CRA per i fabbricanti spagnoli: INCIBE-CERT, CCN ed ENAC

Scheda paese per i fabbricanti spagnoli secondo il CRA: notifica probabilmente via INCIBE-CERT, divisione CCN/ENAC, obblighi linguistici e finanziamenti.

Team CRA Evidence Pubblicato 1 gennaio 2026 Aggiornato 25 maggio 2026
Scheda paese per i fabbricanti spagnoli che mostra la catena istituzionale nazionale: CSIRT per le segnalazioni di vulnerabilità, organismo notificato per i certificati di conformità, autorità di vigilanza del mercato per l'enforcement
In questo articolo

I fabbricanti spagnoli sono soggetti agli stessi obblighi della Legge sulla ciberresilienza di qualunque altro fabbricante dell'Unione. Questa pagina è una scheda paese per la Spagna: come le segnalazioni di vulnerabilità e incidente vengono instradate tramite INCIBE-CERT, come gli organismi di valutazione della conformità vengono designati secondo la divisione istituzionale spagnola (CCN notifica, ENAC accredita), cosa richiedono concretamente gli obblighi in lingua spagnola, e cosa rimane disponibile dei programmi nazionali di finanziamento mentre si chiude la finestra del Piano di Ripresa e Resilienza. Per il quadro completo degli obblighi del fabbricante, consulti la guida del cluster fabbricante.

Sintesi

  • La Legge sulla ciberresilienza è un regolamento dell'Unione di applicazione diretta. Non esistono esenzioni specifiche per la Spagna per i fabbricanti di prodotti.
  • INCIBE-CERT è il CSIRT spagnolo di riferimento per le segnalazioni di vulnerabilità e incidente previste dalla Legge sulla ciberresilienza quando lo stabilimento principale del fabbricante si trova in Spagna.
  • CCN (Centro Criptológico Nacional) designa formalmente gli organismi notificati spagnoli alla Commissione europea. ENAC li accredita come passaggio tecnico preliminare a tale designazione.
  • SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) nel Ministerio para la Transformación Digital y de la Función Pública (MTDFP) è indicata come autorità di vigilanza del mercato spagnola per la Legge sulla ciberresilienza. Il quadro nazionale formale si applica dall'11 giugno 2026. Verificare la designazione definitiva nel BOE prima di qualsiasi deposito formale.
  • Lo spagnolo (castigliano) è richiesto per le informazioni di prodotto rivolte agli utenti immesse sul mercato spagnolo. Le lingue co-ufficiali delle comunità autonome (catalano, galiziano, basco) non sono obbligatorie per la Legge sulla ciberresilienza.
  • CDTI ha linee di innovazione 2026 attive che possono finanziare attività di R&S connesse alla Legge sulla ciberresilienza. Le convocatorie Kit Digital si sono chiuse nell'ottobre 2025. I progetti del Plan de Recuperación devono essere eseguiti entro il 31 agosto 2026 e non costituiscono uno strumento di pianificazione per la scadenza dell'11 dicembre 2027.

Quando questa guida si applica alla sua situazione

È il lettore target se lo «stabilimento principale nell'Unione» del fabbricante è in Spagna. Ciò significa il luogo in cui vengono prese principalmente le decisioni relative alla cibersicurezza dei prodotti con elementi digitali. Una filiale di vendita registrata in Spagna con ingegneria offshore non è lo stabilimento principale. Se il suo team di ingegneria, la governance del ciclo di sviluppo software e le persone che approvano i rilasci degli aggiornamenti di sicurezza si trovano in Spagna, questa guida è per Lei.

Se il suo stabilimento principale si trova altrove nell'Unione e Lei spedisce solo in Spagna, le sue segnalazioni CRA vengono instradate tramite il CSIRT dello Stato membro del suo stabilimento principale, non tramite INCIBE-CERT. L'obbligo linguistico in spagnolo per le informazioni rivolte agli utenti si applica comunque per qualsiasi prodotto immesso sul mercato spagnolo.

INCIBE-CERT: la via CSIRT spagnola

Le segnalazioni previste dalla Legge sulla ciberresilienza vengono instradate al CSIRT designato come coordinatore dello Stato membro in cui il fabbricante ha il proprio stabilimento principale nell'Unione. Per un fabbricante con stabilimento principale in Spagna, quel CSIRT è INCIBE-CERT.

INCIBE-CERT pubblica avvisi di vulnerabilità in lingua spagnola e gestisce il flusso di risposta agli incidenti per i prodotti di consumo. CCN-CERT copre il settore pubblico e i sistemi classificati e non rappresenta la via prevista dalla Legge sulla ciberresilienza per i fabbricanti commerciali che immettono prodotti sul mercato aperto.

Il canale tecnico per la cadenza di notifica di 24 ore, 72 ore e 14 giorni è la piattaforma unica di notifica ENISA, che diventa operativa l'11 settembre 2026. Un fabbricante spagnolo deposita le segnalazioni tramite quella piattaforma con INCIBE-CERT come coordinatore destinatario. La designazione del CSIRT definisce il routing. La piattaforma è il canale di trasmissione.

Organismi notificati: CCN designa, ENAC accredita

I prodotti importanti di classe I necessitano di un organismo notificato (Modulo B+C o Modulo H) solo quando norme armonizzate, specifiche comuni o uno schema di certificazione non coprono integralmente i requisiti del prodotto. I prodotti importanti di classe II utilizzano un organismo notificato (Modulo B+C o Modulo H) oppure uno schema di certificazione disponibile e applicabile. I prodotti critici (Allegato IV) seguono l'Articolo 32(4): il percorso di certificazione ai sensi dell'Articolo 8(1) quando la Commissione lo ha attivato, altrimenti gli stessi percorsi dell'Articolo 32(3).

La divisione istituzionale spagnola è la seguente:

  • CCN (Centro Criptológico Nacional) funge da autorità notificante che designa formalmente gli organismi notificati spagnoli alla Commissione europea per la Legge sulla ciberresilienza.
  • ENAC (Entidad Nacional de Acreditación) è l'ente nazionale di accreditamento spagnolo e valuta la competenza tecnica di un candidato prima che CCN lo notifichi.

Il quadro della Legge sulla ciberresilienza per gli organismi notificati si applica dall'11 giugno 2026, a partire dalla quale i corpi designati possono iniziare a rilasciare certificati di valutazione della conformità. Nel frattempo, la catena istituzionale spagnola è in fase di costituzione.

Un fabbricante spagnolo può ricorrere a qualsiasi organismo notificato dell'Unione, non solo a quelli designati in Spagna. Scegliere un organismo designato in Spagna è una preferenza di approvvigionamento (valutazione in spagnolo, logistica degli audit in loco) e non un requisito della Legge sulla ciberresilienza.

Vigilanza del mercato: SETID nel MTDFP

Il progetto spagnolo di Real Decreto designa SETID nel MTDFP come autorità di vigilanza del mercato per i prodotti CRA in Spagna. Questa attribuzione resta provvisoria fino alla pubblicazione definitiva nel BOE.

INCIBE supporta il lato tecnico come laboratorio preferenziale. Il progetto però non attribuisce a INCIBE poteri pubblici decisionali per la vigilanza del mercato CRA. Verificare il testo definitivo nel BOE prima di qualsiasi deposito formale.

Obblighi in lingua spagnola nella pratica

La Legge sulla ciberresilienza richiede che le informazioni di prodotto rivolte agli utenti siano in una lingua facilmente comprensibile dagli utenti e dall'autorità di vigilanza del mercato locale. Per i prodotti immessi sul mercato spagnolo, tale lingua è lo spagnolo (castigliano).

Devono essere in spagnolo:

  • Le istruzioni per l'uso e le informazioni di prodotto che accompagnano il prodotto.
  • I dati di contatto del fabbricante (nome, indirizzo, email o altro recapito digitale) ovunque appaiano, inclusi sul prodotto stesso, sull'imballaggio o nel documento allegato.
  • La comunicazione della data di fine supporto mostrata nel punto di acquisto.

Possono essere multilingue:

  • L'etichetta del prodotto e la marcatura CE.
  • I testi sull'imballaggio.
  • La documentazione online, a condizione che una versione in spagnolo sia raggiungibile.

L'inglese è normalmente accettato per:

  • La documentazione tecnica interna. Le autorità di vigilanza del mercato possono richiedere una traduzione in spagnolo con una richiesta motivata, per cui è opportuno pianificare questa eventualità anche senza tradurre in modo proattivo.

Catalano, galiziano e basco sono co-ufficiali nelle rispettive comunità autonome. La Legge sulla ciberresilienza non richiede la traduzione nelle lingue co-ufficiali. Specifici appalti pubblici regionali o regolatori di settore (ad esempio, alcuni bandi del settore pubblico) possono aggiungere proprie clausole linguistiche, separate dalla Legge sulla ciberresilienza.

Vendite transfrontaliere dalla Spagna

I fabbricanti spagnoli che vendono in Portogallo, Francia, Italia o qualsiasi altro Stato membro dell'Unione restano soggetti alla stessa regola di routing unico: le segnalazioni vanno comunque a INCIBE-CERT, perché il routing segue lo stabilimento principale, non la destinazione di ciascuna spedizione. Non si deposita presso il CSIRT portoghese, francese o italiano.

L'obbligo linguistico si ramifica invece per mercato. Un prodotto spedito nel mercato francese necessita di contenuti rivolti agli utenti in francese. Un prodotto spedito nel mercato portoghese necessita di contenuti in portoghese. Il pacchetto linguistico spagnolo non copre quei mercati.

L'autorità di vigilanza del mercato di ciascuno Stato membro destinatario può anche richiedere la documentazione tecnica in una lingua facilmente comprensibile da quell'autorità. Se la distribuzione copre buona parte dell'Unione, è opportuno attendersi richieste in almeno una lingua di lavoro ampiamente utilizzata, e trattare la traduzione anticipata delle sezioni di documentazione tecnica più richieste come una misura di tutela pratica.

Programmi nazionali di finanziamento

Il quadro dei finanziamenti si è modificato con la chiusura della finestra del Piano di Ripresa e Resilienza. Verificare con precisione cosa sia aperto prima di pianificare qualsiasi voce di costo.

  • CDTI (Centro para el Desarrollo Tecnológico Industrial) ha linee 2026 attive: NEOTEC (startup tecnologiche in fase iniziale), Línea Directa de Innovación (LIC) e Misiones Ciencia e Innovación (grandi consorzi di R&S collaborativi). Le attività orientate alla Legge sulla ciberresilienza si adattano dove l'angolo è genuinamente R&S e innovazione, non pura attuazione o conformità. CDTI prevede di mobilitare oltre 1,8 miliardi di euro attraverso le sue linee 2026.
  • Activa Ciberseguridad è un piccolo programma a voucher (circa 2.140 euro per beneficiario) per le PMI industriali, gestito da SGIPYME con le comunità autonome e EOI. Utile per una diagnosi iniziale di cibersicurezza o un piano de ciberseguridad, non per l'intero investimento in strumenti previsto dalla Legge sulla ciberresilienza.
  • Kit Digital è in fase di transizione. Tutte le convocatorie Kit Digital si sono chiuse nell'ottobre 2025. Orden TDF/39/2026 (BOE, 28 gennaio 2026) consente la redistribuzione dei fondi residui, ma al 25 maggio 2026 non esiste una finestra di candidatura aperta. Verificare kitdigital.red.es/convocatorias prima di fare affidamento su questa fonte.
  • Plan de Recuperación, Transformación y Resiliencia (PRTR) è nella sua finestra di chiusura. Tutti i progetti del Piano di Ripresa e Resilienza devono essere eseguiti entro il 31 agosto 2026, con le richieste di pagamento finale della Spagna alla Commissione dovute il 30 settembre 2026. Il PRTR non è quindi uno strumento di pianificazione praticabile per la scadenza di conformità alla Legge sulla ciberresilienza dell'11 dicembre 2027. L'iniziativa RETECH da 162 milioni di euro tramite INCIBE è nella sua fase finale di erogazione.

Per i nuovi investimenti di conformità datati rispetto alla scadenza dell'11 dicembre 2027, il quadro realistico dei finanziamenti pubblici in Spagna sono le linee di innovazione CDTI e gli eventuali programmi settoriali delle comunità autonome. I programmi finanziati dal Piano di Ripresa e Resilienza non fanno parte di quel quadro a partire dal 2027.

Domande frequenti

Quale CSIRT spagnolo riceve le mie segnalazioni di vulnerabilità previste dalla Legge sulla ciberresilienza?

INCIBE-CERT, quando lo stabilimento principale del fabbricante è in Spagna. La Legge sulla ciberresilienza definisce lo stabilimento principale come il luogo in cui vengono prese principalmente le decisioni relative alla cibersicurezza dei prodotti con elementi digitali. CCN-CERT non funge da coordinatore per la Legge sulla ciberresilienza per i fabbricanti commerciali. Le segnalazioni vengono depositate tramite la piattaforma unica di notifica ENISA dall'11 settembre 2026, con INCIBE-CERT come coordinatore destinatario.

Chi designa gli organismi notificati spagnoli, ENAC o CCN?

CCN (Centro Criptológico Nacional) è l'autorità notificante che designa formalmente gli organismi notificati spagnoli per la Legge sulla ciberresilienza alla Commissione europea. ENAC accredita i candidati come passaggio tecnico preliminare a quella designazione. Entrambi sono coinvolti, con ruoli distinti. Un fabbricante spagnolo può comunque ricorrere a qualsiasi organismo notificato dell'Unione per la valutazione della conformità. La catena spagnola rileva per l'approvvigionamento, non come requisito della Legge sulla ciberresilienza.

La mia certificazione ENS o LINCE copre la valutazione della conformità prevista dalla Legge sulla ciberresilienza?

No, nessuna delle due sostituisce la valutazione della conformità alla Legge sulla ciberresilienza, sebbene entrambe possano produrre prove a supporto di essa. ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) è un quadro di sicurezza organizzativa per i sistemi informativi del settore pubblico e i relativi fornitori, non una certificazione di prodotto. LINCE è la valutazione leggera di prodotto del CCN che consente l'inclusione nel catalogo CPSTIC per gli appalti del settore pubblico spagnolo. LINCE è stata armonizzata a livello europeo tramite FITCEM EN 17640:2022, insieme alle metodologie francese CSPN e tedesca BSZ, per cui i suoi esiti possono alimentare la documentazione tecnica CRA come prove a supporto. Le vie di valutazione della conformità previste dalla Legge sulla ciberresilienza (Modulo A autovalutazione, Modulo B+C esame di tipo, Modulo H garanzia qualità totale) operano come catena separata. Se si detiene una certificazione ENS o LINCE, la si tratti come contributo al fascicolo CRA, non come sostituto della valutazione della conformità stessa.

Quale autorità spagnola è l'autorità di vigilanza del mercato per la Legge sulla ciberresilienza?

SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) nel Ministerio para la Transformación Digital y de la Función Pública (MTDFP) è indicata nel progetto spagnolo come autorità di vigilanza del mercato CRA. Il quadro delle autorità nazionali competenti si applica dall'11 giugno 2026 e la designazione ufficiale nel BOE potrebbe essere ancora in fase di finalizzazione al momento della lettura. Verificare la designazione definitiva prima di qualsiasi deposito formale. INCIBE supporta come laboratorio tecnico preferenziale, senza poteri pubblici decisionali per la vigilanza del mercato.

Quando la Spagna pubblicherà nel BOE la propria legge nazionale di attuazione della Legge sulla ciberresilienza?

La Legge sulla ciberresilienza è un regolamento dell'Unione di applicazione diretta, per cui la Spagna non ha bisogno di recepirla nel diritto nazionale affinché gli obblighi sostanziali si applichino dall'11 dicembre 2027. Ciò che la Spagna deve pubblicare entro l'11 giugno 2026 è uno strumento di attuazione (tipicamente un Real Decreto o un'Orden Ministerial) che designi formalmente l'autorità di vigilanza del mercato CRA, l'autorità notificante per gli organismi di valutazione della conformità e il punto di contatto unico nazionale. Lo stesso strumento o un atto successivo è atteso per fissare la scala delle sanzioni spagnole entro i massimali stabiliti dalla Legge sulla ciberresilienza, definire la procedura di enforcement e chiarire il coordinamento con la legislazione spagnola esistente in materia di cibersicurezza. Al 25 maggio 2026, questa pubblicazione nel BOE non è ancora apparsa. Monitorare il BOE in prossimità della scadenza quadro dell'11 giugno 2026 per un Real Decreto di designazione, e trattare qualsiasi attribuzione anticipata di autorità da parte del settore come provvisoria fino a che quel testo non sia disponibile.

Devo tradurre tutto in catalano, galiziano o basco?

La Legge sulla ciberresilienza richiede informazioni per gli utenti in una lingua facilmente comprensibile nello Stato membro di immissione sul mercato. Per la Spagna tale lingua è lo spagnolo (castigliano). Le lingue co-ufficiali delle comunità autonome non sono richieste dalla Legge sulla ciberresilienza stessa. Specifici appalti pubblici regionali o regolatori di settore possono aggiungere proprie clausole linguistiche, separate dalla Legge sulla ciberresilienza.

CDTI o Kit Digital possono finanziare gli strumenti di conformità alla Legge sulla ciberresilienza?

CDTI: dove il lavoro è genuinamente R&S e innovazione (nuovi metodi di rilevamento, strumenti di analisi SBOM, pipeline di gestione delle vulnerabilità), sì. Il piano 2026 di CDTI mobilita oltre 1,8 miliardi di euro tra NEOTEC, LIC, Misiones e altre linee. Il puro lavoro di conformità (audit, tariffe di valutazione della conformità, sviluppo di processi interni) è più difficile da inquadrare, poiché CDTI è un finanziatore dell'innovazione. Kit Digital: le convocatorie si sono chiuse nell'ottobre 2025, nessuna finestra aperta al 25 maggio 2026. Orden TDF/39/2026 consente la redistribuzione dei residui ma non riapre le candidature. Il Plan de Recuperación è nella sua finestra di chiusura con l'esecuzione dei progetti dovuta al 31 agosto 2026, per cui non può finanziare lavori programmati rispetto alla scadenza dell'11 dicembre 2027.

Spedisco dalla Spagna verso altri Stati membri dell'Unione. Dove segnalo gli incidenti?

Tramite INCIBE-CERT, indipendentemente dagli Stati membri verso cui si spedisce. La Legge sulla ciberresilienza lega il routing delle segnalazioni allo stabilimento principale, non alla destinazione di ciascuna spedizione. L'obbligo linguistico si ramifica invece per mercato: informazioni di prodotto in francese per i prodotti spediti in Francia, in portoghese per quelli spediti in Portogallo, e così via. È opportuno predisporre in anticipo almeno le sezioni di documentazione tecnica più richieste in una lingua di lavoro ampiamente utilizzata, per gestire le richieste transfrontaliere motivate.

Per i fabbricanti spagnoli che si preparano alla scadenza dell'11 dicembre 2027

  1. Confermi i propri obblighi di fabbricante utilizzando la guida del cluster fabbricante.
  2. Verifichi che il proprio stabilimento principale sia in Spagna e documenti la motivazione. La sede delle decisioni in materia di cibersicurezza, non la sede legale registrata, è ciò che rileva.
  3. Mappi il proprio flusso di segnalazioni CRA verso INCIBE-CERT come CSIRT destinatario, con un deposito di prova sulla piattaforma unica di notifica ENISA non appena diventa operativa l'11 settembre 2026.
  4. Se la via di valutazione della conformità richiede un organismo notificato, inserisca nello scoping gli organismi accreditati da ENAC e designati da CCN come opzione principale, più almeno un'alternativa transfrontaliera per la resilienza.
  5. Traduca le istruzioni per gli utenti e le informazioni di prodotto in spagnolo. Aggiunga traduzioni per mercato per qualsiasi altro Stato membro dell'Unione verso cui spedisce.
  6. Valuti le linee CDTI (NEOTEC, LIC, Misiones) rispetto a qualsiasi attività di conformità dalla connotazione R&S. Non pianifichi su Kit Digital o Plan de Recuperación per l'investimento di conformità al 2027, poiché entrambi sono in finestre di chiusura.
  7. Ricontrolli la designazione definitiva nel BOE quando sarà pubblicata e aggiorni la mappa dei contatti SETID, CCN, ENAC e INCIBE-CERT prima di qualsiasi deposito formale.
  8. Legga il questionario di due diligence sui fornitori per il quadro di due diligence sui componenti lato fabbricante.

Questo articolo è fornito a scopo puramente informativo e non costituisce un parere legale. Per indicazioni specifiche sulla conformità alla Legge sulla ciberresilienza, consulti un consulente legale qualificato.

CRA Spagna Gestione delle vulnerabilità
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Guide sempreverdi su requisiti, processi e ruoli definiti dal Regolamento sulla cibersicurezza (CRA).

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
View full CRA compliance guide