Cybersecurity Act 2: cosa cambia per i fabbricanti CRA

Il CSA2 è ancora una proposta. COM(2026) 11 final cambierebbe certificazione, catene ICT e mandato ENISA.

CRA Evidence Team Pubblicato 19 febbraio 2026 Aggiornato 8 maggio 2026
Card di anteprima dell'articolo sul Cybersecurity Act 2: titolo a sinistra, motivo illustrativo a destra, accento regolamentare indaco.
In questo articolo

Il Cybersecurity Act 2 (CSA2) non è il Cyber Resilience Act. È una proposta separata della Commissione, COM(2026) 11 final, pubblicata il 20 gennaio 2026, che abroga il Regolamento (UE) 2019/881 e introduce tre blocchi operativi: un quadro europeo di certificazione della cibersicurezza riveduto (Titolo III), un nuovo quadro orizzontale per la catena di fornitura ICT con poteri di designazione dei paesi (Titolo IV) e un mandato ENISA rafforzato (Titolo II). A tre mesi dalla pubblicazione, il fascicolo si trova in esame preliminare presso il Parlamento e il Consiglio, non ancora in trilogo.

Perché un fabbricante soggetto al CRA dovrebbe leggerlo comunque. La certificazione nel quadro riveduto è la via che la Commissione propone per dimostrare la conformità al CRA, alla NIS2 e ad altri atti dell'Unione una volta esistente uno schema pertinente. Il quadro per la catena di fornitura interseca gli obblighi dell'Articolo 13 del CRA in materia di componenti di terze parti. E l'Articolo 100 del CSA2 vieta alle entità di paesi terzi designati di operare come organismi di valutazione della conformità, il che incide direttamente sugli organismi notificati che si possono utilizzare per la conformità al CRA.

L'intera interazione tra come si potrà utilizzare il futuro schema sulla postura cibernetica per dimostrare la conformità alla NIS2 sarà un punto di discussione importante con gli Stati membri.

Maika Fohrenbach, DG CONNECT · ENISA Certification Conference, 15 April 2026 (note dal campo)

Sintesi

  • Il CSA2 è una proposta della Commissione, non legge. COM(2026) 11 final, 122 articoli, 270 pagine, abroga il Regolamento (UE) 2019/881 (il Cybersecurity Act 2019). Attualmente in esame preliminare presso Parlamento e Consiglio.
  • Tre blocchi operativi: quadro europeo di certificazione della cibersicurezza riveduto (Titolo III), quadro per la sicurezza della catena di fornitura ICT (Titolo IV), mandato ENISA rafforzato (Titolo II).
  • L'ambito ECCF si estende ai servizi di sicurezza gestiti e alla postura cibernetica delle entità, non solo a prodotti, servizi e processi ICT (Articolo 81; considerando 92).
  • ENISA deve presentare schemi candidati entro 12 mesi dalla richiesta della Commissione (Articolo 73).
  • Restano tre livelli di affidabilità: basic, substantial, high (considerando 101). La dichiarazione UE di conformità utilizza solo basic.
  • Il quadro per la catena di fornitura consente alla Commissione di designare i paesi terzi che pongono «rischi non tecnici gravi e strutturali» (Articolo 100). Le entità dei paesi designati sono escluse dalla fornitura di asset ICT chiave, dagli appalti pubblici relativi, dai finanziamenti UE e dalle attività di certificazione e valutazione della conformità.
  • L'eliminazione progressiva delle telco dei componenti di fornitori ad alto rischio nelle reti mobili è limitata a 36 mesi dall'entrata in vigore (Articolo 110). Le eliminazioni progressive per reti fisse e satellitari sono fissate successivamente da atti di esecuzione della Commissione.
  • Le sanzioni dell'Articolo 115 si applicano alle violazioni del Titolo IV (catena di fornitura): 1%, 2% o 7% del fatturato annuo mondiale, a seconda della disposizione violata. Non c'è un tetto fisso in EUR. Le sanzioni del Titolo III (certificazione) sono fissate dagli Stati membri senza tetto a livello UE (Articolo 97).
  • Risparmi stimati di conformità per le imprese: 14.6 miliardi di EUR su cinque anni secondo l'Opzione preferita C.2 (Valutazione d'impatto §4390).
  • Costo stimato di sostituzione per le telco: da 3.4 a 4.3 miliardi di EUR all'anno per tre anni per apparecchiature non aggiornabili di fornitori ad alto rischio (Valutazione d'impatto §4577, §4.4.1).
122
Articoli
in COM(2026) 11 final
36 mesi
Tetto eliminazione telco
reti mobili, Articolo 110
14.6 mld €
Risparmi di conformità
su 5 anni, Opzione C.2
3.4–4.3 mld €
Sostituzione telco
all'anno per 3 anni

Fonti: COM(2026) 11 final (conteggio articoli e pagine); Valutazione d'impatto di accompagnamento SWD(2026) 11 final, sezioni 4.3.3 e 4.4.1.

Cosa propone effettivamente il CSA2

La Commissione struttura la proposta intorno a quattro obiettivi. Tre sono riforme di strumenti esistenti, uno è nuovo.

TemaCosa cambiaPerché conta per i team CRARiferimento
Quadro di certificazioneTitolo III L'ambito si estenderebbe oltre prodotti, servizi e processi ICT, includendo servizi di sicurezza gestiti e postura cibernetica delle entità. Gli schemi futuri potrebbero diventare parte del percorso di evidenza per la conformità CRA. Articolo 73; 12 mesi per ENISA.
Catena di fornitura ICTTitolo IV Le valutazioni del rischio potrebbero portare alla designazione di paesi terzi e a esclusioni da asset ICT chiave, appalti pubblici e finanziamenti UE. Organismi di valutazione, fornitori o fonti di componenti possono diventare indisponibili per clienti regolati. Articoli 99-100.
Postura ciberneticaSemplificazione NIS2 Uno schema sulla postura cibernetica potrebbe sostenere una certificazione per più atti dell'Unione. Utile per la pianificazione, ma il collegamento con la NIS2 dipende ancora dalla negoziazione. Indirizzo politico, non diritto consolidato.
Mandato ENISATitolo II ENISA avrebbe ruoli più chiari su schemi, segnalazione, riserva, vulnerabilità e attestazione. L'infrastruttura UE di segnalazione e vulnerabilità diventerebbe più centralizzata. Punto di accesso unico; riserva UE; EUVD.

Panorama degli schemi: a che punto sono le quattro vie

Il CSA2 è solo una parte del quadro europeo della certificazione. Questa sintesi distingue gli schemi già operativi o in consultazione dallo schema sulla postura cibernetica, che resta una proposta CSA2 e dipende ancora dal negoziato con gli Stati membri.

EUCCOperativo
Prodotti

29 certificati, 28 organismi, tutti a CC-1.

EUDI WalletConsultazione
Servizi + eID

Avviato il 3 apr 2026. Testo finale atteso a set.-ott.

EU MSSBozza v4
Servizi di sicurezza gestiti

v4 pubblicata il 9 apr 2026. Consultazione pubblica da luglio.

Postura ciberneticaNegoziato
Entità · proposta CSA2

Il collegamento certificazione-NIS2 resta aperto con gli Stati membri.

Il quadro della catena di fornitura, passo per passo

È la parte politicamente più delicata della proposta. Il meccanismo procede in sequenza, con ciascun passo ancorato a un articolo specifico. I numeri di articolo si riferiscono a COM(2026) 11 final.

  1. Valutazione del rischio (Articolo 99). La Commissione, o almeno tre Stati membri, possono richiedere una valutazione coordinata del rischio di una catena di fornitura ICT. La valutazione va finalizzata entro sei mesi. È prevista una procedura d'urgenza quando si giustifica un intervento immediato.
  2. Designazione del paese (Articolo 100). Se un paese terzo pone «rischi non tecnici gravi e strutturali» alle catene di fornitura ICT, la Commissione può designarlo. Le entità stabilite o controllate da tale paese sono escluse dalla fornitura di componenti ICT per asset ICT chiave, dagli appalti pubblici correlati, dai programmi di finanziamento UE e dall'attività di organismi di valutazione della conformità.
  3. Misure di mitigazione (Articoli da 101 a 103). La Commissione può, mediante atto di esecuzione, imporre alle entità nei settori di alta criticità di applicare misure di mitigazione specifiche, compresi i divieti d'uso di componenti di fornitori elencati come ad alto rischio.
  4. Identificazione degli asset ICT chiave (Articoli 102 e 103). La Commissione individua, mediante atto di esecuzione, quali asset ICT contano come «chiave» per ciascun settore. L'Allegato II già pre-definisce gli asset ICT chiave per le reti mobili, fisse e satellitari di comunicazione elettronica.
  5. Elenchi dei fornitori ad alto rischio (Articolo 104). La Commissione pubblica gli elenchi dei fornitori ad alto rischio sulla base di valutazioni di stabilimento, proprietà e controllo, dopo aver consultato i fornitori interessati e le autorità competenti. Gli Articoli da 105 a 107 definiscono una procedura di esenzione e un registro pubblico delle decisioni di esenzione.
Le telco sono il primo settore colpito

L'Allegato II pre-definisce gli asset ICT chiave per le reti mobili, fisse e satellitari di comunicazione elettronica. L'eliminazione progressiva dei componenti di fornitori ad alto rischio nelle reti mobili è limitata a 36 mesi dall'entrata in vigore (Articolo 110). I periodi di eliminazione per reti fisse e satellitari sono lasciati ad atti di esecuzione della Commissione. La Valutazione d'impatto stima un costo di sostituzione una tantum di 3.4–4.3 miliardi di EUR all'anno per tre anni per apparecchiature non aggiornabili, derivato dai livelli di investimento UE in 5G dal 2019 e da una quota di asset ad alto rischio del 32–40% (IA §4577, §4.4.1).

Sanzioni: tetti percentuali, nessuna cifra fissa in EUR

La struttura sanzionatoria è uno dei punti dove le letture del CSA2 spesso sbagliano. L'Articolo 115 fissa i livelli massimi di sanzione per le violazioni del Titolo IV (il quadro della catena di fornitura). Il tetto è solo in percentuale del fatturato annuo mondiale; non esiste un massimale fisso in EUR.

Disposizione violataSanzione massimaFonte
Articolo 103(2)(a) · cooperazione con la Commissione1% del fatturato annuo mondialeArticolo 115(5)
Articolo 103(2)(b)–(g) · obblighi di misure di mitigazione2% del fatturato annuo mondialeArticolo 115(6)
Articolo 103(1) · obblighi primari di mitigazione; Articolo 111 · divieti telco7% del fatturato annuo mondialeArticolo 115(7)
Titolo III · violazioni del quadro di certificazioneFissate da ciascuno Stato membro; «effettive, proporzionate e dissuasive»; nessun tetto a livello UEArticolo 97

Il livello del 7% è quello che incide più direttamente sugli operatori telco, perché copre l'Articolo 111 (il divieto telco-specifico di installare o integrare componenti ICT di fornitori ad alto rischio).

Dove si interseca con il CRA

Il CSA2 non modifica il CRA. Cambia però tre cose intorno ad esso.

Diligenza dovuta sui componenti ai sensi dell'Articolo 13

L'Articolo 13 del CRA già richiede ai fabbricanti di esercitare la diligenza dovuta sui componenti di terze parti. Il CSA2 alza il costo di sbagliarlo. Se il suo prodotto incorpora componenti di un fornitore poi designato come ad alto rischio, e il suo cliente opera in un settore coperto dagli Allegati I o II della Direttiva (UE) 2022/2555 (NIS2), il cliente potrebbe essere obbligato per atto di esecuzione a sostituire tali componenti. Questo si ripercuote sulla sua roadmap. Per la lettura pratica della diligenza dovuta sui componenti ai sensi del CRA, si veda la guida alla verifica per gli importatori.

Gli organismi di valutazione della conformità non possono provenire da paesi designati

L'Articolo 100(2) vieta alle entità di paesi terzi designati di svolgere la valutazione della conformità. Se sta pianificando di utilizzare un organismo notificato la cui struttura di proprietà o controllo potrebbe collocarlo dal lato sbagliato di una futura decisione di designazione, la scelta dell'organismo notificato fa ora parte del rischio di catena di fornitura. Per la scelta del modulo mentre gli schemi ancorati al CSA sono ancora in redazione, si veda la guida alla decisione sulla valutazione della conformità.

Punto di accesso unico per la segnalazione degli incidenti

La proposta della Commissione affida a ENISA il mantenimento e l'estensione della Piattaforma di segnalazione unica esistente (la piattaforma istituita ai sensi dell'Articolo 16(1) del Regolamento (UE) 2024/2847) in un Punto di accesso unico che consolida la segnalazione degli incidenti tra NIS2, CRA, DORA e altri atti dell'Unione. Si tratta di un'estensione di uno strumento CRA esistente, non di una nuova invenzione del CSA2. I fabbricanti che stanno già progettando il flusso di segnalazione CRA dovrebbero progettarlo fin dall'inizio in modo agnostico rispetto alla regolamentazione.

Postura cibernetica e conformità CRA, in modo onesto

Lo schema sulla postura cibernetica è il meccanismo di punta che la Commissione utilizza per sostenere che «una sola certificazione, molteplici regolamenti» è raggiungibile. È indirizzo politico, non disposizione consolidata. Due aspetti non sono ancora concordati: se gli Stati membri accetteranno il collegamento certificazione–NIS2 in negoziazione e come il regolamento di esecuzione per l'armonizzazione massima si collocherà sopra le trasposizioni nazionali della NIS2. La stessa domanda riguarda se un futuro schema CSA ancorato al CRA solleverà i fabbricanti dalle valutazioni separate di modulo dell'Allegato VIII, oppure si affiancherà ad esse. Lo seguiamo nelle note dal campo della conferenza ENISA.

Cosa è aperto, non sulla tabella di marcia

Il CSA2 sarà adottato prima della piena applicazione del CRA?

La piena applicazione del CRA è fissata all'11 dicembre 2027. Il CSA2 è stato pubblicato il 20 gennaio 2026 nel quadro della procedura legislativa ordinaria (2026/0011 (COD)). A tre mesi, il fascicolo è in fase di commissione e gruppo di lavoro del Consiglio. Il trilogo è ancora a mesi di distanza. L'adozione prima della piena applicazione del CRA è possibile ma non assicurata, e la Valutazione d'impatto non si impegna su una data.

Domande frequenti

Il CSA2 è la stessa cosa del Cyber Resilience Act?

No. Il CRA (Regolamento (UE) 2024/2847) regola i requisiti di cibersicurezza per i prodotti con elementi digitali immessi sul mercato UE. Il CSA2 (COM(2026) 11 final) rivede il quadro di certificazione della cibersicurezza dell'Unione, crea un quadro orizzontale per la catena di fornitura ICT e rafforza il mandato di ENISA. Sono strumenti separati. Il CSA2 non modifica gli obblighi né le scadenze del CRA. Cambia però le vie di certificazione e le regole sui fornitori che un fabbricante soggetto al CRA può o deve utilizzare. Per la tabella di marcia di attuazione del CRA si veda la nostra cronologia di attuazione del CRA 2025-2027.

Quando entrerà in vigore il CSA2?

La proposta è stata pubblicata il 20 gennaio 2026 nel quadro della procedura legislativa ordinaria. A tre mesi, il fascicolo è in esame preliminare presso Parlamento e Consiglio. Il trilogo è al più presto a mesi di distanza e l'adozione dipende dagli esiti della negoziazione. La Commissione non si è impegnata su una data. Si possono seguire i progressi tramite il tracker della procedura EUR-Lex per 2026/0011 (COD) e tramite il nostro resoconto della ENISA Certification Conference 2026.

Il CSA2 cambia i miei obblighi o le mie scadenze CRA?

No. Gli obblighi di segnalazione del CRA iniziano a settembre 2026 e la piena applicazione resta l'11 dicembre 2027. Il CSA2, se adottato, introdurrà ulteriori vie di certificazione che potrebbero in seguito essere utilizzate per dimostrare la conformità al CRA. Introdurrà inoltre regole sulla catena di fornitura che incidono sugli organismi notificati e sui fornitori che un fabbricante può legittimamente utilizzare. Finché il CSA2 non sarà adottato, pianifichi sul CRA così com'è. Si veda la guida alla decisione sulla valutazione della conformità.

Una sola certificazione europea di cibersicurezza coprirà CRA, NIS2 e DORA insieme?

Questo è l'indirizzo politico dichiarato della Commissione. Non è una disposizione consolidata. Fohrenbach (DG CONNECT), alla conferenza ENISA del 15 aprile 2026, ha descritto il collegamento tra certificazione di postura cibernetica e conformità NIS2 come «oggetto di negoziazione» con gli Stati membri. Per i futuri schemi CSA l'allineamento con la legislazione esistente sarà progettato fin dalla fase di richiesta; per l'EUCC il lavoro viene fatto a posteriori. Lo tratti come indirizzo politico, non come fatto su cui costruire oggi un piano di conformità.

Cos'è lo schema sulla postura cibernetica?

Uno schema CSA2 proposto che consente alle entità (non ai prodotti) di certificare le proprie misure complessive di gestione del rischio di cibersicurezza (considerando da 92 a 94 di COM(2026) 11 final). È il caso d'uso principale per l'estensione dell'ambito ECCF alle entità. La Commissione lo presenta come una via affinché le entità soggette alla NIS2 dimostrino la conformità agli obblighi di gestione del rischio, con armonizzazione massima tramite un regolamento di esecuzione collocato sopra le trasposizioni nazionali della NIS2. I meccanismi che renderebbero il tutto solido nei 27 Stati membri sono punti aperti di negoziazione.

Il mio prodotto utilizza componenti di un fornitore extra-UE. Devo agire ora sul quadro della catena di fornitura?

Sì, in due modi specifici, nessuno dei quali subordinato all'adozione del CSA2. Primo, mappi il paese di origine dei componenti nei suoi SBOM. Il CRA già lo prevede ai sensi dell'Articolo 13; il CSA2 alza le conseguenze se non lo fa. Secondo, se vende nel settore telco o in qualsiasi settore coperto dagli Allegati I o II della NIS2, individui qualsiasi esposizione a fornitori che potrebbero plausibilmente essere designati e avvii un piano di fonte alternativa. Non riprogetti la sua strategia di conformità CRA attorno al CSA2 finché non sarà adottato. Si vedano la guida alla generazione di SBOM e la guida alla verifica per gli importatori.

Il CSA2 incide sull'EUCC, e l'EUCC aiuta con il CRA?

Il CSA2 mantiene in vigore l'EUCC e gli altri schemi adottati. Separatamente, la Commissione ha dichiarato l'intenzione di specificare, prima della fine del 2026, come l'EUCC possa essere utilizzato per dimostrare la conformità al CRA. ENISA sta conducendo 18 progetti pilota sulla presunzione di conformità da EUCC al CRA (Fohrenbach, DG CONNECT, conferenza ENISA del 15 aprile 2026). Per il lavoro più rilevante a oggi su uno schema CRA-adiacente lato prodotto, si veda la nostra analisi dello schema EUDI Wallet.

Quali sono le sanzioni nel quadro del CSA2?

L'Articolo 115 fissa i tetti sanzionatori per le violazioni del Titolo IV (catena di fornitura) come percentuale del fatturato annuo mondiale, senza tetto fisso in EUR: 1% per le violazioni di cooperazione ai sensi dell'Articolo 103(2)(a), 2% per le altre violazioni di misure di mitigazione dell'Articolo 103(2) e 7% per le violazioni primarie di mitigazione ai sensi dell'Articolo 103(1) e i divieti telco-specifici dell'Articolo 111. Le violazioni del Titolo III (quadro di certificazione) sono sanzionate dagli Stati membri senza tetto a livello UE; l'Articolo 97 richiede solo che le sanzioni siano «effettive, proporzionate e dissuasive».

Prossimi passi

Cosa fare in questo trimestre

  1. Legga la pagina della proposta della Commissione per COM(2026) 11 final e la valutazione d'impatto di accompagnamento.
  2. Se vende nel settore telco (reti mobili, fisse o satellitari), individui qualsiasi esposizione a componenti di fornitori ad alto rischio ai sensi dell'Allegato II e avvii fin d'ora un piano di sostituzione a 36 mesi, condizionato all'adozione.
  3. Mappi il paese di origine dei componenti nei suoi SBOM. Il CRA già lo prevede ai sensi dell'Articolo 13; il CSA2 alza il costo di sbagliare. Guida alla generazione di SBOM.
  4. Non riprogetti la sua strategia di conformità CRA attorno a un futuro schema di postura cibernetica o EUCC-CRA. Resti sul percorso del modulo Allegato VIII. Guida alla decisione sulla valutazione della conformità.
  5. Segua il trilogo e il traguardo EUCC-CRA di fine 2026 tramite il nostro resoconto della ENISA Certification Conference 2026.

Questo articolo ha finalità esclusivamente informative e non costituisce consulenza legale. Per indicazioni di conformità specifiche si rivolga a un consulente legale qualificato. Fonti primarie: COM(2026) 11 final e i suoi allegati, Valutazione d'impatto di accompagnamento SWD(2026) 11 final, disponibili sulla biblioteca Digital Strategy della Commissione europea.

CRA Conformità Catena di Fornitura Certification
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Classificazione dei prodotti

Come il CRA classifica i prodotti per livello di rischio e cosa significa ciascuna categoria per gli obblighi.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
View full CRA compliance guide