CRA para fabricantes italianos: ACN, ACCREDIA, Legge 36/2026

Ficha país para fabricantes italianos: ACN autoridad competente, acreditación ACCREDIA, OCSI/EUCC, obligaciones en italiano y Transizione 5.0.

Equipo CRA Evidence Publicado 6 de enero de 2026 Actualizado 31 de mayo de 2026
Resumen país CRA para fabricantes italianos: cadena institucional nacional con CSIRT Italia para notificaciones de vulnerabilidades, ACN como autoridad notificante y de vigilancia de mercado, y ACCREDIA para acreditación
En este artículo

Los fabricantes italianos afrontan las mismas obligaciones de la Legge sulla ciberresilienza que cualquier otro fabricante de la UE. Esta página es un resumen país para Italia: cómo se canalizan las notificaciones a través de CSIRT Italia, cómo ACN actúa como autoridad notificante y de vigilancia de mercado bajo la Legge 36/2026, qué papel desempeña ACCREDIA como paso de acreditación, cómo OCSI se integra en el esquema europeo EUCC, las obligaciones en lengua italiana y qué líneas de financiación de Transizione 5.0, PNRR y SECURE son viables para la inversión en cumplimiento. Para el conjunto completo de obligaciones del fabricante, consulta la guía clúster del fabricante.

Resumen

  • La Legge sulla ciberresilienza es un Reglamento de la UE de efecto directo. No existen exenciones específicas italianas para los fabricantes de productos.
  • Legge 17 marzo 2026, n. 36 (Legge di delegazione europea 2025, GU n. 70 del 25 marzo 2026) otorga al Gobierno italiano seis meses para publicar el decreto legislativo de desarrollo.
  • CSIRT Italia, operado por ACN, es el CSIRT italiano receptor de las notificaciones de vulnerabilidades e incidentes de la Legge sulla ciberresilienza cuando el establecimiento principal del fabricante está en Italia.
  • ACN (Agenzia per la Cybersicurezza Nazionale) está designada tanto como autoridad notificante italiana para los organismos de evaluación de conformidad del CRA como autoridad de vigilancia de mercado para los productos con elementos digitales. Esto consolida dos funciones que España y Francia distribuyen entre instituciones separadas.
  • ACCREDIA (Ente Italiano di Accreditamento) acredita a los organismos italianos de evaluación de conformidad bajo la norma ISO/IEC 17065:2012. La acreditación es el paso técnico preferido antes de que ACN notifique a un organismo, aunque no es estrictamente obligatoria.
  • El italiano es obligatorio para la información del producto orientada al usuario en el mercado italiano. Las lenguas cooficiales minoritarias (alemán en el Tirol del Sur, francés en el Valle de Aosta, esloveno en Friuli Venezia Giulia) no son exigidas por la Legge sulla ciberresilienza.
  • Transizione 5.0 es una vía de crédito fiscal del Ministero delle Imprese e del Made in Italy (MIMIT) en fase de cierre, ligada a la transformación digital y energética admisible de procesos productivos, no una subvención genérica de ciberseguridad. El PNRR se encuentra en su ventana de cierre del NextGenerationEU (plazo del 31 de agosto de 2026). El nuevo proyecto EU SECURE (16,5 millones de euros en apoyo directo a PYMES, ACN como socio italiano) abrió su primera convocatoria del 28 de enero al 29 de marzo de 2026.

A quién se dirige esta guía

Eres el lector objetivo si el "establecimiento principal del fabricante en la Unión" está en Italia, es decir, donde se toman predominantemente las decisiones relacionadas con la ciberseguridad de tus productos con elementos digitales. Una filial de ventas en Italia con ingeniería en el extranjero no constituye el establecimiento principal. Si tu equipo de ingeniería, tu gobernanza del SDLC y quienes aprueban las actualizaciones de seguridad están en Italia, esta guía es para ti.

Si tu establecimiento principal está en otro Estado miembro de la UE y solo comercializas en Italia, tus notificaciones se canalizan a través del CSIRT de ese Estado, no de CSIRT Italia. La obligación de lengua italiana para la información al usuario sigue aplicándose a cualquier producto comercializado en el mercado italiano.

ACN y CSIRT Italia: la vía CSIRT italiana

Las notificaciones de la Legge sulla ciberresilienza se canalizan a través del CSIRT designado como coordinador del Estado miembro donde el fabricante tiene su establecimiento principal en la Unión. Para un fabricante cuyo establecimiento principal está en Italia, ese CSIRT es CSIRT Italia, el CSIRT nacional operado dentro de ACN.

ACN, creada por el Decreto-Ley 82/2021 (convertido por la Ley 109/2021), es la autoridad nacional de ciberseguridad de Italia, dependiente del despacho del Presidente del Consejo de Ministros y punto de referencia único para la política, certificación y regulación en ciberseguridad. CSIRT Italia publica avisos de vulnerabilidad en italiano y opera el flujo de respuesta a incidentes en productos de consumo.

El canal técnico para el ritmo de notificación de 24h / 72h / 14 días es la plataforma única de notificación de ENISA, operativa desde el 11 de septiembre de 2026. El fabricante italiano presenta sus notificaciones a través de esa plataforma con CSIRT Italia como coordinador receptor. La designación CSIRT es el enrutamiento; la plataforma es el transporte.

Organismos notificados: ACN notifica, ACCREDIA acredita

Los productos Importantes de Clase I necesitan un organismo notificado (Módulo B+C o Módulo H) únicamente cuando las normas armonizadas, las especificaciones comunes o un esquema de certificación no los cubren íntegramente. Los productos Importantes de Clase II utilizan un organismo notificado (Módulo B+C o Módulo H) o un esquema de certificación disponible y aplicable. Los productos Críticos (Anexo IV) siguen el Artículo 32(4): la vía de certificación del Artículo 8(1) cuando la Comisión la haya activado; de lo contrario, las mismas vías del Artículo 32(3).

La distribución institucional italiana es:

  • ACN es la autoridad notificante que designa formalmente a los organismos notificados italianos ante la Comisión Europea, amparada en la Legge 36/2026 y puesta en práctica por el decreto legislativo de desarrollo.
  • ACCREDIA (Ente Italiano di Accreditamento) es el organismo nacional de acreditación italiano y evalúa la competencia técnica de un candidato bajo la norma ISO/IEC 17065:2012. ACCREDIA describe la acreditación como la herramienta preferida para acreditar la competencia e independencia, aunque no es un requisito estrictamente obligatorio para la notificación bajo la Legge sulla ciberresilienza.

El marco del CRA para organismos notificados se aplica desde el 11 de junio de 2026, cuando los organismos designados pueden empezar a emitir certificados. Los candidatos italianos con experiencia relevante en certificación de productos incluyen IMQ, RINA Services, Bureau Veritas Italia y TÜV Italia. Las designaciones finales del CRA se publican en la base de datos NANDO. Un fabricante italiano puede utilizar cualquier organismo notificado de la UE, no solo los designados en Italia.

ACN: la autoridad de vigilancia de mercado del CRA

A diferencia de España (donde el ministerio ejerce la vigilancia de mercado) y Francia (donde lo hace la ANFR), Italia consolida tanto la notificación como la vigilancia de mercado dentro de ACN. La Legge 36/2026 identifica a ACN como la autorità di vigilanza del mercato bajo el Artículo 52 del CRA, junto con su función notificante bajo el Artículo 36.

Toda interacción formal del CRA de un fabricante italiano se canaliza a través de ACN como interlocutor único: solicitudes motivadas de documentación técnica, solicitudes de traducción, inspecciones in situ y el aviso de cese de operaciones. El Codice del Consumo (Decreto Legislativo 206/2005) rige la seguridad general de los productos de consumo a través del Ministero delle Imprese e del Made in Italy (MIMIT) y AGCM, pero la autoridad formal de vigilancia de mercado del CRA para productos con elementos digitales es ACN.

Las sanciones se enmarcan dentro de los límites de la UE (hasta 15 millones de euros o el 2,5% de la facturación anual mundial para las infracciones más graves). Se espera que el decreto legislativo italiano fije la escala de sanciones dentro de esos límites.

OCSI y el esquema europeo EUCC

El Organismo di Certificazione della Sicurezza Informatica (OCSI) es el organismo italiano de certificación de Common Criteria, integrado en ACN desde el 1 de julio de 2022 (transferido desde el antiguo Ministerio de Desarrollo Económico). OCSI está acreditado por ACCREDIA bajo la norma UNI CEI EN ISO/IEC 17065:2012 para operar dentro del esquema EUCC adoptado en virtud del Reglamento (UE) 2019/881.

El esquema nacional heredado de OCSI cesó su actividad el 26 de febrero de 2026 y OCSI opera ahora únicamente bajo el EUCC. Según el Artículo 27 del CRA, los esquemas europeos de certificación de ciberseguridad pueden respaldar una presunción de conformidad para los requisitos cubiertos cuando una delegación de la Comisión especifique el esquema. Hasta que la vía EUCC quede especificada para el CRA, trata un certificado EUCC emitido por OCSI como evidencia sólida para el alcance cubierto, no como un atajo autónomo ya operativo.

Requisitos de lengua italiana en la práctica

La Legge sulla ciberresilienza exige que la información al usuario esté en una lengua fácilmente comprensible por los usuarios y la autoridad local de vigilancia de mercado. Para el mercado italiano, esa lengua es el italiano. El Codice del Consumo exige de forma independiente el italiano en la información de productos de consumo, por lo que la obligación de la Legge sulla ciberresilienza se alinea con una norma nacional de larga tradición.

Debe estar en italiano:

  • Las instrucciones de uso e información del producto que se entregan con el producto.
  • Los datos de contacto del fabricante, allí donde aparezcan.
  • La información sobre la fecha de fin de soporte mostrada en el punto de venta.

Puede ser multilingüe:

  • La etiqueta del producto y el marcado CE.
  • El texto del embalaje.
  • La documentación en línea, siempre que se pueda acceder a una versión en italiano.

El inglés es normalmente aceptado para:

  • La documentación técnica interna. ACN puede solicitar una traducción al italiano mediante solicitud motivada, así que prevé esa contingencia.

La Declaración de Conformidad de la UE puede redactarse en cualquier lengua oficial de la UE, pero hay que prever que se solicite una traducción al italiano durante cualquier inspección de ACN. El alemán en el Tirol del Sur, el francés en el Valle de Aosta y el esloveno en la zona fronteriza de Friuli Venezia Giulia son cooficiales bajo sus estatutos regionales pero no los exige la Legge sulla ciberresilienza. Los contratos de contratación regional o los reguladores sectoriales pueden añadir sus propias cláusulas lingüísticas, con independencia del CRA.

Venta transfronteriza desde Italia

Los fabricantes italianos que venden en Alemania, Francia, España u otro Estado miembro de la UE se rigen por la misma regla de enrutamiento único: las notificaciones siguen yendo a CSIRT Italia, porque el enrutamiento sigue al establecimiento principal, no al destino de cada envío. No presentas notificaciones al CSIRT alemán, francés o español.

La obligación lingüística sí se extiende mercado a mercado. Un producto enviado al mercado francés necesita contenido al usuario en francés. Uno enviado al mercado alemán necesita contenido en alemán. El paquete en italiano no cubre esos mercados.

La autoridad de vigilancia de mercado de cada Estado miembro receptor también puede solicitar la documentación técnica en una lengua comprensible para esa autoridad. Si tu distribución abarca ampliamente la UE, espera solicitudes en al menos una lengua de trabajo habitual y considera la traducción anticipada de las secciones más demandadas como medida de precaución práctica.

Programas nacionales de financiación

El panorama de financiación en 2026 cuenta con SECURE, líneas regionales sectoriales y las ventanas de cierre de Transizione 5.0 y PNRR. Verifica qué sigue abierto y es técnicamente admisible antes de incluir partidas contra estos programas.

  • Piano Transizione 5.0 es un programa de crédito fiscal administrado por MIMIT, con una dotación global de 6.300 millones de euros, ligado a la transformación digital y energética admisible de procesos productivos. Para la planificación de 2026, verifica el estado residual y la admisibilidad técnica antes de apoyarte en él; no lo trates como un fondo nuevo y abierto de ciberseguridad o cumplimiento. Las herramientas SBOM, plataformas de gestión de vulnerabilidades e infraestructura de seguridad por diseño solo encajan cuando el trabajo de ciberseguridad forma parte de una transformación admisible del proceso productivo.
  • SECURE (Strengthening EU SMEs Cyber Resilience) es un proyecto de la UE diseñado para apoyar a las PYMES en la implementación del CRA. Presupuesto total de 22 millones de euros, de los cuales 16,5 millones son apoyo financiero directo. ACN es el socio italiano en un consorcio de 7 países. La primera convocatoria se desarrolló del 28 de enero al 29 de marzo de 2026 con un máximo de 30.000 euros por proyecto. Fabricantes, importadores, distribuidores y desarrolladores son elegibles. Sigue las comunicaciones de ACN para la siguiente convocatoria.
  • PNRR (Piano Nazionale di Ripresa e Resilienza) está en su ventana de cierre. Todos los proyectos NextGenerationEU deben ejecutarse antes del 31 de agosto de 2026, con solicitudes de pago final el 30 de septiembre de 2026. El PNRR no es un instrumento viable para el plazo del 11 de diciembre de 2027.
  • Los vales regionales de digitalización de las cámaras de comercio siguen operativos en 2026, con topes de entre 20.000 y 30.000 euros por beneficiario. Útiles para un diagnóstico inicial, no para el programa completo.

Para la inversión referida al plazo del 11 de diciembre de 2027, el panorama realista es SECURE (y programas europeos de seguimiento para PYMES), incentivos residuales o sucesores tipo Transizione 5.0 cuando sean técnicamente admisibles para transformación productiva, y líneas regionales sectoriales.

Preguntas frecuentes

¿Qué CSIRT italiano recibe mis notificaciones de vulnerabilidades del CRA?

CSIRT Italia, operado dentro de ACN, cuando el establecimiento principal del fabricante está en Italia. La Legge sulla ciberresilienza define el establecimiento principal como el lugar donde se toman predominantemente las decisiones relacionadas con la ciberseguridad de los productos con elementos digitales. Las notificaciones se presentan a través de la plataforma única de notificación de ENISA desde el 11 de septiembre de 2026, con CSIRT Italia como coordinador receptor.

¿Quién designa a los organismos notificados italianos, ACCREDIA o ACN?

ACN es la autoridad notificante que designa formalmente a los organismos notificados italianos del CRA ante la Comisión Europea bajo la Legge 36/2026. ACCREDIA acredita a los candidatos bajo ISO/IEC 17065:2012 como paso técnico preferido antes de esa notificación, aunque no estrictamente obligatorio según la propia ACCREDIA. Un fabricante italiano puede usar cualquier organismo notificado de la UE. La cadena italiana importa para la contratación, no como requisito del CRA.

¿Mi certificación OCSI o EUCC cubre la evaluación de conformidad del CRA?

OCSI opera exclusivamente bajo el EUCC desde el 26 de febrero de 2026, por lo que un certificado EUCC emitido por OCSI es evidencia directamente relevante para los controles cubiertos. La vía de presunción del CRA depende del Artículo 27 y de un acto delegado de la Comisión que especifique el esquema europeo de certificación para fines del CRA. Hasta que esa vía EUCC quede especificada, no trates el certificado como un atajo autónomo ya operativo. Úsalo como input sólido para tu expediente del CRA, completando la vía de evaluación en el alcance residual.

¿Qué autoridad italiana es la autoridad de vigilancia de mercado del CRA?

ACN. A diferencia de España (donde el ministerio está posicionado como autoridad de vigilancia de mercado) y Francia (donde esa función recae en la ANFR), Italia consolida la notificación y la vigilancia de mercado dentro de ACN conforme a la Legge 36/2026 (Artículos 36 y 52 del CRA respectivamente). MIMIT y AGCM conservan sus funciones de larga tradición en seguridad general de productos de consumo bajo el Codice del Consumo, pero la autoridad formal de vigilancia de mercado del CRA para productos con elementos digitales es ACN. Planifica las presentaciones, las solicitudes de documentación y las inspecciones ante ACN como interlocutor nacional único.

¿Cuándo publicará Italia su decreto nacional de desarrollo del CRA en la Gazzetta Ufficiale?

La Legge sulla ciberresilienza es un Reglamento de la UE de efecto directo: Italia no necesita transponerla para que las obligaciones sustantivas sean aplicables el 11 de diciembre de 2027. Lo que Italia sí necesita publicar es el decreto legislativo previsto por la Legge 17 marzo 2026, n. 36 (Gazzetta Ufficiale n. 70 del 25 marzo 2026), que otorga al Gobierno seis meses para adoptarlo. Se espera que confirme las designaciones de ACN, fije la escala de sanciones dentro de los límites de la UE y aclare la coordinación con NIS2. Hasta entonces, el papel de ACN descansa sobre el marco de la legge delega.

¿Necesito traducirlo todo al italiano para las ventas B2B?

Para los productos comercializados en Italia con usuarios finales en Italia, sí. La Legge sulla ciberresilienza exige la información al usuario en italiano. El Codice del Consumo exige de forma independiente el italiano en la información de consumo B2C, y ACN puede solicitar documentación técnica en italiano mediante solicitud motivada. Las ventas B2B tienen cierta flexibilidad en el idioma del contrato, pero no eximen de la obligación de información al usuario del CRA una vez que el producto se comercializa en Italia. Planifica información al usuario, divulgación del período de soporte y datos de contacto del fabricante en italiano en todos los canales.

¿Pueden los fondos de Transizione 5.0 o del PNRR pagar las herramientas de cumplimiento del CRA?

Transizione 5.0 puede ayudar solo cuando el trabajo de ciberseguridad forma parte de una transformación digital y energética admisible del proceso productivo. Verifica el estado residual y la admisibilidad técnica antes de apoyarte en él, y no lo trates como un fondo genérico de ciberseguridad o cumplimiento. El trabajo de cumplimiento puro (auditorías, honorarios de evaluación) encaja con mayor dificultad. El PNRR está en su ventana de cierre NextGenerationEU con ejecución al 31 de agosto de 2026 y pagos finales al 30 de septiembre de 2026, por lo que no es viable para el plazo del 11 de diciembre de 2027. El proyecto EU SECURE (16,5 millones de euros en apoyo directo a PYMES, ACN como socio italiano) está diseñado específicamente para el CRA y es el flujo de financiación más relevante de 2026.

Exporto desde Italia a otros Estados miembros de la UE. ¿Dónde reporto los incidentes?

A través de CSIRT Italia, independientemente de los Estados miembros a los que exportes. La Legge sulla ciberresilienza vincula el enrutamiento de las notificaciones al establecimiento principal, no al destino de cada envío. La obligación lingüística sí se extiende mercado a mercado: información del producto en francés para los productos enviados a Francia, en alemán para los enviados a Alemania, y así sucesivamente. Prepara con antelación al menos las secciones de documentación técnica más solicitadas en una lengua de trabajo de uso generalizado para absorber las solicitudes motivadas transfronterizas de las autoridades de vigilancia de mercado de otros Estados miembros.

Para los fabricantes italianos que se preparan para el 11 de diciembre de 2027

  1. Confirma tus obligaciones como fabricante con la guía clúster del fabricante.
  2. Verifica que tu establecimiento principal está en Italia y documenta la justificación. Lo que importa es la ubicación de la toma de decisiones en materia de ciberseguridad, no el domicilio social registrado.
  3. Mapea tu flujo de notificación del CRA a CSIRT Italia, con una presentación de prueba a la plataforma única de notificación de ENISA cuando entre en funcionamiento el 11 de septiembre de 2026.
  4. Elabora un manual de escalada único ante ACN que cubra tanto la notificación de la evaluación de conformidad como la vigilancia de mercado.
  5. Si tu vía de evaluación de conformidad requiere un organismo notificado, evalúa los organismos acreditados por ACCREDIA y notificados por ACN como opción nacional, además de una alternativa transfronteriza.
  6. Si tienes o planeas obtener un certificado EUCC emitido por OCSI, mapea su alcance frente a tu línea de productos y trátalo como evidencia sólida mientras sigues la vía de acto delegado del Artículo 27 del CRA para la presunción EUCC.
  7. Traduce las instrucciones de usuario al italiano. Añade traducciones por mercado para cualquier otro Estado miembro de la UE al que exportes.
  8. Evalúa primero EU SECURE y después comprueba si incentivos residuales o sucesores tipo Transizione 5.0 encajan con una transformación admisible del proceso productivo. No planifiques contra el PNRR para las obligaciones de 2027.
  9. Lee el cuestionario de diligencia debida de proveedores para el marco de diligencia debida en componentes del lado del fabricante.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento del CRA, consulta con asesoría legal cualificada.

CRA Italia Gestión de vulnerabilidades
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
View full CRA compliance guide