CRA per i fabbricanti olandesi: NCSC, RDI e Rotterdam

Scheda paese per i fabbricanti olandesi secondo il CRA: notifica NCSC, vigilanza RDI prevista, accreditamento RvA, requisito linguistico Warenwet, Rotterdam.

Team CRA Evidence Pubblicato 5 gennaio 2026 Aggiornato 11 giugno 2026
Country brief CRA per i fabbricanti olandesi: etichetta di spedizione con la denominazione del fabbricante non UE originale barrata e sostituita con quella dell'entità olandese che ha operato il rebranding
In questo articolo

I fabbricanti olandesi sono soggetti agli stessi obblighi della Legge sulla ciberresilienza di qualsiasi altro fabbricante UE, ma con una specificità nazionale che pochi altri Stati membri condividono alla stessa scala: una quota significativa del traffico di prodotti del paese è costituita da merci non UE sbarcate a Rotterdam, ribattezzate da un'entità olandese e distribuite nel resto dell'UE. Questo fatto colloca un soggetto olandese nel ruolo di fabbricante più spesso di quanto la sede legale lasci intendere. La presente pagina è un country brief per i Paesi Bassi: come le segnalazioni di vulnerabilità transitano per il nuovo NCSC post-fusione, dove si colloca RDI come autorità di notifica e di vigilanza del mercato, dove si inserisce RvA nell'accreditamento, cosa impone la Warenwet in materia linguistica, come il ponte di rebranding di Rotterdam sposta la linea tra fabbricante e importatore, e quali programmi di finanziamento sono praticabili nel 2026. Per il quadro completo degli obblighi, consultare la guida cluster del fabbricante e la guida cluster dell'importatore.

Sintesi

  • La Legge sulla ciberresilienza è un regolamento UE ad efficacia diretta. Gli obblighi sostanziali si applicano dall'11 dicembre 2027, mentre il conteggio per la segnalazione delle vulnerabilità parte dall'11 settembre 2026.
  • NCSC (Nationaal Cyber Security Centrum) è il percorso olandese per le segnalazioni di vulnerabilità e di incidenti. CSIRT-DSP era già stato integrato nell'NCSC, e il Digital Trust Center è confluito nell'NCSC rafforzato il 1° gennaio 2026. Le segnalazioni transitano per la piattaforma unica di segnalazione ENISA e per mijn.NCSC.nl a partire dall'11 settembre 2026.
  • RDI (Rijksinspectie Digitale Infrastructuur, già Agentschap Telecom, sotto il Ministerie van Economische Zaken en Klimaat) è la principale autorità di notifica prevista per la Legge sulla ciberresilienza e l'autorità nazionale di vigilanza del mercato prevista dalla legge di attuazione olandese ancora in iter. RvA (Raad voor Accreditatie) accredita i candidati organismi di valutazione della conformità secondo ISO/IEC 17065:2012.
  • Uitvoeringswet verordening cyberweerbaarheid (disegno di legge 36875) è lo strumento olandese di attuazione della Legge sulla ciberresilienza. Alla fine di aprile 2026 è ancora in iter alla Tweede Kamer e non è stato pubblicato nello Staatsblad. Verificare il testo definitivo prima di qualsiasi presentazione formale.
  • Rotterdam è il principale porto europeo per le importazioni extra-UE. Un'entità olandese che importa e ribattezza un prodotto ricade nel regime del fabbricante attraverso il ponte di rebranding della Legge sulla ciberresilienza, non nel più leggero regime dell'importatore.
  • L'olandese (Nederlands) è richiesto per le informazioni destinate all'utente sul mercato olandese dalla Warenwet.
  • Finanziamenti nazionali per il 2026: WBSO (credito d'imposta sui costi salariali R&S, budget EUR 1.817 miliardi), MIT (innovazione PMI regionale), Innovation Box, CIF-NL (Cybersecurity Innovation Fund). Il piano olandese di ripresa e resilienza (Herstel- en Veerkrachtplan) è nella finestra conclusiva di NextGenerationEU e non è uno strumento praticabile per gli obblighi previsti per il 2027.

Quando questa guida si applica al suo caso

È il lettore target se il suo «stabilimento principale nell'Unione» come fabbricante si trova nei Paesi Bassi: il luogo in cui le decisioni relative alla cibersicurezza dei suoi prodotti con elementi digitali vengono prevalentemente adottate. Un'entità olandese di vendita o holding con sede tecnica all'estero non costituisce lo stabilimento principale. Se il team tecnico, la governance del ciclo di sviluppo del software e le persone che approvano il rilascio degli aggiornamenti di sicurezza si trovano nei Paesi Bassi, questa guida è per lei.

Se il suo stabilimento principale è in un altro Stato membro e lei spedisce soltanto nei Paesi Bassi, le segnalazioni CRA transitano per il CSIRT dello Stato membro del suo stabilimento principale, non per il NCSC olandese. L'obbligo linguistico in olandese per le informazioni destinate all'utente si applica comunque per qualsiasi prodotto immesso sul mercato olandese.

Questa guida si rivolge anche a un secondo pubblico: un soggetto olandese che importa un prodotto non UE attraverso Rotterdam e lo rivende con il proprio marchio o lo modifica sostanzialmente prima dell'immissione sul mercato. Tale soggetto ricade nel regime del fabbricante attraverso il ponte di rebranding della Legge sulla ciberresilienza, non nel più leggero regime dell'importatore. Si veda la sezione dedicata più avanti.

NCSC: il percorso CSIRT olandese

Le segnalazioni previste dalla Legge sulla ciberresilienza transitano per il CSIRT designato come coordinatore nello Stato membro in cui il fabbricante ha il proprio stabilimento principale nell'Unione. Per un fabbricante con stabilimento principale nei Paesi Bassi, quel CSIRT è l'NCSC.

Un cambiamento rispetto alla generazione precedente della guida olandese in materia di sicurezza informatica è rilevante per i nuovi lettori. CSIRT-DSP era già stato integrato nell'NCSC, e il 1° gennaio 2026 il Digital Trust Center è confluito nell'NCSC rafforzato. Esiste ora un unico CSIRT nazionale per i fabbricanti di prodotti, le entità essenziali, i fornitori di servizi digitali e le PMI che il DTC serviva in precedenza. Le guide precedenti che fanno riferimento a un modello a due CSIRT (NCSC-NL più CSIRT-DSP) descrivono la struttura pre-fusione.

Il canale tecnico per la cadenza di segnalazione a 24 ore / 72 ore / 14 giorni è la piattaforma unica di segnalazione ENISA, operativa dall'11 settembre 2026, insieme al portale nazionale olandese mijn.NCSC.nl. Un fabbricante olandese trasmette tramite la piattaforma ENISA con l'NCSC come coordinatore ricevente. La designazione del CSIRT è il meccanismo di instradamento. La piattaforma è il mezzo di trasmissione.

Organismi notificati: RDI notifica, RvA accredita

I prodotti di Classe I Importante necessitano di un organismo notificato (Modulo B+C o Modulo H) solo quando norme armonizzate, specifiche comuni o uno schema di certificazione non coprono integralmente i requisiti del prodotto. I prodotti di Classe II Importante utilizzano un organismo notificato (Modulo B+C o Modulo H) oppure uno schema di certificazione disponibile e applicabile. I prodotti Critici (Allegato IV) seguono l'Articolo 32(4): il percorso di certificazione ai sensi dell'Articolo 8(1) quando la Commissione lo ha attivato, altrimenti gli stessi percorsi dell'Articolo 32(3).

La catena istituzionale olandese è una suddivisione netta:

  • RvA (Raad voor Accreditatie) è l'unico organismo nazionale di accreditamento, con status legale definito dalla Wet aanwijzing nationale accreditatie-instantie. RvA accredita gli organismi di valutazione della conformità rispetto a ISO/IEC 17065:2012. L'accreditamento è il passaggio tecnico.
  • RDI (Rijksinspectie Digitale Infrastructuur) è la principale autorità di notifica prevista, che registrerà formalmente gli organismi notificati CRA olandesi presso la Commissione europea quando la legge di attuazione olandese sarà definitiva. RDI opera sotto il Ministerie van Economische Zaken en Klimaat e ha assorbito questa funzione dal precedente Agentschap Telecom. La notifica è il passaggio giuridico.

Il quadro CRA per gli organismi notificati si applica dall'11 giugno 2026, data a partire dalla quale gli organismi notificati possono iniziare a rilasciare certificati di valutazione della conformità CRA. L'Uitvoeringswet verordening cyberweerbaarheid è lo strumento olandese che dovrebbe attribuire a RDI il ruolo di autorità di notifica. Il disegno di legge è ancora in iter alla Tweede Kamer alla fine di aprile 2026 e non è ancora stato pubblicato nello Staatsblad. Un fabbricante olandese può avvalersi di qualsiasi organismo notificato UE, non solo di quelli notificati nei Paesi Bassi. Le notifiche definitive compaiono nel database NANDO della Commissione europea.

RDI: l'autorità di vigilanza del mercato CRA

L'Uitvoeringswet verordening cyberweerbaarheid dovrebbe designare il Ministro dell'Economia, nella pratica RDI, come autorità di vigilanza del mercato CRA nei Paesi Bassi. RDI otterrebbe poteri formali di supervisione e applicazione, inclusa la competenza a irrogare sanzioni amministrative nei limiti dei massimali UE della Legge sulla ciberresilienza (fino a EUR 15 milioni o al 2,5% del fatturato globale, se superiore).

I Paesi Bassi si collocherebbero nel gruppo degli Stati che adottano un modello consolidato per questo assetto, insieme all'italiana ACN, se il testo finale seguirà il disegno di legge. La Spagna (CCN + MTDFP) e la Francia (ANSSI + ANFR) hanno invece ripartito le funzioni di autorità di notifica e di vigilanza del mercato tra istituzioni separate. Un fabbricante olandese avrebbe quindi un unico interlocutore nazionale per la corrispondenza formale CRA: l'NCSC per il flusso di segnalazione, RDI per tutto il resto.

Rotterdam e l'angolo dell'importatore

Rotterdam è il porto europeo con il maggior volume di merci, con circa 14,5 milioni di TEU l'anno e il peso lordo più elevato di importazioni extra-UE tra tutti i porti UE. Per i prodotti con elementi digitali, una quota significativa della prima immissione sul mercato UE avviene qui, spesso da parte di un soggetto olandese che acquista beni finiti da un fornitore non UE e li distribuisce nel mercato belga, tedesco, francese e più in generale europeo.

La Legge sulla ciberresilienza guarda al ruolo che si svolge concretamente, non a quello indicato nella documentazione doganale. Nei flussi via Rotterdam si riscontrano due schemi operativi comuni, che ricadono in regimi diversi:

  • Schema 1: si importa un prodotto non UE e lo si immette sul mercato UE invariato, sotto il marchio originale del fabbricante. Si tratta del regime dell'importatore. L'importatore effettua i quattro controlli pre-immissione sul mercato (documentazione della valutazione della conformità, dichiarazione UE di conformità, marcatura CE, identità e indirizzo del fabbricante sul prodotto), subentra nella cascade prevista per i casi in cui il fabbricante non UE non sia raggiungibile, e conserva i riferimenti alla documentazione tecnica per almeno dieci anni. Si consulti la guida cluster dell'importatore.
  • Schema 2: si importa un prodotto non UE, lo si ribattezza con il proprio nome, se ne modifica la finalità prevista o lo si modifica sostanzialmente prima della prima immissione sul mercato. Si tratta del regime del fabbricante attraverso il ponte di rebranding della Legge sulla ciberresilienza. L'entità olandese diventa il fabbricante. Gli obblighi si applicano integralmente, inclusi la conformità ai requisiti essenziali, la documentazione tecnica, la valutazione della conformità, la comunicazione della data di fine supporto e la cadenza di segnalazione a 24 ore / 72 ore / 14 giorni.

Un errore frequente è trattare lo Schema 2 come lo Schema 1 perché la documentazione doganale indica «importatore ufficiale». I ruoli della Legge sulla ciberresilienza non seguono gli Incoterms. Nel momento in cui il marchio originale viene sostituito dal proprio, o viene modificata la finalità prevista originale, si è il fabbricante. Gli SBOM e le marcature CE forniti dal fornitore non UE costituiscono elementi di input per la propria documentazione tecnica, non sostituti di essa. La stessa logica si applica al retail a marchio privato: un retailer olandese che commercializza prodotti sotto il proprio marchio ricade nel regime del fabbricante indipendentemente dal luogo di produzione dell'hardware.

Obblighi linguistici in olandese nella pratica

La Legge sulla ciberresilienza richiede che le informazioni per l'utente siano redatte in una lingua facilmente comprensibile per gli utenti e l'autorità di vigilanza del mercato locale. Per i prodotti immessi sul mercato olandese, quella lingua è l'olandese (Nederlands). La Warenwet (legge sulle merci) e le correlate norme settoriali sulle informazioni di prodotto richiedono indipendentemente l'olandese per la denominazione dei prodotti di consumo, le condizioni di garanzia, le istruzioni per l'uso, le avvertenze e le informazioni sulle caratteristiche del prodotto.

Deve essere in olandese:

  • Le istruzioni per l'utente e le informazioni di prodotto fornite con il prodotto.
  • I dati di contatto del fabbricante, ovunque siano indicati.
  • La comunicazione della data di fine supporto esposta al punto vendita.
  • Le condizioni di garanzia e le informazioni sui diritti dei consumatori allegate al prodotto.

Può essere multilingue:

  • L'etichetta del prodotto e la marcatura CE.
  • Il testo dell'imballaggio.
  • La documentazione online, purché sia accessibile una versione in olandese.

L'inglese è normalmente accettato per:

  • Le informazioni B2B tra acquirenti professionali quando le parti hanno concordato una lingua di lavoro.
  • La documentazione tecnica interna. RDI può comunque richiedere una traduzione in olandese su motivata richiesta, quindi è opportuno prepararsi a tale evenienza.

I marchi commerciali, la terminologia scientifica o tecnica di uso corrente e le indicazioni dell'origine del prodotto sono esentati. La dichiarazione UE di conformità può essere redatta in qualsiasi lingua ufficiale UE. Il frisone è co-ufficiale in Frisia, ma la Legge sulla ciberresilienza non impone la traduzione in frisone.

Vendita transfrontaliera dai Paesi Bassi

I fabbricanti olandesi che vendono in Germania, Belgio, Francia o in qualsiasi altro Stato membro UE applicano la stessa regola di instradamento univoco: le segnalazioni CRA transitano comunque per l'NCSC, perché l'instradamento segue lo stabilimento principale, non la destinazione delle singole spedizioni. L'obbligo linguistico si articola invece per mercato. Un prodotto spedito in Germania necessita di contenuti per l'utente in tedesco, un prodotto spedito in Francia necessita di contenuti in francese. Il pacchetto in lingua olandese non copre quei mercati. Anche l'autorità di vigilanza del mercato di ciascuno Stato membro ricevente può richiedere la documentazione tecnica in una lingua facilmente comprensibile per tale autorità. Predisporre le sezioni più richieste in una lingua di lavoro ampiamente utilizzata permette di gestire le richieste motivate transfrontaliere.

Programmi di finanziamento nazionali

Il quadro dei finanziamenti olandesi per gli investimenti CRA nel 2026 comprende un grande programma di credito d'imposta, due programmi di innovazione per le PMI e un fondo dedicato alla sicurezza informatica.

  • WBSO (Wet Bevordering Speur- en Ontwikkelingswerk) è il credito d'imposta sui costi salariali R&S, gestito da RVO. Il budget 2026 è di EUR 1.817 miliardi, con un beneficio del 36% sui costi salariali R&S qualificanti fino a EUR 391.020 (50% per le start-up). Lo sviluppo security-by-design, gli strumenti SBOM, le piattaforme di gestione delle vulnerabilità e la progettazione di processi CVD si qualificano quando inquadrati come vera e propria attività di R&S.
  • MIT (MKB-Innovatiestimulering Regio en Topsectoren) finanzia i progetti di innovazione delle PMI a livello regionale, con percorsi di studio di fattibilità e collaborazione R&S nell'intervallo da EUR 20.000 a EUR 350.000.
  • Innovation Box (Innovatiebox) è un'aliquota ridotta di imposta sulle società (effettiva 9%) sugli utili derivanti da attività di innovazione qualificanti. Si cumula di frequente con il WBSO.
  • CIF-NL (Cybersecurity Innovation Fund) è la linea di sussidio RVO dedicata all'innovazione nel campo della cibersicurezza. Il bando 2025-2026 aveva un plafond di EUR 2,5 milioni (da EUR 60.000 a EUR 100.000 per progetto) focalizzato su cripto-agilità e accessibilità. Le domande si sono chiuse il 10 febbraio 2026. Monitorare RVO e il nuovo NCSC per eventuali bandi successivi di CIF-NL.
  • Herstel- en Veerkrachtplan olandese (RRF) si trova nella finestra conclusiva di NextGenerationEU, con esecuzione dei progetti fissata al 31 agosto 2026 e richieste di pagamento finale entro il 30 settembre 2026. Non costituisce uno strumento di pianificazione praticabile per la scadenza CRA dell'11 dicembre 2027.

Per gli investimenti di conformità da ancorare all'11 dicembre 2027, il quadro olandese realistico è WBSO più MIT più Innovation Box, con CIF-NL applicabile alle parti genuinamente innovative.

Domande frequenti

Quale CSIRT olandese riceve le mie segnalazioni di vulnerabilità CRA?

L'NCSC (Nationaal Cyber Security Centrum), l'unico percorso CSIRT nazionale dopo la precedente integrazione di CSIRT-DSP nell'NCSC e la confluenza del Digital Trust Center nell'NCSC rafforzato il 1° gennaio 2026. Le segnalazioni si trasmettono tramite la piattaforma unica di segnalazione ENISA a partire dall'11 settembre 2026, con l'NCSC come coordinatore ricevente. Il portale nazionale olandese è `mijn.NCSC.nl`. Le guide precedenti che fanno riferimento a un modello a due CSIRT descrivono la struttura pre-fusione.

Chi designa gli organismi notificati olandesi, RvA o RDI?

RvA (Raad voor Accreditatie) accredita i candidati organismi di valutazione della conformità secondo ISO/IEC 17065:2012. RDI (Rijksinspectie Digitale Infrastructuur), sotto il Ministro dell'Economia, è la principale autorità di notifica prevista, che registrerà formalmente gli organismi notificati CRA olandesi presso la Commissione europea quando la legge di attuazione olandese sarà definitiva. L'Uitvoeringswet verordening cyberweerbaarheid dovrebbe attribuire a RDI tale funzione. Un fabbricante olandese può comunque avvalersi di qualsiasi organismo notificato UE per la valutazione della conformità CRA.

Importo prodotti dall'Asia attraverso Rotterdam e li rivendo con il mio marchio. Sono il fabbricante o l'importatore?

Il fabbricante. Il ponte di rebranding della Legge sulla ciberresilienza attribuisce gli obblighi del fabbricante a chiunque immetta un prodotto sotto il proprio nome o marchio, indipendentemente dal luogo di produzione dell'hardware. Lo stesso vale se si modifica sostanzialmente il prodotto o se ne cambia la finalità prevista prima della prima immissione sul mercato. Gli obblighi si applicano integralmente all'entità olandese. Gli SBOM e le marcature CE forniti dal fornitore non UE sono elementi di input per la propria documentazione tecnica, non sostituti di essa. Si consulti la guida cluster dell'importatore per lo schema in cui non si opera alcun rebranding.

Quale autorità olandese è responsabile della vigilanza del mercato CRA?

RDI (Rijksinspectie Digitale Infrastructuur), sotto il Ministro dell'Economia, è l'autorità olandese di vigilanza del mercato CRA prevista. L'Uitvoeringswet verordening cyberweerbaarheid dovrebbe attribuire a RDI sia la funzione di autorità di notifica sia quella di autorità di vigilanza del mercato. I Paesi Bassi adottano un modello consolidato (lo stesso schema dell'italiana ACN), a differenza della Spagna (CCN + MTDFP) o della Francia (ANSSI + ANFR), dove le due funzioni sono ripartite. Verificare la designazione definitiva nel testo dello Staatsblad prima di qualsiasi presentazione formale. Lo strumento di attuazione è ancora in iter alla Tweede Kamer alla fine di aprile 2026.

Quando i Paesi Bassi pubblicheranno la legge nazionale di attuazione del CRA nello Staatsblad?

La Legge sulla ciberresilienza è un regolamento UE ad efficacia diretta, quindi i Paesi Bassi non devono recepirla perché gli obblighi sostanziali si applichino dall'11 dicembre 2027. Ciò che i Paesi Bassi necessitano è l'Uitvoeringswet verordening cyberweerbaarheid (disegno di legge 36875), che dovrebbe designare formalmente l'autorità di vigilanza del mercato CRA (RDI), l'autorità di notifica (RDI) e il CSIRT nazionale (NCSC), e fissare la scala delle sanzioni olandesi nei limiti dei massimali UE. Il disegno di legge è ancora in iter alla Tweede Kamer alla fine di aprile 2026. Monitorare intorno alla scadenza del 11 giugno 2026 per il quadro degli organismi notificati, e trattare qualsiasi attribuzione anticipata dell'industria come provvisoria fino alla pubblicazione del testo nello Staatsblad.

La Cyberbeveiligingswet sostituisce o duplica gli obblighi CRA?

Nessuna delle due. La Cyberbeveiligingswet è il recepimento olandese della direttiva NIS2, adottata dalla Tweede Kamer il 15 aprile 2026 e attesa in vigore nel secondo trimestre del 2026 dopo l'adozione da parte della Eerste Kamer e la pubblicazione nello Staatsblad. Riguarda l'organizzazione in quanto entità chiave o importante in un settore designato. La Legge sulla ciberresilienza si applica a ogni prodotto con elementi digitali immesso sul mercato UE. Condividono l'instradamento CSIRT (l'NCSC riceve entrambi) ma non si sostituiscono l'una all'altra. Un fabbricante olandese in ambito di entrambe le normative le gestisce in parallelo con presentazioni separate.

Devo tradurre tutto in olandese per le vendite B2B?

Per i prodotti immessi sul mercato olandese con utenti finali nei Paesi Bassi, sì. La Legge sulla ciberresilienza richiede informazioni per l'utente in olandese, e la Warenwet insieme alle norme settoriali impongono indipendentemente l'olandese per la denominazione del prodotto, le condizioni di garanzia, le istruzioni, le avvertenze e le informazioni sulle caratteristiche del prodotto. Le vendite B2B tra acquirenti professionali hanno qualche flessibilità sulla lingua contrattuale quando le parti concordano, ma l'obbligo della Legge sulla ciberresilienza non opera questa distinzione una volta che il prodotto è immesso sul mercato olandese. Predisporre informazioni per l'utente in olandese, la comunicazione del periodo di supporto in olandese e i dati di contatto del fabbricante in olandese su tutti i canali, sia consumer che professionali. I marchi commerciali e i termini tecnici di uso corrente sono esentati.

WBSO o CIF-NL possono finanziare gli strumenti di conformità CRA?

WBSO sì, quando il lavoro è genuina attività di R&S (sviluppo security-by-design, strumenti SBOM, piattaforme di gestione delle vulnerabilità, progettazione innovativa di processi CVD). Il puro lavoro di conformità (audit, tariffe per la valutazione della conformità) non si qualifica. Il budget WBSO 2026 è di EUR 1.817 miliardi, con un beneficio del 36% sui primi EUR 391.020 di costi salariali R&S qualificanti (50% per le start-up). CIF-NL è il sussidio dedicato all'innovazione nella cibersicurezza. Il bando 2025-2026 si è chiuso il 10 febbraio 2026 con un plafond di EUR 2,5 milioni focalizzato su cripto-agilità e accessibilità. Monitorare RVO e il nuovo NCSC per eventuali bandi successivi di CIF-NL. Il piano RRF olandese si trova nella finestra conclusiva di NextGenerationEU con esecuzione dei progetti fissata al 31 agosto 2026, quindi non è praticabile per gli obblighi previsti per il 2027.

Per i fabbricanti olandesi in preparazione all'11 dicembre 2027

  1. Confermare gli obblighi del fabbricante tramite la guida cluster del fabbricante.
  2. Verificare che lo stabilimento principale si trovi nei Paesi Bassi e documentare la motivazione. A rilevare è il luogo in cui vengono adottate le decisioni di cibersicurezza, non la sede legale.
  3. Se uno o più prodotti vengono importati attraverso Rotterdam e rivenduti con il proprio marchio, esaminare la guida cluster dell'importatore e verificare se il proprio schema operativo ricade nel regime del fabbricante o in quello dell'importatore. Il ponte di rebranding sposta la linea.
  4. Mappare il flusso di segnalazione CRA su NCSC, con una trasmissione di prova tramite la piattaforma unica di segnalazione ENISA e tramite `mijn.NCSC.nl` non appena entrambe saranno operative dall'11 settembre 2026.
  5. Se il percorso di valutazione della conformità richiede un organismo notificato, valutare gli organismi accreditati RvA come opzione nazionale, insieme a un'alternativa transfrontaliera. Monitorare lo Staatsblad per la designazione definitiva di RDI come autorità di notifica.
  6. Tradurre le istruzioni per l'utente, la comunicazione del periodo di supporto e i dati di contatto del fabbricante in olandese come richiesto dalla Warenwet. Aggiungere le traduzioni per mercato per tutti gli altri Stati membri UE verso cui si spedisce.
  7. Valutare WBSO e CIF-NL rispetto a qualsiasi investimento genuinamente R&S in strumenti security-by-design. Non pianificare rispetto al piano RRF olandese per gli obblighi previsti per il 2027.
  8. Leggere il questionario di due diligence sui fornitori per il quadro di due diligence sui componenti, in particolare per i componenti non UE instradati attraverso Rotterdam.

Questo articolo è fornito a solo scopo informativo e non costituisce consulenza legale. Consultare un consulente legale qualificato per una guida specifica sulla conformità CRA.

CRA Netherlands Gestione delle vulnerabilità
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Guide sempreverdi su requisiti, processi e ruoli definiti dal Regolamento sulla cibersicurezza (CRA).

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Certificazione europea di cibersicurezza (EUCC)

Come funziona lo schema di certificazione EUCC e quando può supportare la conformità al CRA.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
Vedi la guida completa alla conformità CRA