CRA pour les fabricants italiens : ACN, ACCREDIA, Legge 36/2026

Fiche pays pour les fabricants italiens : ACN autorité compétente, accréditation ACCREDIA, OCSI/EUCC, obligations linguistiques et Transizione 5.0.

Équipe CRA Evidence Publié 6 janvier 2026 Mis à jour 31 mai 2026
Note pays CRA pour les fabricants italiens illustrant la chaîne institutionnelle nationale : CSIRT Italia pour les signalements de vulnérabilités, ACN comme autorité de notification et de surveillance du marché (Art. 36 et Art. 52), ACCREDIA pour l'accréditation
Dans cet article

Les fabricants italiens sont soumis aux mêmes obligations du Legge sulla ciberresilienza que n'importe quel autre fabricant de l'Union européenne. Cette page est une note pays consacrée à l'Italie : le routage des notifications de vulnérabilités et d'incidents via CSIRT Italia, le positionnement d'ACN comme autorité de notification et autorité de surveillance du marché au titre de la Legge 36/2026, le rôle d'ACCREDIA comme étape d'accréditation, la façon dont OCSI s'inscrit dans le dispositif européen EUCC, les obligations linguistiques en italien, et les lignes de financement Transizione 5.0, PNRR et SECURE réalistes pour un investissement de mise en conformité. Pour l'ensemble des obligations applicables au fabricant, consultez le guide cluster fabricant.

Résumé

  • Le Legge sulla ciberresilienza est un règlement de l'Union d'application directe. Il n'existe aucune exemption propre à l'Italie pour les fabricants de produits.
  • Legge 17 marzo 2026, n. 36 (Legge di delegazione europea 2025, GU n. 70 del 25 marzo 2026) donne au gouvernement italien six mois pour publier le decreto legislativo d'application.
  • CSIRT Italia, opéré au sein d'ACN, est le CSIRT italien récepteur des notifications de vulnérabilités et d'incidents au titre du Legge sulla ciberresilienza lorsque l'établissement principal du fabricant se trouve en Italie.
  • ACN (Agenzia per la Cybersicurezza Nazionale) est désignée comme autorité de notification italienne pour les organismes d'évaluation de la conformité CRA et comme autorité de surveillance du marché pour les produits comportant des éléments numériques. Cette configuration consolide deux rôles que l'Espagne et la France répartissent entre des institutions distinctes.
  • ACCREDIA (Ente Italiano di Accreditamento) accrédite les organismes italiens d'évaluation de la conformité selon la norme ISO/IEC 17065:2012. L'accréditation est l'étape technique privilégiée avant la notification d'un organisme par ACN, sans être strictement obligatoire.
  • L'italien est exigé pour les informations produit destinées aux utilisateurs sur le marché italien. Les langues minoritaires co-officielles (l'allemand dans le Tyrol du Sud, le français dans la Vallée d'Aoste, le slovène dans le Frioul-Vénétie Julienne) ne sont pas imposées par le Legge sulla ciberresilienza.
  • Transizione 5.0 est une voie de crédit d'impôt Ministero delle Imprese e del Made in Italy (MIMIT) en clôture, liée à la transformation numérique et énergétique admissible des processus de production, et non une subvention générale de cybersécurité. PNRR est dans sa fenêtre de clôture NextGenerationEU (échéance du 31 août 2026). Le nouveau projet EU SECURE (16,5 millions d'euros de soutien direct aux PME, ACN comme partenaire italien) a ouvert son premier appel du 28 janvier au 29 mars 2026.

Quand ce guide s'applique-t-il à vous ?

Vous êtes le lecteur cible si l'établissement principal du fabricant dans l'Union se trouve en Italie. Cela désigne le lieu où les décisions relatives à la cybersécurité de vos produits comportant des éléments numériques sont principalement prises. Une filiale commerciale enregistrée en Italie dont l'ingénierie est délocalisée ailleurs ne constitue pas l'établissement principal. Si votre équipe d'ingénierie, votre gouvernance du cycle de développement logiciel (SDLC) et les personnes qui approuvent les publications de mises à jour de sécurité sont en Italie, ce guide vous est destiné.

Si votre établissement principal se trouve ailleurs dans l'UE et que vous expédiez simplement vers l'Italie, vos notifications CRA transitent par le CSIRT de l'État membre où se trouve votre établissement principal, et non par CSIRT Italia. L'obligation linguistique italienne pour les informations destinées aux utilisateurs s'applique néanmoins pour tout produit mis sur le marché italien.

ACN et CSIRT Italia : la voie CSIRT italienne

Les notifications CRA transitent par le CSIRT désigné coordonnateur de l'État membre où le fabricant a son établissement principal dans l'Union. Pour un fabricant dont l'établissement principal est en Italie, ce CSIRT est CSIRT Italia, le CSIRT national opéré au sein d'ACN.

ACN, institué par le Decreto-Law 82/2021 (converti par la Law 109/2021), est l'autorité nationale italienne de cybersécurité. Elle rend compte à la Présidence du Conseil des ministres et constitue le point de référence national unique pour la politique de cybersécurité, la certification et la réglementation. CSIRT Italia publie des avis de vulnérabilité en italien et opère le flux de réponse aux incidents sur les produits grand public.

Le canal technique pour la cadence de signalement 24h/72h/14j est la plateforme unique de signalement de l'ENISA, qui devient opérationnelle le 11 septembre 2026. Un fabricant italien dépose via cette plateforme avec CSIRT Italia comme coordonnateur récepteur. La désignation du CSIRT définit le routage. La plateforme est le canal de transmission.

Organismes notifiés : ACN notifie, ACCREDIA accrédite

Les produits Important Classe I nécessitent un organisme notifié (Module B+C ou Module H) uniquement lorsque les normes harmonisées, spécifications communes, ou un schéma de certification ne les couvrent pas intégralement. Les produits Important Classe II utilisent un organisme notifié (Module B+C ou Module H) ou un schéma de certification disponible et applicable. Les produits Critiques (Annexe IV) suivent l’Article 32(4) : la voie de certification de l’Article 8(1) si la Commission l’a activée, sinon les mêmes voies tierces de l’Article 32(3).

Le dispositif institutionnel italien est le suivant :

  • ACN est l'autorité de notification qui désigne formellement les organismes notifiés italiens auprès de la Commission européenne, fondée sur la Legge 36/2026 et mise en oeuvre par le decreto legislativo d'application.
  • ACCREDIA (Ente Italiano di Accreditamento) est l'organisme national d'accréditation italien et évalue la compétence technique d'un candidat selon la norme ISO/IEC 17065:2012. L'accréditation est décrite par ACCREDIA comme l'outil privilégié pour attester la compétence et l'indépendance, sans pour autant être une condition préalable strictement obligatoire à la notification au titre du Legge sulla ciberresilienza.

Le cadre du Legge sulla ciberresilienza pour les organismes notifiés s'applique à compter du 11 juin 2026, date à partir de laquelle les organismes désignés peuvent commencer à délivrer des certificats d'évaluation de la conformité CRA. Parmi les candidats italiens disposant d'une expertise pertinente en certification produit figurent IMQ, RINA Services, Bureau Veritas Italia et TÜV Italia. Les désignations CRA définitives sont publiées dans la base NANDO de la Commission européenne. Un fabricant italien peut faire appel à n'importe quel organisme notifié de l'Union, pas uniquement à un organisme désigné en Italie.

ACN : l'autorité de surveillance du marché au titre du CRA

À la différence de l'Espagne (où le ministère assure la surveillance du marché) et de la France (où l'ANFR remplit ce rôle), l'Italie consolide la notification et la surveillance du marché au sein d'ACN. La Legge 36/2026 identifie ACN comme l'autorité de vigilance du marché au titre de l'article 52 du CRA, en sus de son rôle de notification au titre de l'article 36.

Toute interaction formelle avec le CRA de la part d'un fabricant italien transite par ACN comme interlocuteur unique : demandes motivées de documentation technique, demandes de traduction de documents, inspections sur site et avis de cessation d'activité. Le Codice del Consumo (Decreto Legislativo 206/2005) régit la sécurité générale des produits de consommation en Italie via le Ministero delle Imprese e del Made in Italy (MIMIT) et AGCM, mais l'autorité formelle de surveillance du marché CRA pour les produits comportant des éléments numériques est ACN.

Les sanctions relèvent des plafonds fixés au niveau de l'UE par le Legge sulla ciberresilienza (jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial pour les infractions les plus graves). Le decreto legislativo d'application italien est attendu pour fixer l'échelle des amendes italienne dans ces plafonds.

OCSI et le dispositif européen EUCC

L'Organismo di Certificazione della Sicurezza Informatica (OCSI) est l'organisme de certification des Critères Communs d'Italie, hébergé au sein d'ACN depuis le 1er juillet 2022 (transféré de l'ancien ministère du Développement économique). OCSI est accrédité par ACCREDIA selon la norme UNI CEI EN ISO/IEC 17065:2012 pour opérer dans le cadre du dispositif EUCC adopté en vertu du règlement UE 2019/881.

Le schéma national hérité d'OCSI a cessé son activité le 26 février 2026 et OCSI opère désormais exclusivement sous le dispositif EUCC. Selon l'article 27 du CRA, les schémas européens de certification de cybersécurité peuvent soutenir une présomption de conformité pour les exigences couvertes lorsque la Commission précise le schéma par acte délégué. Tant que la voie EUCC n'est pas précisée aux fins du CRA, traitez un certificat EUCC délivré par OCSI comme une preuve solide pour le périmètre couvert, et non comme un raccourci autonome déjà opérant.

Les exigences linguistiques en italien dans la pratique

Le Legge sulla ciberresilienza exige que les informations produit destinées aux utilisateurs soient rédigées dans une langue aisément compréhensible par les utilisateurs et l'autorité de surveillance du marché locale. Pour les produits mis sur le marché italien, cette langue est l'italien. Le Codice del Consumo impose indépendamment l'italiano dans les informations des produits de consommation, de sorte que l'obligation du Legge sulla ciberresilienza s'aligne sur une règle nationale de longue date.

Obligatoire en italien :

  • Les instructions d'utilisation et les informations produit livrées avec le produit.
  • Les coordonnées du fabricant, où qu'elles apparaissent.
  • La mention de la date de fin de support affichée au point de vente.

Peut être multilingue :

  • L'étiquette produit et le marquage CE.
  • Les textes d'emballage.
  • La documentation en ligne, à condition qu'une version en italien soit accessible.

L'anglais est généralement accepté pour :

  • La documentation technique interne. ACN peut demander une traduction italienne sur demande motivée, pensez donc à prévoir cette éventualité.

La déclaration UE de conformité peut être rédigée dans n'importe quelle langue officielle de l'Union, mais attendez-vous à une demande de traduction italienne lors de toute inspection ACN. L'allemand dans le Tyrol du Sud, le français dans la Vallée d'Aoste et le slovène dans la zone frontalière du Frioul-Vénétie Julienne sont co-officiels en vertu de leurs statuts régionaux mais ne sont pas imposés par le Legge sulla ciberresilienza. Les marchés publics régionaux ou les régulateurs sectoriels peuvent ajouter leurs propres clauses linguistiques, distinctement du Legge sulla ciberresilienza.

Ventes transfrontalières depuis l'Italie

Les fabricants italiens qui vendent en Allemagne, en France, en Espagne ou dans tout autre État membre de l'UE restent soumis à la règle de routage unique : vos notifications transitent toujours par CSIRT Italia, car le routage suit l'établissement principal, non la destination de chaque expédition. Vous n'effectuez pas de déclaration auprès du CSIRT allemand, français ou espagnol.

L'obligation linguistique, elle, se décline par marché. Un produit expédié sur le marché français nécessite un contenu destiné aux utilisateurs en français. Un produit expédié sur le marché allemand nécessite un contenu en allemand. Le pack en langue italienne ne couvre pas ces marchés.

L'autorité de surveillance du marché de chaque État membre récepteur peut également demander votre documentation technique dans une langue aisément compréhensible par cette autorité. Si votre approvisionnement couvre largement l'UE, prévoyez des demandes dans au moins une langue de travail couramment utilisée, et traitez la traduction anticipée des sections de documentation technique les plus demandées comme une précaution pratique.

Programmes de financement nationaux

Le paysage de financement pour les fabricants italiens qui planifient un investissement CRA en 2026 comprend SECURE, des lignes régionales sectorielles et les fenêtres de clôture de Transizione 5.0 et du PNRR. Vérifiez précisément ce qui reste ouvert et techniquement admissible avant d'inscrire une ligne budgétaire contre ces programmes.

  • Piano Transizione 5.0 est un programme de crédit d'impôt administré par MIMIT, doté d'une enveloppe globale de 6,3 milliards d'euros, lié à la transformation numérique et énergétique admissible des processus de production. Pour la planification 2026, vérifiez le statut résiduel et l'admissibilité technique avant de vous y appuyer ; ne le traitez pas comme un nouveau fonds ouvert de cybersécurité ou de conformité. L'outillage SBOM piloté par le CRA, les plateformes de gestion des vulnérabilités et les infrastructures de sécurité dès la conception n'entrent dans le cadre que lorsque le travail de cybersécurité fait partie d'une transformation admissible du processus de production.
  • SECURE (Strengthening EU SMEs Cyber Resilience) est un nouveau projet cofinancé par l'UE spécifiquement conçu pour soutenir la mise en oeuvre du CRA par les PME. Budget total d'environ 22 millions d'euros, dont 16,5 millions d'euros de soutien financier direct aux PME. ACN est le partenaire italien d'un consortium de 7 pays. Le premier appel s'est déroulé du 28 janvier au 29 mars 2026 avec un plafond de 30 000 euros par projet. Fabricants, importateurs, distributeurs et développeurs de logiciels sont tous éligibles. Suivez le flux d'annonces de l'ACN pour le prochain appel.
  • PNRR (Piano Nazionale di Ripresa e Resilienza) est dans sa fenêtre de clôture. Tous les projets financés par NextGenerationEU doivent être exécutés d'ici le 31 août 2026, les demandes de paiement final de l'Italie étant dues d'ici le 30 septembre 2026. Le PNRR n'est donc pas un véhicule de planification viable pour l'échéance de conformité CRA du 11 décembre 2027.
  • Les bons régionaux de numérisation gérés par les chambres de commerce restent opérationnels en 2026, généralement plafonnés entre 20 000 et 30 000 euros par bénéficiaire. Utiles pour un premier diagnostic, insuffisants pour un programme CRA complet.

Pour un investissement de mise en conformité calé sur l'échéance obligatoire du 11 décembre 2027, le paysage de financement public réaliste en Italie est SECURE (et les programmes UE PME de suivi), les incitations résiduelles ou successeurs de type Transizione 5.0 lorsqu'elles sont techniquement admissibles pour la transformation productive, ainsi que les lignes régionales sectorielles.

Questions fréquentes

Quel CSIRT italien reçoit mes notifications de vulnérabilités CRA ?

CSIRT Italia, opéré au sein d'ACN, lorsque l'établissement principal du fabricant se trouve en Italie. Le Legge sulla ciberresilienza définit l'établissement principal comme le lieu où les décisions relatives à la cybersécurité des produits comportant des éléments numériques sont principalement prises. Les notifications sont soumises via la plateforme unique de signalement de l'ENISA à compter du 11 septembre 2026, avec CSIRT Italia comme coordonnateur récepteur.

Qui désigne les organismes notifiés italiens, ACCREDIA ou ACN ?

ACN est l'autorité de notification qui désigne formellement les organismes notifiés CRA italiens auprès de la Commission européenne dans le cadre établi par la Legge 36/2026. ACCREDIA accrédite les organismes candidats selon la norme ISO/IEC 17065:2012 comme étape technique privilégiée avant cette notification. L'accréditation est décrite par ACCREDIA elle-même comme l'outil privilégié mais non strictement obligatoire pour attester la compétence. Un fabricant italien peut utiliser n'importe quel organisme notifié de l'Union pour l'évaluation de la conformité CRA. La chaîne italienne compte pour les achats, pas comme exigence du Legge sulla ciberresilienza.

Ma certification OCSI ou EUCC couvre-t-elle l'évaluation de la conformité CRA ?

OCSI opère exclusivement sous le dispositif EUCC depuis le 26 février 2026 ; un certificat EUCC délivré par OCSI constitue donc une preuve directement pertinente pour les contrôles couverts. La voie de présomption CRA dépend de l'article 27 et d'un acte délégué de la Commission précisant le schéma européen de certification aux fins du CRA. Tant que cette voie EUCC n'est pas précisée, ne traitez pas le certificat comme un raccourci autonome déjà opérant. Traitez-le comme une contribution solide à votre dossier CRA, la voie d'évaluation de la conformité couvrant le périmètre résiduel.

Quelle autorité italienne est l'autorité de surveillance du marché au titre du CRA ?

ACN. À la différence de l'Espagne (où le ministère est positionné comme autorité de surveillance du marché) et de la France (où l'ANFR remplit ce rôle), l'Italie consolide la notification et la surveillance du marché au sein d'ACN en vertu de la Legge 36/2026 (articles 36 et 52 du Legge sulla ciberresilienza respectivement). MIMIT et AGCM conservent leurs rôles de longue date en matière de sécurité générale des produits de consommation dans le cadre du Codice del Consumo, mais l'autorité formelle de surveillance du marché CRA pour les produits comportant des éléments numériques est ACN. Planifiez dépôts, demandes de documents et inspections en ciblant ACN comme interlocuteur national unique.

Quand l'Italie publiera-t-elle son decreto legislativo national d'application du CRA à la Gazzetta Ufficiale ?

Le Legge sulla ciberresilienza est un règlement de l'UE d'application directe, de sorte que l'Italie n'a pas besoin de le transposer pour que les obligations substantielles s'appliquent le 11 décembre 2027. Ce que l'Italie doit publier, c'est le decreto legislativo prévu par la Legge 17 marzo 2026, n. 36 (Gazzetta Ufficiale n. 70 del 25 marzo 2026), qui donne au gouvernement six mois à compter de l'entrée en vigueur de la loi pour adopter le decreto legislativo d'application. Ce decreto est attendu pour confirmer les désignations institutionnelles d'ACN, fixer l'échelle des amendes italienne dans les plafonds CRA fixés au niveau de l'UE, et clarifier la coordination avec la législation italienne liée à NIS2. Jusqu'à la publication de ce decreto, le rôle d'ACN repose sur le cadre de la legge delega.

Dois-je tout traduire en italien pour les ventes B2B ?

Pour les produits mis sur le marché italien avec des utilisateurs finaux en Italie, oui. Le Legge sulla ciberresilienza exige des informations utilisateur en italien. Le Codice del Consumo impose indépendamment l'italiano dans les informations consommateurs B2C, et l'autorité de surveillance du marché italienne peut demander une documentation technique en italien sur demande motivée pour n'importe quel produit. Les ventes B2B entre professionnels offrent une certaine flexibilité sur la langue contractuelle, mais sans exemption à l'obligation d'information utilisateur du Legge sulla ciberresilienza dès lors que le produit est mis sur le marché italien. Prévoyez de fournir des informations utilisateur en italien, la mention de la période de support en italien et les coordonnées du fabricant en italien, tant pour les circuits grand public que professionnels.

Transizione 5.0 ou les fonds PNRR peuvent-ils financer mon outillage de conformité CRA ?

Transizione 5.0 peut aider uniquement lorsque le travail de cybersécurité fait partie d'une transformation numérique et énergétique admissible du processus de production. Vérifiez le statut résiduel et l'admissibilité technique avant de vous y appuyer, et ne le traitez pas comme un fonds général de cybersécurité ou de conformité. Les travaux de pure conformité (audits, frais d'évaluation de la conformité) sont plus difficiles à faire entrer dans ce cadre. Le PNRR est dans sa fenêtre de clôture NextGenerationEU avec exécution des projets due le 31 août 2026 et demandes de paiement final dues le 30 septembre 2026, ce qui en fait un véhicule de planification non viable pour l'échéance du 11 décembre 2027. Le nouveau projet EU SECURE (16,5 millions d'euros de soutien direct aux PME, ACN comme partenaire italien) est spécialement conçu pour la mise en oeuvre du CRA et constitue la ligne de financement 2026 la plus directement pertinente à surveiller.

J'expédie depuis l'Italie vers d'autres États membres de l'UE. Où dois-je déclarer les incidents ?

Via CSIRT Italia, quelle que soit la destination de vos expéditions. Le Legge sulla ciberresilienza lie le routage des notifications à l'établissement principal, non à la destination de chaque expédition. L'obligation linguistique, elle, se décline par marché : informations produit en français pour les produits expédiés vers la France, en allemand pour les produits expédiés vers l'Allemagne, et ainsi de suite. Pré-préparez au moins les sections de documentation technique les plus demandées dans une langue de travail couramment utilisée pour absorber les demandes motivées transfrontalières des autorités de surveillance du marché des autres États membres.

Pour les fabricants italiens qui se préparent au 11 décembre 2027

  1. Confirmez vos obligations de fabricant à l'aide du guide cluster fabricant.
  2. Vérifiez que votre établissement principal se trouve bien en Italie et documentez la justification. C'est le lieu des prises de décision en matière de cybersécurité, et non le siège social enregistré, qui compte.
  3. Cartographiez votre flux de signalement CRA vers CSIRT Italia, avec une soumission test sur la plateforme unique de signalement de l'ENISA dès sa mise en service le 11 septembre 2026.
  4. Construisez un plan d'escalade unique orienté ACN couvrant à la fois la notification de l'évaluation de la conformité et la surveillance du marché.
  5. Si votre voie d'évaluation de la conformité nécessite un organisme notifié, examinez les organismes accrédités par ACCREDIA et notifiés par ACN comme option nationale, ainsi qu'une alternative transfrontalière.
  6. Si vous détenez ou prévoyez un certificat EUCC délivré par OCSI, cartographiez son périmètre par rapport à votre gamme de produits et traitez-le comme une preuve solide tout en suivant la voie de l'acte délégué de l'article 27 du CRA pour la présomption EUCC.
  7. Traduisez les instructions utilisateur en italien. Ajoutez des traductions par marché pour tout autre État membre de l'UE vers lequel vous expédiez.
  8. Évaluez d'abord EU SECURE, puis vérifiez si des incitations résiduelles ou successeurs de type Transizione 5.0 correspondent à une transformation admissible du processus de production. Ne planifiez pas contre le PNRR pour les obligations 2027.
  9. Lisez le questionnaire de diligence raisonnée fournisseur pour le cadre de diligence raisonnée sur les composants côté fabricant.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité CRA spécifiques, consultez un conseiller juridique qualifié.

CRA Italie Gestion des vulnérabilités
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide