CRA per i fabbricanti tedeschi: BSI, CERT-Bund e marcatura CE

Scheda paese per i fabbricanti tedeschi secondo il CRA: BSI come autorità di vigilanza del mercato e di notifica, CERT-Bund, accreditamento DAkkS.

CRA Evidence Team Pubblicato 11 giugno 2026
Scheda paese CRA per i fabbricanti tedeschi: catena istituzionale nazionale con CERT-Bund per le segnalazioni di vulnerabilità e incidenti, BSI destinato a diventare autorità combinata di vigilanza del mercato e di notifica, DAkkS per l'accreditamento
In questo articolo

I fabbricanti tedeschi sono soggetti agli stessi obblighi CRA di qualsiasi altro fabbricante UE. Ciò che è specifico della Germania è la catena istituzionale, e la Germania l'ha costruita attorno a un unico ente. Il BSI è destinato a diventare sia l'autorità di vigilanza del mercato sia l'autorità di notifica per il CRA. Un solo ente, due ruoli, dove Francia e Spagna distribuiscono queste funzioni ad agenzie separate. Questa è una scheda paese per la Germania. Per il quadro completo degli obblighi del fabbricante, si consulti la guida cluster del fabbricante.

Sintesi

  • Il CRA è un Regolamento UE ad efficacia diretta. Non esistono esenzioni specifiche per i fabbricanti tedeschi.
  • Il BSI (Bundesamt für Sicherheit in der Informationstechnik) è destinato a diventare sia l'autorità di vigilanza del mercato CRA sia l'autorità di notifica. La base giuridica è la legge di attuazione CRA (Gesetz zur Durchführung der Cyberresilienz-Verordnung), che modifica la legge BSI. Si tratta di un disegno di legge del Governo federale, BT-Drs. 21/6134, ancora in corso di approvazione parlamentare e non ancora adottato.
  • CERT-Bund, il CERT nazionale all'interno del BSI, è il punto di contatto operativo tedesco per le segnalazioni di vulnerabilità e incidenti CRA quando lo stabilimento principale del fabbricante si trova in Germania.
  • DAkkS (Deutsche Akkreditierungsstelle) accredita gli organismi candidati alla valutazione della conformità. Il BSI li notifica poi alla Commissione europea. Il disegno di legge BSI consente al BSI di notificare un organismo anche in assenza di un certificato di accreditamento, in specifici casi di interesse pubblico.
  • Alla data dell'11 giugno 2026, quando il quadro degli organismi notificati CRA inizia ad applicarsi, la banca dati NANDO della Commissione europea non registra alcun organismo notificato designato ai sensi del CRA.
  • La lingua tedesca è obbligatoria per le informazioni sul prodotto destinate all'utente sul mercato tedesco. La dichiarazione UE di conformità deve essere redatta nella lingua richiesta dalla Germania.
  • La Germania centralizza la vigilanza del mercato CRA presso il BSI. L'unica eccezione riguarda i sistemi di IA ad alto rischio, per i quali è competente l'autorità di vigilanza del mercato designata dal regolamento sull'IA.
2
Ruoli, un solo ente
BSI vigila e notifica
0
Organismi notificati CRA
in NANDO finora
Set 2026
Segnalazioni operative
tramite la piattaforma ENISA
€15M
Sanzione massima
o 2,5% del fatturato mondiale

Il BSI gestisce vigilanza del mercato e notifica

Questo è ciò che distingue la Germania. Il disegno di legge di attuazione CRA designa il BSI come Marktüberwachungsbehörde (autorità di vigilanza del mercato) e come notifizierende Behörde (autorità di notifica) nel medesimo testo normativo. L'autorità di notifica decide quali organismi di valutazione della conformità diventano organismi notificati. L'autorità di vigilanza del mercato controlla i prodotti già immessi sul mercato. In Germania, entrambi i ruoli sono in capo al BSI.

Alcuni Stati membri fanno la stessa scelta. Altri distribuiscono i due ruoli tra agenzie separate.

Stato membroAutorità di notificaVigilanza del mercatoCSIRT di segnalazione
Germania BSI BSI CERT-Bund
Italia ACN ACN CSIRT Italia
Paesi Bassi RDI RDI NCSC-NL
Francia ANSSI ANFR CERT-FR
Spagna CCN SETID INCIBE-CERT

Autorità nazionali designate o attese. Diverse sono ancora in attesa dei provvedimenti nazionali definitivi.

La base giuridica è il Gesetz zur Durchführung der Cyberresilienz-Verordnung, la legge di attuazione CRA, che modifica la legge BSI (BSI-Gesetz). Si tratta di un disegno di legge del Governo federale (Gesetzentwurf der Bundesregierung), pubblicato come documento parlamentare BT-Drs. 21/6134.

Ancora un disegno di legge, non ancora legge

La legge di attuazione che attribuisce questi ruoli al BSI è un disegno di legge governativo, ancora in iter parlamentare. Pianifichi facendo riferimento al BSI, ma verifichi il testo approvato prima di qualsiasi deposito formale.

Come autorità di vigilanza del mercato designata, il BSI disporrebbe dei poteri di enforcement CRA. Può richiedere azioni correttive, limitare un prodotto, ritirarlo dal mercato oppure ordinarne il richiamo, e irrogare sanzioni fino a 15 milioni di euro o al 2,5% del fatturato annuo mondiale per le violazioni più gravi. La guida alle sanzioni e all'enforcement illustra la struttura completa delle fasce sanzionatorie.

Se il disegno di legge venisse approvato nella versione attuale, un'unica agenzia elaborerebbe le linee interpretative tedesche, deciderebbe chi certifica il fabbricante e controllerebbe poi il mercato. Questa concentrazione di poteri merita attenzione nella pianificazione. Il BSI è il punto di riferimento a quasi ogni fase del percorso, e pubblica le proprie indicazioni CRA, i materiali destinati ai fabbricanti e uno sportello PMI nella sua pagina ufficiale sul Cyber Resilience Act.

CERT-Bund: il canale di segnalazione tedesco

Le notifiche CRA transitano verso il CSIRT designato come coordinatore dello Stato membro in cui il fabbricante ha il proprio stabilimento principale: il luogo in cui vengono prese in via prevalente le decisioni in materia di cibersicurezza, non una semplice sede commerciale. Per un fabbricante con stabilimento principale in Germania, il punto di contatto operativo è CERT-Bund, il CERT nazionale all'interno del BSI. La designazione formale come coordinatore è pubblicata da ENISA, quindi la verifichi prima di presentare la prima segnalazione, senza dare nulla per scontato. Se il suo stabilimento principale si trova in un altro Stato membro e Lei spedisce soltanto in Germania, le segnalazioni transitano attraverso il CSIRT di quello Stato membro, non CERT-Bund, sebbene gli obblighi linguistici in tedesco descritti di seguito si applichino comunque a qualsiasi prodotto immesso sul mercato tedesco.

Il CRA distingue due flussi di segnalazione con scadenze diverse. Una vulnerabilità attivamente sfruttata richiede un'allerta preliminare entro 24 ore, una notifica della vulnerabilità entro 72 ore e una relazione finale entro 14 giorni dalla disponibilità di una misura correttiva o di mitigazione. Un incidente grave richiede un'allerta preliminare entro 24 ore, una notifica dell'incidente entro 72 ore e una relazione finale entro un mese dalla notifica dell'incidente. La scadenza dei 14 giorni e quella di un mese non sono intercambiabili. La guida alla gestione e alla segnalazione delle vulnerabilità illustra entrambi i flussi in dettaglio.

La segnalazione avviene tramite la piattaforma unica di segnalazione ENISA, operativa dall'11 settembre 2026, con CERT-Bund come coordinatore ricevente e ENISA raggiungibile contestualmente. La guida all'accesso alla piattaforma ENISA illustra la registrazione. Per i contatti di segnalazione aggiornati, si consulti la pagina CERT-Bund.

Organismi notificati: DAkkS accredita, il BSI notifica

Un organismo notificato è necessario solo per alcuni prodotti, principalmente quelli delle classi Important e Critical, e solo nei casi in cui le norme armonizzate o uno schema di certificazione non la coprono già. La guida alla valutazione della conformità indica il percorso corretto in base alla classe del prodotto.

La catena tedesca si articola in due fasi:

  • DAkkS (Deutsche Akkreditierungsstelle) è l'ente nazionale di accreditamento. Valuta la competenza tecnica di un organismo candidato alla valutazione della conformità ai sensi del Regolamento (CE) n. 765/2008.
  • Il BSI notifica poi l'organismo accreditato alla Commissione europea, dopodiché esso compare in NANDO come organismo notificato CRA.

C'è una scorciatoia tedesca che vale la pena conoscere. Il disegno di legge BSI, come previsto dal BT-Drs. 21/6134, consente al BSI di notificare un organismo anche in assenza di un certificato di accreditamento in specifici casi di interesse pubblico. Il disegno di legge ricollega questa possibilità all'obiettivo del Regolamento stesso: gli Stati membri devono adoperarsi per avere un numero sufficiente di organismi notificati entro l'11 dicembre 2026, così da evitare colli di bottiglia. L'eccezione esiste perché il normale percorso di accreditamento potrebbe non produrre in tempo un numero sufficiente di organismi. Questo è un segnale chiaro: la Germania si aspetta che la capacità degli organismi notificati sia sotto pressione.

Il problema della capacità è reale e riguarda l'intera UE. Il quadro degli organismi notificati CRA si applica dall'11 giugno 2026. A tale data, NANDO non registra alcun organismo notificato designato ai sensi del CRA in tutta l'Unione. Non indichi alcun organismo tedesco come designato CRA fino a quando non compare in NANDO. Un fabbricante tedesco può avvalersi di qualsiasi organismo notificato UE una volta apparse le designazioni, non solo di uno tedesco. Scegliere un organismo tedesco è una preferenza contrattuale, non un requisito CRA.

BSI TR-03183: perché la incontrerà negli appalti tedeschi

Il BSI pubblica la guida tecnica BSI TR-03183, con parti dedicate ai requisiti del fabbricante e del prodotto, alla distinta base del software (SBOM) e alle segnalazioni di vulnerabilità. Si tratta di una guida tecnica transitoria, non di una norma armonizzata, e non conferisce di per sé la presunzione di conformità che una norma armonizzata garantirebbe.

Resta comunque rilevante in Germania per una ragione pratica. Il BSI è destinato a diventare l'autorità di vigilanza del mercato e costituisce già un punto di riferimento consolidato negli appalti pubblici e industriali tedeschi, quindi è probabile che gli acquirenti tedeschi citino la TR-03183 come guida tecnica CRA del BSI. La tratti come il benchmark a cui le controparti tedesche faranno riferimento, e come un obiettivo interno sensato mentre le norme armonizzate sono ancora in corso di redazione. La guida BSI TR-03183 illustra in dettaglio i campi di dati richiesti e i livelli di qualità.

Requisiti linguistici tedeschi nella pratica

Il CRA collega la lingua al pubblico di riferimento, non a una regola generale. Le informazioni destinate all'utente devono essere in una lingua facilmente comprensibile dagli utenti e dall'autorità di vigilanza del mercato. Per i prodotti immessi sul mercato tedesco, questa lingua è il tedesco.

Deve essere in tedesco:

  • Le informazioni e le istruzioni per l'utente fornite con il prodotto.
  • I recapiti del fabbricante ovunque compaiano: sul prodotto, sull'imballaggio o nel documento allegato.
  • La data di fine supporto comunicata al momento dell'acquisto.

Può essere multilingue:

  • La marcatura CE e l'etichetta del prodotto.
  • Il testo dell'imballaggio e la documentazione online, a condizione che una versione in tedesco sia raggiungibile.

L'inglese è normalmente accettato per:

  • La documentazione tecnica interna. Su richiesta motivata, il BSI può richiedere che sia in una lingua a lui facilmente comprensibile, quindi è opportuno prepararsi anche senza procedere a una traduzione sistematica. La documentazione tecnica collegata a una procedura presso un organismo notificato deve essere in una lingua ufficiale dello Stato membro in cui ha sede tale organismo, o in una lingua da questo accettata.

La dichiarazione UE di conformità deve essere resa disponibile nelle lingue richieste dallo Stato membro in cui il prodotto viene immesso o messo a disposizione. Per il mercato tedesco, predisponga una versione in tedesco anziché trattare la traduzione come un adempimento da svolgere solo in caso di ispezione.

L'unica deroga: i sistemi di IA ad alto rischio

La Germania centralizza la vigilanza del mercato CRA presso il BSI. Il disegno di legge di attuazione compie questa scelta deliberatamente e la sua motivazione rigetta esplicitamente la distribuzione della vigilanza CRA tra una serie di autorità settoriali. Per la maggior parte dei fabbricanti, il BSI è l'autorità vigilante.

Esiste una deroga reale, che proviene dal CRA stesso e non dal diritto tedesco. Se il prodotto è un sistema di IA ad alto rischio ai sensi del regolamento sull'IA, l'autorità di vigilanza del mercato designata dal regolamento sull'IA, e non il BSI, è competente per la vigilanza del mercato CRA di quel prodotto. In Germania tale autorità è designata dalla legge di attuazione del regolamento sull'IA (KI-MIG). Le due autorità cooperano, ma è quella del regolamento sull'IA a guidare.

Chi vigila sul suo prodotto? Il suo prodotto è un sistema di IA ad alto rischio ai sensi del regolamento sull'IA?

Questo è l'unico caso in cui un'autorità diversa subentra nella vigilanza del mercato CRA. In Germania tale autorità è designata dalla legge di attuazione del regolamento sull'IA (KI-MIG).

Sì: l'autorità di vigilanza del mercato del regolamento sull'IA gestisce la vigilanza CRA, in cooperazione con il BSI No: il BSI è l'autorità di vigilanza del mercato CRA

Altri regimi si sovrappongono al CRA senza modificare l'autorità competente per la vigilanza. Un prodotto può ricadere contemporaneamente sotto il Regolamento Macchine e sotto il CRA, e il BSI continua a gestire la vigilanza CRA cooperando con l'autorità settoriale competente. In ambito finanziario, il BSI coopera con le autorità di supervisione nell'ambito del Regolamento (UE) 2022/2554 (DORA) senza cedere la vigilanza CRA. Le modifiche alla normativa energetica e delle telecomunicazioni previste dallo stesso disegno di legge sono correzioni alla NIS2, non una riassegnazione CRA. Se Lei produce macchinari o sistemi di automazione industriale, si aspetti obblighi paralleli, non un'autorità CRA diversa.

Vendite transfrontaliere dalla Germania

Un fabbricante tedesco che vende in Francia, Spagna, Italia o in qualsiasi altro Stato membro UE mantiene la stessa regola di instradamento unico. Le sue segnalazioni transitano comunque attraverso CERT-Bund, perché l'instradamento segue lo stabilimento principale, non la destinazione delle singole spedizioni. Non deve segnalare al CSIRT francese, spagnolo o italiano.

L'obbligo linguistico si ramifica per mercato. Un prodotto spedito sul mercato francese richiede contenuti in francese rivolti all'utente, uno spedito sul mercato spagnolo richiede lo spagnolo e così via. La versione tedesca non copre quegli altri mercati. L'autorità di vigilanza del mercato di ciascuno Stato membro destinatario può inoltre richiedere la documentazione tecnica in una lingua a lei facilmente comprensibile, quindi predisponga in anticipo le sezioni più richieste in una lingua di lavoro ampiamente diffusa.

Finanziamenti e agevolazioni da verificare

Non esiste un finanziamento tedesco specifico per il CRA. Il quadro riguarda il finanziamento generale della digitalizzazione e della sicurezza, e alcune misure sono già scadute.

  • go-digital è concluso. Il programma ha operato solo fino al 31 dicembre 2024, quindi ignori le indicazioni meno recenti che lo citano ancora.
  • Mittelstand-Digital offre consulenza gratuita e la rete dei Mittelstand-Digital Zentren, non contributi diretti alle singole PMI.
  • Il KfW ERP-Förderkredit Digitalisierung und Innovation (programmi 511/512) è una linea di finanziamento per investimenti in digitalizzazione e sicurezza informatica, non un sussidio specifico per il CRA.
  • Le chiamate federali per il finanziamento della ricerca possono sostenere genuine attività di ricerca e sviluppo in materia di cibersicurezza, ma è necessario verificare ogni bando caso per caso e non trattarli come contributi ordinari per la conformità CRA.

Le finestre dei programmi e i criteri di ammissibilità cambiano frequentemente. Verifichi lo stato attuale di qualsiasi linea prima di includerla in un budget.

Domande frequenti

Il BSI è già la mia autorità di vigilanza del mercato CRA?

Non ancora. Il BSI è destinato a diventare sia l'autorità di vigilanza del mercato sia l'autorità di notifica per il CRA ai sensi della legge di attuazione tedesca, il Gesetz zur Durchführung der Cyberresilienz-Verordnung. Tale legge modifica la legge BSI ed è un disegno di legge governativo, BT-Drs. 21/6134, ancora in iter parlamentare e non ancora adottato. Pianifichi facendo riferimento al BSI, ma verifichi il testo approvato prima di qualsiasi deposito formale. I massimali di sanzione che il BSI potrà applicare sono fissati dal Regolamento fino a 15 milioni di euro o al 2,5% del fatturato annuo mondiale per le violazioni più gravi.

Dove devo segnalare una vulnerabilità o un incidente in Germania?

A CERT-Bund, il CERT nazionale all'interno del BSI, quando il suo stabilimento principale si trova in Germania. La segnalazione avviene tramite la piattaforma unica di segnalazione ENISA a partire dall'11 settembre 2026, con CERT-Bund come coordinatore ricevente e ENISA raggiungibile contestualmente. I due flussi hanno scadenze diverse: una vulnerabilità attivamente sfruttata richiede segnalazioni a 24 ore, 72 ore e 14 giorni dalla disponibilità della correzione, mentre un incidente grave richiede segnalazioni a 24 ore, 72 ore e una relazione finale entro un mese dalla notifica dell'incidente. Si consulti la guida alla gestione e alla segnalazione delle vulnerabilità.

Esistono organismi notificati tedeschi che posso utilizzare oggi?

All'11 giugno 2026, data in cui inizia ad applicarsi il quadro degli organismi notificati CRA, NANDO non registra alcun organismo notificato designato ai sensi del CRA in tutta l'UE. Non faccia affidamento su alcun organismo tedesco come designato fino a quando non compare in NANDO. In Germania, DAkkS accredita l'organismo candidato e il BSI lo notifica. Il disegno di legge BSI consente al BSI di notificare un organismo anche in assenza di un certificato di accreditamento in specifici casi di interesse pubblico, proprio per evitare il collo di bottiglia a livello UE che il Regolamento stesso segnala. Un fabbricante tedesco può avvalersi di qualsiasi organismo notificato UE, non solo di uno tedesco. Si consulti la guida alla valutazione della conformità.

La documentazione tecnica e la dichiarazione di conformità devono essere in tedesco?

Le informazioni all'utente, le istruzioni e i recapiti forniti con il prodotto devono essere in una lingua facilmente comprensibile dagli utenti e dall'autorità di vigilanza del mercato, che per il mercato tedesco è il tedesco. La dichiarazione UE di conformità deve essere nella lingua richiesta dalla Germania, quindi predisponga una versione in tedesco. La documentazione tecnica interna può di norma restare in inglese, ma il BSI può richiederla in una lingua a lui facilmente comprensibile su richiesta motivata, e la documentazione collegata a una procedura presso un organismo notificato deve essere in una lingua ufficiale dello Stato membro in cui ha sede tale organismo o in una lingua da questo accettata.

BSI TR-03183 sostituisce le norme armonizzate?

No. BSI TR-03183 è una guida tecnica transitoria del BSI, non una norma armonizzata, e non conferisce di per sé la presunzione di conformità che una norma armonizzata garantirebbe. Vale comunque la pena seguirla, perché il BSI è destinato a diventare l'autorità di vigilanza del mercato e TR-03183 è la sua guida tecnica orientata al CRA, quindi è probabile che gli acquirenti tedeschi la citino. La tratti come un riferimento pratico mentre le norme armonizzate sono ancora in corso di redazione. Si consulti la guida BSI TR-03183.

Un'autorità diversa potrebbe gestire la vigilanza CRA al posto del BSI?

Per la maggior parte dei casi, no. La Germania centralizza la vigilanza del mercato CRA presso il BSI e il disegno di legge di attuazione rigetta deliberatamente la distribuzione di tale vigilanza tra autorità settoriali. La deroga reale proviene dal CRA stesso: se il prodotto è un sistema di IA ad alto rischio ai sensi del regolamento sull'IA, l'autorità di vigilanza del mercato designata dal regolamento sull'IA è competente anche per la vigilanza CRA, in cooperazione con il BSI. In altri settori regolamentati, come quello finanziario nell'ambito di DORA, il BSI coopera con l'autorità di supervisione settoriale senza cedere la vigilanza. Si consulti la guida al regolamento sulle macchine per un esempio di regime che si applica parallelamente al CRA.

Cosa deve essere in ordine prima dell'11 dicembre 2027?

Il CRA si applica integralmente dall'11 dicembre 2027, ma due date precedenti sono più rilevanti per la pianificazione. Il quadro degli organismi notificati è già in vigore dall'11 giugno 2026, e gli obblighi di segnalazione decorrono dall'11 settembre 2026 quando la piattaforma ENISA va in esercizio. La segnalazione delle vulnerabilità è un'infrastruttura, non un adempimento dell'ultimo momento, quindi costruisca subito il flusso di segnalazione verso CERT-Bund e il registro delle evidenze. La guida cluster del fabbricante illustra il quadro completo degli obblighi da cui pianificare a ritroso.

Per i fabbricanti tedeschi che si preparano all'11 dicembre 2027

  1. Verifichi i propri obblighi di fabbricante consultando la guida cluster del fabbricante.
  2. Confermi che lo stabilimento principale si trova in Germania e documenti la motivazione. Conta la localizzazione delle decisioni in materia di cibersicurezza, non la sede legale.
  3. Configuri il flusso di segnalazione CRA verso CERT-Bund come CSIRT coordinatore ricevente, e testi l'invio alla piattaforma unica di segnalazione ENISA non appena operativa, dall'11 settembre 2026.
  4. Se il percorso di conformità richiede un organismo notificato, monitori NANDO per le designazioni CRA e individui almeno un'alternativa transfrontaliera per ridurre i rischi.
  5. Predisponga le informazioni all'utente in tedesco, una dichiarazione UE di conformità in tedesco e la documentazione tecnica da consegnare al BSI su richiesta motivata.
  6. Verifichi se il suo prodotto è un sistema di IA ad alto rischio. In quel caso, è l'autorità di vigilanza del regolamento sull'IA, non il BSI, a gestire la vigilanza CRA.

Questo articolo ha finalità esclusivamente informative e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità CRA, si rivolga a professionisti legali qualificati.

CRA Germania Gestione delle vulnerabilità
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Guide sempreverdi su requisiti, processi e ruoli definiti dal Regolamento sulla cibersicurezza (CRA).

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
Vedi la guida completa alla conformità CRA