaden gilt

Sie sind der Zielleser, wenn die „Hauptniederlassung in der Union" Ihres Unternehmens in Italien liegt. Das ist der Ort, an dem die Entscheidungen im Zusammenhang mit der Cybersicherheit Ihrer Produkte mit digitalen Elementen überwiegend getroffen werden. Eine in Italien eingetragene Vertriebsgesellschaft mit ausgelagertem Engineering ist keine Hauptniederlassung. Wenn Ihr Engineering-Team, Ihre SDLC-Governance und die Personen, die Sicherheits-Update-Releases genehmigen, in Italien sitzen, richtet sich dieser Leitfaden an Sie.

Wenn Ihre Hauptniederlassung anderswo in der EU liegt und Sie nur nach Italien liefern, laufen Ihre Meldungen gemäß der Legge sulla ciberresilienza über das CSIRT Ihres Hauptniederlassungs-Mitgliedstaats, nicht über CSIRT Italia. Die italienische Sprachpflicht für nutzerseitige Informationen gilt jedoch weiterhin für alle Produkte, die auf dem italienischen Markt bereitgestellt werden.

ACN und CSIRT Italia: der italienische CSIRT-Weg

Meldungen im Rahmen der Legge sulla ciberresilienza laufen über das CSIRT, das als Koordinator des Mitgliedstaats benannt ist, in dem der Hersteller seine Hauptniederlassung in der Union hat. Für einen Hersteller mit Hauptniederlassung in Italien ist dieses CSIRT CSIRT Italia, das nationale CSIRT innerhalb von ACN.

ACN, eingerichtet durch das Decreto-Legge 82/2021 (umgewandelt durch das Gesetz 109/2021), ist Italiens nationale Cybersicherheitsbehörde. Sie berichtet an das Büro des Ministerpräsidenten und fungiert als nationale Anlaufstelle für Cybersicherheitspolitik, Zertifizierung und Regulierung. CSIRT Italia veröffentlicht Schwachstellenhinweise auf Italienisch und betreibt den Vorfallsmeldestrom für Verbraucherprodukte.

Der technische Kanal für die 24h/72h/14-Tage-Meldekadenzen ist die ENISA Single Reporting Platform, die am 11. September 2026 in Betrieb geht. Ein italienischer Hersteller reicht über diese Plattform ein, wobei CSIRT Italia als empfangender Koordinator fungiert. Die CSIRT-Benennung ist das Routing. Die Plattform ist der Transport.

Notifizierte Stellen: ACN notifiziert, ACCREDIA akkreditiert

Wichtige-Klasse-I-Produkte benötigen eine notifizierte Stelle (Modul B+C oder Modul H) nur dann, wenn harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema sie nicht vollständig abdecken. Wichtige-Klasse-II-Produkte nutzen eine notifizierte Stelle (Modul B+C oder Modul H) oder ein verfügbares und anwendbares Zertifizierungsschema. Kritische Produkte (Anhang IV) folgen Artikel 32(4): dem Zertifizierungsweg nach Artikel 8(1), wo die Kommission ihn ausgelöst hat, andernfalls denselben Wegen nach Artikel 32(3).

Die institutionelle Aufgabenteilung in Italien:

  • ACN ist die notifizierende Behörde, die italienische notifizierte Stellen formell bei der Europäischen Kommission benennt, verankert in Legge 36/2026 und operationalisiert durch das durchführende decreto legislativo.
  • ACCREDIA (Ente Italiano di Accreditamento) ist die italienische nationale Akkreditierungsstelle und bewertet die technische Kompetenz eines Kandidaten nach ISO/IEC 17065:2012. Die Akkreditierung wird von ACCREDIA selbst als bevorzugtes Instrument zum Nachweis von Kompetenz und Unabhängigkeit beschrieben, ist jedoch keine zwingend vorgeschriebene Voraussetzung für die Notifizierung gemäß der Legge sulla ciberresilienza.

Der Rahmen der Legge sulla ciberresilienza für notifizierte Stellen gilt ab dem 11. Juni 2026, ab dem designierte Stellen CRA-Konformitätsbewertungszertifikate ausstellen können. Zu den italienischen Kandidaten mit einschlägiger Produktzertifizierungskompetenz gehören IMQ, RINA Services, Bureau Veritas Italia und TÜV Italia. Endgültige CRA-Benennungen werden in der NANDO-Datenbank der Europäischen Kommission veröffentlicht. Ein italienischer Hersteller kann jede EU-notifizierte Stelle nutzen, nicht nur die in Italien benannten.

ACN: die CRA-Marktüberwachungsbehörde

Anders als in Spanien (wo das Ministerium die Marktüberwachung übernimmt) und Frankreich (wo die ANFR zuständig ist), bündelt Italien sowohl die Notifizierung als auch die Marktüberwachung innerhalb von ACN. Legge 36/2026 benennt ACN als autorità di vigilanza del mercato gemäß Artikel 52 der Legge sulla ciberresilienza sowie in ihrer Notifizierungsrolle gemäß Artikel 36.

Alle formellen Interaktionen eines italienischen Herstellers mit der Legge sulla ciberresilienza laufen über ACN als einzigen Ansprechpartner: begründete Anfragen nach technischer Dokumentation, Anfragen zur Dokumentensprache, Vor-Ort-Inspektionen und die Betriebseinstellungsmitteilung. Das Codice del Consumo (Decreto Legislativo 206/2005) regelt die allgemeine Verbraucherproduktsicherheit in Italien über das Ministero delle Imprese e del Made in Italy (MIMIT) und AGCM, die formelle CRA-Marktüberwachungsbehörde für Produkte mit digitalen Elementen ist jedoch ACN.

Sanktionen liegen innerhalb der EU-weiten Obergrenzen der Legge sulla ciberresilienza (bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes für die schwerwiegendsten Verstöße). Das italienische Umsetzungsdekret soll die italienische Bußgeldskala innerhalb dieser Obergrenzen festlegen.

OCSI und das europäische EUCC-Schema

Der Organismo di Certificazione della Sicurezza Informatica (OCSI) ist Italiens Common-Criteria-Zertifizierungsstelle, die seit dem 1. Juli 2022 innerhalb von ACN angesiedelt ist (übertragen vom ehemaligen Wirtschaftsministerium). OCSI ist von ACCREDIA nach UNI CEI EN ISO/IEC 17065:2012 akkreditiert, um im Rahmen des EUCC-Schemas zu arbeiten, das gemäß der EU-Verordnung 2019/881 angenommen wurde.

Italiens nationales Legacy-Schema stellte am 26. Februar 2026 seine Tätigkeit ein, und OCSI arbeitet seitdem ausschließlich im Rahmen des EUCC. Nach CRA-Artikel 27 können europäische Cybersicherheitszertifizierungsschemata eine Konformitätsvermutung für abgedeckte Anforderungen stützen, wenn die Kommission das jeweilige Schema per delegiertem Rechtsakt für CRA-Zwecke spezifiziert. Bis dieser EUCC-Weg spezifiziert ist, behandeln Sie ein von OCSI ausgestelltes EUCC-Zertifikat als starken Nachweis für den abgedeckten Geltungsbereich, nicht als eigenständige bereits nutzbare Abkürzung.

Italienische Sprachpflichten in der Praxis

Die Legge sulla ciberresilienza verlangt, dass nutzerseitige Produktinformationen in einer Sprache vorliegen, die Nutzern und der lokalen Marktüberwachungsbehörde leicht verständlich ist. Für Produkte, die auf dem italienischen Markt bereitgestellt werden, ist das Italienisch. Das Codice del Consumo schreibt unabhängig davon Italienisch in Verbraucherproduktinformationen vor, sodass die CRA-Pflicht mit einer langjährigen nationalen Regel übereinstimmt.

Muss auf Italienisch sein:

  • Die Benutzeranleitung und Produktinformationen, die dem Produkt beiliegen.
  • Die Herstellerkontaktangaben, wo immer sie erscheinen.
  • Die Angabe des Unterstützungszeitraums am Verkaufsort.

Kann mehrsprachig sein:

  • Das Produktetikett und die CE-Kennzeichnung.
  • Verpackungstext.
  • Online-Dokumentation, sofern eine italienische Version erreichbar ist.

Englisch wird in der Regel akzeptiert für:

  • Interne technische Dokumentation. ACN kann unter begründetem Antrag eine italienische Übersetzung anfordern, also planen Sie für diese Eventualität.

Die EU-Konformitätserklärung kann in jeder Amtssprache der EU erstellt werden, bei einer ACN-Inspektion ist jedoch mit einem Übersetzungsantrag ins Italienische zu rechnen. Deutsch in Südtirol, Französisch im Aostatal und Slowenisch in der Grenzzone Friaul-Julisch Venetien sind nach ihren Regionalstatuten ko-amtlich, aber von der Legge sulla ciberresilienza nicht vorgeschrieben. Regionale Beschaffungsverträge oder Sektorregulierer können eigene Sprachklauseln hinzufügen, unabhängig von der Legge sulla ciberresilienza.

Grenzüberschreitender Verkauf aus Italien

Italienische Hersteller, die nach Deutschland, Frankreich, Spanien oder in andere EU-Mitgliedstaaten liefern, unterliegen derselben einheitlichen Routing-Regel: Ihre Meldungen gehen weiterhin an CSIRT Italia, weil das Routing der Hauptniederlassung folgt, nicht dem einzelnen Lieferziel. Sie melden nicht beim deutschen, französischen oder spanischen CSIRT.

Die Sprachpflicht fächert sich pro Markt auf. Ein Produkt, das in den französischen Markt geliefert wird, benötigt französischsprachige nutzerseitige Inhalte. Ein Produkt, das in den deutschen Markt geliefert wird, benötigt deutschsprachige Inhalte. Das einzelne italienische Sprachpaket deckt diese Märkte nicht ab.

Die Marktüberwachungsbehörde jedes empfangenden Mitgliedstaats kann ebenfalls Ihre technische Dokumentation in einer für diese Behörde leicht verständlichen Sprache anfordern. Wenn Ihre Lieferkette sich auf die gesamte EU erstreckt, rechnen Sie mit Anfragen in mindestens einer weit verbreiteten Arbeitssprache und behandeln Sie die frühzeitige Übersetzung der am häufigsten angeforderten Abschnitte der technischen Dokumentation als praktische Absicherung.

Nationale Förderprogramme

Das Förderbild für italienische Hersteller, die CRA-Investitionen im Jahr 2026 planen, umfasst SECURE, sektorspezifische regionale Linien sowie die auslaufenden Fenster von Transizione 5.0 und PNRR. Stellen Sie genau fest, was noch offen und technisch förderfähig ist, bevor Sie Posten gegen eines dieser Programme verbuchen.

  • Piano Transizione 5.0 ist ein von MIMIT verwaltetes Steuergutschriftprogramm mit einem Gesamtrahmen von 6,3 Milliarden Euro, gebunden an förderfähige digitale und energetische Transformation von Produktionsprozessen. Für die Planung 2026 sollten Reststatus und technische Förderfähigkeit geprüft werden; behandeln Sie es nicht als neuen offenen Cybersicherheits- oder Compliance-Fonds. CRA-getriebene SBOM-Werkzeuge, Schwachstellenbehandlungsplattformen und Security-by-Design-Infrastruktur kommen nur dort in Betracht, wo die Cybersicherheitsarbeit Teil einer förderfähigen Transformation des Produktionsprozesses ist.
  • SECURE (Strengthening EU SMEs Cyber Resilience) ist ein neues EU-finanziertes Projekt, das ausdrücklich zur Unterstützung der KMU-CRA-Umsetzung aufgebaut wurde. Gesamtbudget rund 22 Millionen Euro, davon 16,5 Millionen Euro als direkte Finanzförderung für KMU. ACN ist der italienische Partner in einem 7-Länder-Konsortium. Der erste Aufruf lief vom 28. Januar bis 29. März 2026 mit maximal 30.000 Euro pro Projekt. Hersteller, Importeure, Distributoren und Softwareentwickler sind alle förderfähig. Verfolgen Sie den ACN-Ankündigungsstrom für den nächsten Aufruf.
  • PNRR (Piano Nazionale di Ripresa e Resilienza) befindet sich in seinem abschließenden Fenster. Alle NextGenerationEU-finanzierten Projekte müssen bis zum 31. August 2026 abgewickelt sein, mit Italiens abschließenden Zahlungsanträgen bis zum 30. September 2026. PNRR ist daher kein geeignetes Planungsinstrument für die CRA-Konformitätsfrist am 11. Dezember 2027.
  • Regionale Digitalisierungsgutscheine über die Handelskammern sind 2026 weiterhin in Betrieb, typischerweise gedeckelt zwischen 20.000 und 30.000 Euro pro Begünstigtem. Nützlich für eine erste Diagnose, nicht für das vollständige CRA-Programm.

Für Compliance-Investitionen mit Blick auf die Pflichtfrist am 11. Dezember 2027 sind SECURE (und Folge-EU-KMU-Programme), verbleibende oder nachfolgende Transizione-5.0-artige Anreize für technisch förderfähige Produktionstransformation sowie sektorspezifische regionale Linien das realistische öffentliche Förderbild in Italien.

Häufig gestellte Fragen

Welches italienische CSIRT empfängt meine CRA-Schwachstellenmeldungen?

CSIRT Italia, betrieben innerhalb von ACN, wenn die Hauptniederlassung des Herstellers in Italien liegt. Die Legge sulla ciberresilienza definiert Hauptniederlassung als den Ort, an dem die Entscheidungen im Zusammenhang mit der Cybersicherheit von Produkten mit digitalen Elementen überwiegend getroffen werden. Meldungen werden ab dem 11. September 2026 über die ENISA Single Reporting Platform eingereicht, wobei CSIRT Italia als empfangender Koordinator fungiert.

Wer benennt italienische notifizierte Stellen, ACCREDIA oder ACN?

ACN ist die notifizierende Behörde, die italienische CRA-notifizierte Stellen formell bei der Europäischen Kommission im Rahmen des durch Legge 36/2026 festgelegten Rahmens benennt. ACCREDIA akkreditiert die Kandidatenstellen nach ISO/IEC 17065:2012 als bevorzugten technischen Schritt vor dieser Notifizierung. Die Akkreditierung wird von ACCREDIA selbst als bevorzugtes, aber nicht zwingend erforderliches Instrument zum Nachweis der Kompetenz beschrieben. Ein italienischer Hersteller kann für die CRA-Konformitätsbewertung weiterhin jede EU-notifizierte Stelle nutzen. Die italienische Kette ist für die Beschaffung relevant, nicht als CRA-Pflicht.

Deckt meine OCSI- oder EUCC-Zertifizierung die CRA-Konformitätsbewertung ab?

OCSI arbeitet seit dem 26. Februar 2026 ausschließlich im Rahmen des EUCC, daher ist ein von OCSI ausgestelltes EUCC-Zertifikat ein direkt relevanter Nachweis für die abgedeckten Sicherheitsbehauptungen. Der CRA-Vermutungsweg hängt von Artikel 27 und einem delegierten Rechtsakt der Kommission ab, der das europäische Cybersicherheitszertifizierungsschema für CRA-Zwecke spezifiziert. Bis dieser EUCC-Weg spezifiziert ist, behandeln Sie das Zertifikat nicht als eigenständige bereits nutzbare Abkürzung. Behandeln Sie es als starken Beitrag zu Ihrer CRA-Akte, wobei der Konformitätsbewertungsweg den verbleibenden Geltungsbereich abdeckt.

Welche italienische Behörde ist die CRA-Marktüberwachungsbehörde?

ACN. Anders als in Spanien (wo das Ministerium als Marktüberwachungsbehörde positioniert ist) und Frankreich (wo die ANFR diese Rolle übernimmt), bündelt Italien Notifizierung und Marktüberwachung innerhalb von ACN gemäß Legge 36/2026 (Artikel 36 bzw. Artikel 52 der Legge sulla ciberresilienza). MIMIT und AGCM behalten ihre langjährigen allgemeinen Verbraucherproduktsicherheitsrollen gemäß dem Codice del Consumo, die formelle CRA-Marktüberwachungsbehörde für Produkte mit digitalen Elementen ist jedoch ACN. Planen Sie Einreichungen, Dokumentenanfragen und Inspektionen mit ACN als einzigem nationalen Ansprechpartner.

Wann wird Italien sein nationales CRA-Umsetzungsdekret in der Gazzetta Ufficiale veröffentlichen?

Die Legge sulla ciberresilienza ist eine EU-Verordnung mit unmittelbarer Wirkung, sodass Italien sie nicht transponieren muss, damit die materiellen Pflichten am 11. Dezember 2027 gelten. Was Italien veröffentlichen muss, ist das decreto legislativo (Umsetzungsdekret), das durch die legge delega Legge 17 marzo 2026, n. 36 (Gazzetta Ufficiale n. 70 del 25 marzo 2026) vorgesehen ist und der Regierung sechs Monate ab Inkrafttreten des Gesetzes gibt, das Umsetzungsdekret zu erlassen. Dieses Dekret soll die institutionellen Benennungen von ACN bestätigen, die italienische Bußgeldskala innerhalb der EU-weiten Obergrenzen festlegen und die Koordinierung mit der NIS2-bezogenen italienischen Gesetzgebung klären. Bis zur Veröffentlichung dieses Dekrets stützt sich ACNs Rolle auf den legge-delega-Rahmen.

Muss ich für B2B-Verkäufe alles ins Italienische übersetzen?

Für Produkte, die auf dem italienischen Markt mit Endnutzern in Italien bereitgestellt werden, ja. Die Legge sulla ciberresilienza verlangt Nutzerinformationen auf Italienisch. Das Codice del Consumo schreibt unabhängig davon Italienisch in Verbraucherinformationen für B2C vor, und die italienische Marktüberwachungsbehörde kann auf begründeten Antrag hin italienischsprachige technische Dokumentation für jedes Produkt anfordern. B2B-Verkäufe zwischen Fachleuten bieten eine gewisse Flexibilität bei der Vertragssprache, befreien aber nicht von der CRA-Nutzungsinformationspflicht, sobald das Produkt auf dem italienischen Markt bereitgestellt wird. Planen Sie, italienische Nutzerinformationen, die Angabe des Unterstützungszeitraums auf Italienisch und Herstellerkontaktangaben auf Italienisch sowohl für Verbraucher- als auch für Fachhandelskanäle bereitzustellen.

Können Transizione 5.0- oder PNRR-Mittel mein CRA-Compliance-Tooling finanzieren?

Transizione 5.0 kann nur helfen, wenn die Cybersicherheitsarbeit Teil einer förderfähigen digitalen und energetischen Transformation des Produktionsprozesses ist. Prüfen Sie Reststatus und technische Förderfähigkeit, bevor Sie sich darauf stützen, und behandeln Sie es nicht als allgemeinen Cybersicherheits- oder Compliance-Fonds. Reine Compliance-Arbeit (Audits, Konformitätsbewertungsgebühren) ist schwerer unterzubringen. PNRR befindet sich in seinem abschließenden NextGenerationEU-Fenster mit Projektabwicklung bis zum 31. August 2026 und abschließenden Zahlungsanträgen bis zum 30. September 2026, sodass es kein geeignetes Planungsinstrument für die Frist am 11. Dezember 2027 ist. Das neue EU-SECURE-Projekt (16,5 Millionen Euro direkte KMU-Förderung, ACN als italienischer Partner) ist speziell für die CRA-Umsetzung konzipiert und der relevanteste Förderungsstrom 2026 zum Beobachten.

Ich liefere aus Italien in andere EU-Mitgliedstaaten. Wo melde ich Vorfälle?

Über CSIRT Italia, unabhängig davon, in welche Mitgliedstaaten Sie liefern. Die Legge sulla ciberresilienza bindet das Melde-Routing an die Hauptniederlassung, nicht an das einzelne Lieferziel. Die Sprachpflicht fächert sich pro Markt auf: französischsprachige Produktinformationen für Produkte, die nach Frankreich geliefert werden, deutschsprachige für Produkte nach Deutschland und so weiter. Bereiten Sie zumindest die am häufigsten angeforderten Abschnitte der technischen Dokumentation in einer weit verbreiteten Arbeitssprache vor, um grenzüberschreitende begründete Anfragen anderer Mitgliedstaaten-Marktüberwachungsbehörden aufzufangen.

Für italienische Hersteller, die sich auf den 11. Dezember 2027 vorbereiten

  1. Bestätigen Sie Ihre Herstellerpflichten anhand des Cluster-Leitfadens für Hersteller.
  2. Vergewissern Sie sich, dass Ihre Hauptniederlassung in Italien liegt, und dokumentieren Sie die Begründung. Der Ort der Cybersicherheitsentscheidungsfindung, nicht der eingetragene Firmensitz, ist ausschlaggebend.
  3. Bilden Sie Ihren CRA-Meldefluss auf CSIRT Italia ab, mit einer getesteten Einreichung in die ENISA Single Reporting Platform, sobald diese am 11. September 2026 in Betrieb geht.
  4. Erstellen Sie ein einziges ACN-gerichtetes Eskalationshandbuch, das sowohl die Konformitätsbewertungsnotifizierung als auch die Marktüberwachung abdeckt.
  5. Falls Ihr Konformitätsbewertungsweg eine notifizierte Stelle erfordert, prüfen Sie ACCREDIA-akkreditierte und ACN-notifizierte Stellen als Heimoption sowie eine grenzüberschreitende Alternative.
  6. Falls Sie ein von OCSI ausgestelltes EUCC-Zertifikat besitzen oder planen, ordnen Sie dessen Geltungsbereich Ihrer Produktpalette zu und behandeln Sie es als starken Nachweis, während Sie den CRA-Artikel-27-Weg für die EUCC-Konformitätsvermutung verfolgen.
  7. Übersetzen Sie Nutzeranleitungen ins Italienische. Fügen Sie marktspezifische Übersetzungen für alle anderen EU-Mitgliedstaaten hinzu, in die Sie liefern.
  8. Prüfen Sie zuerst EU SECURE und danach, ob verbleibende oder nachfolgende Transizione-5.0-artige Anreize zu förderfähiger Produktionstransformation passen. Planen Sie nicht gegen PNRR für Pflichten 2027.
  9. Lesen Sie den Fragebogen zur Lieferantensorgfaltsprüfung für das herstellerseitige Komponenten-Sorgfaltspflicht-Rahmenwerk.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische CRA-Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.

CRA Italien Schwachstellenmanagement
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter die EU Cyberresilienz-Verordnung fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen-Leitfäden zu den konkreten Anforderungen, Prozessen und Rollen aus dem EU Cyber Resilience Act (CRA).

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Europäische Cybersicherheitszertifizierung (EUCC)

Wie das EUCC-Zertifizierungsschema funktioniert und wann es die CRA-Konformität unterstützen kann.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
Vollständigen CRA-Compliance-Leitfaden ansehen