Segnalazione ENISA delle Vulnerabilità: L'orologio delle 24 ore parte l'11 settembre 2026

Una guida pratica agli obblighi di segnalazione vulnerabilità e incidenti CRA a partire da settembre 2026. Copre i trigger, le tempistiche e la preparazione interna.

Team CRA Evidence Pubblicato 11 febbraio 2026 Aggiornato 11 aprile 2026
Segnalazione ENISA delle Vulnerabilità: L'orologio delle 24 ore parte l'11 settembre 2026
In questo articolo

11 settembre 2026. Da questa data, avete 24 ore per segnalare le vulnerabilità attivamente sfruttate a ENISA. Mancate la scadenza e affrontate azioni di enforcement.

Sintesi

  • Settembre 2026: Gli obblighi di segnalazione vulnerabilità e incidenti iniziano
  • "Attivamente sfruttato": Un attore malevolo ha usato la vulnerabilità per colpire gli utenti
  • Tempistiche: 24h allerta precoce → 72h notifica dettagliata → 14g report finale (vuln) / 1 mese (incidenti)
  • Segnalare a: Piattaforma Unica di Segnalazione ENISA + CSIRT nazionale competente
  • Preparatevi ora: Processo di triage interno, percorsi di escalation, template dei report

Cronologia della segnalazione vulnerabilità ENISA: 24 ore, 72 ore, 14 giorni

Cosa Attiva la Segnalazione CRA?

Il CRA definisce due categorie che richiedono notifica obbligatoria:

1. Vulnerabilità Attivamente Sfruttate

Una vulnerabilità nel vostro prodotto che:

  • È nota a voi (scoperta internamente o segnalata dall'esterno)
  • È stata sfruttata da un attore malevolo
  • Colpisce o potrebbe colpire gli utenti del vostro prodotto

2. Incidenti Gravi

Incidenti di sicurezza che:

  • Impattano la sicurezza del vostro prodotto
  • Compromettono il vostro ambiente di sviluppo in modi che influenzano la sicurezza del prodotto
  • Causano interruzione significativa del servizio agli utenti
  • Risultano in una compromissione diffusa

Entrambe le categorie attivano le stesse tempistiche di segnalazione ma hanno finestre diverse per il report finale.

Avvertenza: Il conto alla rovescia di 24 ore inizia alla CONSAPEVOLEZZA dello sfruttamento attivo, non alla conferma. Se avete prove attendibili, il conto sta già scorrendo.

Cosa significa "attivamente sfruttata" ai sensi del CRA?

Il CRA definisce una vulnerabilità attivamente sfruttata come una in cui "un attore malevolo fa uso di una falla".

Questo non è lo stesso di:

  • Una vulnerabilità divulgata pubblicamente
  • Una proof-of-concept pubblicata
  • Un ricercatore che dimostra l'exploitabilità

Significa uso malevolo reale.

Scenari da Segnalare vs Non Segnalabili

Scenario Da segnalare? Perché
Un ricercatore di sicurezza segnala una vulnerabilità in privato No Nessuno sfruttamento, gestire tramite processo CVD
Proof-of-concept pubblicata su GitHub No Pubblicazione PoC ≠ sfruttamento
Un cliente segnala attività sospetta coerente con la vulnerabilità Evidenza di sfruttamento
Vulnerabilità rilevata come sfruttata in the wild Uso malevolo attivo
Un componente nel vostro SBOM ha una vulnerabilità nota sfruttata Valutare Solo se lo sfruttamento colpisce il vostro prodotto
Il vostro prodotto è specificamente preso di mira in attacchi Sfruttamento diretto
Un malware generico usa una classe di vulnerabilità che il vostro prodotto ha Valutare Solo se la vostra specifica implementazione è colpita

Lo Standard della "Convinzione Ragionevole"

Non avete bisogno di prove forensi dello sfruttamento. Lo standard è una convinzione ragionevole basata sulle prove disponibili:

  • Pattern di accesso insoliti coerenti con tecniche di exploit note
  • Report di clienti di compromissione
  • Intelligence sulle minacce che indica che il vostro prodotto è preso di mira
  • Rilevamento di codice exploit progettato per il vostro prodotto

In caso di incertezza: Preferite segnalare. Un'allerta precoce prematura che si rivela infondata è molto meglio di una scadenza mancata per uno sfruttamento reale.

Tempistiche di Segnalazione

Sia le vulnerabilità che gli incidenti seguono un modello di segnalazione a stadi:

Timeline Vulnerabilità Attivamente Sfruttata

SCOPERTA → 24 ORE → 72 ORE → PATCH DISPONIBILE → 14 GIORNI
    │         │         │           │                 │
    │         │         │           │                 └── Report Finale
    │         │         │           └── Il conto riprende
    │         │         └── Notifica Dettagliata
    │         └── Allerta Precoce
    └── Il conto inizia

Timeline Incidente Grave

SCOPERTA → 24 ORE → 72 ORE → 1 MESE
    │         │         │        │
    │         │         │        └── Report Finale
    │         │         └── Notifica Dettagliata
    │         └── Allerta Precoce
    └── Il conto inizia

Cosa Contiene Ogni Report

Allerta Precoce (24 ore)

Informazioni minime per allertare le autorità:

  • La vostra identità (fabbricante)
  • Identificazione del/dei prodotto/i colpito/i
  • Breve descrizione della vulnerabilità/incidente
  • Valutazione iniziale della gravità
  • Se lo sfruttamento è confermato o sospettato
  • Indicazione della portata potenziale dell'impatto

Questa non è un'analisi completa. È un'allerta che qualcosa di serio sta accadendo.

Notifica Dettagliata (72 ore)

Informazioni espanse per la valutazione:

  • Dettagli tecnici della vulnerabilità
  • Versioni e configurazioni colpite
  • Metodo di sfruttamento (se noto)
  • Stato attuale della mitigazione
  • Stima della timeline di rimedio
  • Utenti/portata colpiti noti
  • Coordinamento con altre parti (altri vendor, CSIRTs)

Report Finale (14 giorni per vuln / un mese per incidenti)

Analisi completa dopo il rimedio:

  • Analisi delle cause radice
  • Descrizione tecnica completa
  • Azioni di rimedio intraprese
  • Lezioni apprese
  • Misure di prevenzione attuate
  • Valutazione dell'impatto (utenti colpiti confermati, esposizione dati, ecc.)

Dove si notifica una vulnerabilità all'ENISA?

Piattaforma Unica di Segnalazione ENISA (SRP)

Ad aprile 2026, la SRP non è operativa. ENISA ha incaricato un fornitore e la piattaforma è prevista per il lancio entro l'11 settembre 2026, data di inizio degli obblighi di segnalazione. È pianificato un periodo di test prima di quella data. Nessun URL di registrazione è stato pubblicato. Monitorate la pagina ENISA SRP per gli aggiornamenti: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Cosa è confermato:

  • Piattaforma web per le sottomissioni
  • Moduli di segnalazione standardizzati
  • Una sola sottomissione instrada al CSIRT nazionale competente

Cosa potete fare ora:

  • Predisponete i template dei report usando la struttura qui sotto
  • Identificate il vostro CSIRT di riferimento (vedi sotto)
  • Definite i percorsi di escalation interni e i reporter autorizzati

CSIRTs Nazionali

In base all'Articolo 14(7) del Regolamento (UE) 2024/2847, inviate una sola volta tramite la SRP al CSIRT dello Stato membro dove la vostra organizzazione ha la sede principale. Sede principale significa dove vengono prese le decisioni sulla cybersicurezza del prodotto.

Se siete stabiliti fuori dall'UE, il CSIRT competente è quello del vostro rappresentante autorizzato UE. Se non avete un rappresentante autorizzato, la cascata ricade sull'importatore, poi il distributore, poi il paese con la maggiore concentrazione di utenti.

Non dovete notificare ogni CSIRT in ogni paese dove il vostro prodotto è venduto. In base all'Articolo 16, ENISA trasmette la notifica ai CSIRT dei paesi di mercato dopo la vostra sottomissione. Questo passaggio non è responsabilità del produttore.

Per l'Italia, il CSIRT di riferimento è CSIRT Italia, operato da ACN (Agenzia per la Cybersicurezza Nazionale).

Per Prodotti in Più Stati Membri

Una sola sottomissione alla SRP copre il vostro obbligo di segnalazione. Potete ricevere follow-up da più autorità nazionali, ma esiste un unico percorso di sottomissione.

Checklist di Preparazione Interna

Suggerimento: Pre-approvate i template di notifica e stabilite percorsi di escalation 24/7 ORA. Non potete redigere template durante una scadenza di 24 ore.

Non aspettate settembre 2026. Costruite i vostri processi ora.

1. Canali di Ricezione Vulnerabilità

Stabilite percorsi chiari per i report di vulnerabilità:

File security.txt:

# https://vostroprodotto.com/.well-known/security.txt
Contact: mailto:security@vostraazienda.com
Contact: https://vostraazienda.com/security/report
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: it
Canonical: https://vostraazienda.com/.well-known/security.txt
Policy: https://vostraazienda.com/security/policy

Modulo web per report strutturati

Email dedicata monitorata 24/7 (o con SLA chiaro)

2. Processo di Triage Interno

Definite come vengono valutati i report:

TRIAGE RICEZIONE VULNERABILITÀ

1. Ricezione Iniziale (< 4 ore)
   - Confermare la ricezione
   - Assegnare a membro del team sicurezza
   - Verifica iniziale di validità

2. Triage Tecnico (< 24 ore)
   - Confermare che la vulnerabilità esiste
   - Determinare le versioni colpite
   - Valutare l'exploitabilità
   - Verificare evidenze di sfruttamento attivo

3. Valutazione della Gravità (< 24 ore)
   - Scoring CVSS (o equivalente)
   - Valutazione dell'impatto business
   - Probabilità di sfruttamento

4. Decisione di Segnalazione (IMMEDIATA se sfruttamento confermato)
   - Questo richiede notifica ENISA?
   - Se sì, avviare il conto alla rovescia di 24 ore

3. Percorsi di Escalation

Definite chi può attivare la segnalazione esterna:

Ruolo Autorità
Team Lead Sicurezza Può avviare l'allerta precoce
CISO / Security Director Deve approvare la notifica dettagliata
Legale / Compliance Revisione prima del report finale
Executive sponsor Escalation per casi ambigui

Principio chiave: La persona che scopre un potenziale sfruttamento deve poter escalare immediatamente, 24/7.

4. Copertura Fuori Orario

Il conto alla rovescia di 24 ore non si ferma nei weekend o nei giorni festivi.

Opzioni:

  • Rotazione di reperibilità per il team sicurezza
  • Servizio di monitoraggio con autorità di escalation
  • Catena di contatto fuori orario chiara
  • Reporter pre-autorizzati che possono inviare allerte precoci

5. Template dei Report

Preparate i template prima di averne bisogno:

Template Allerta Precoce:

ALLERTA PRECOCE CRA ENISA

Fabbricante: [Nome Azienda]
Data Report: [Data/Ora UTC]
Tipo Report: [ ] Vulnerabilità Attivamente Sfruttata [ ] Incidente Grave

PRODOTTO/I COLPITO/I:
- Nome Prodotto:
- Versione/i:
- Categoria Prodotto:

SOMMARIO VULNERABILITÀ/INCIDENTE:
[Breve descrizione - 2-3 frasi]

STATO SFRUTTAMENTO:
[ ] Sfruttamento confermato
[ ] Sfruttamento sospettato
Evidenze: [Breve descrizione delle evidenze]

VALUTAZIONE INIZIALE GRAVITÀ:
[ ] Critica [ ] Alta [ ] Media [ ] Bassa
Base: [Score CVSS o altra giustificazione]

PORTATA POTENZIALE IMPATTO:
- Utenti colpiti stimati:
- Portata geografica:
- Dati a rischio:

STATO ATTUALE:
[ ] In corso di investigazione
[ ] Mitigazione in corso
[ ] Patch in sviluppo

CONTATTO PER FOLLOW-UP:
Nome:
Email:
Telefono:

Questa è un'allerta precoce. Notifica dettagliata a seguire entro 72 ore.

6. Testate il Vostro Processo

Eseguite esercitazioni tabletop prima di settembre 2026:

Scenario 1: Venerdì ore 17 - Un ricercatore di sicurezza segnala una vulnerabilità critica con PoC

  • Quanto velocemente potete valutare il rischio di sfruttamento?
  • Chi prende la decisione di segnalazione nel weekend?

Scenario 2: Un cliente segnala attività sospetta che suggerisce che il vostro prodotto è stato il punto di ingresso

  • Come raccogliete evidenze per confermare/negare lo sfruttamento?
  • Qual è la vostra soglia per la "convinzione ragionevole"?

Scenario 3: L'intelligence sulle minacce indica che il vostro prodotto è preso di mira da un gruppo APT

  • Avete visibilità sullo sfruttamento effettivo?
  • Come vi coordinate con provider esterni di threat intelligence?

Errori Comuni

Aspettare la Certezza

Problema: Volere prove forensi prima di segnalare.

Realtà: Il conto alla rovescia di 24 ore inizia quando avete una convinzione ragionevole. Se aspettate la certezza, mancherete la scadenza.

Soluzione: Segnalate presto. Potete aggiornare con "non più ritenuto sfruttato" nella notifica dettagliata se le evidenze non lo supportano.

Confondere CVD e Segnalazione

Problema: Trattare i report dei ricercatori come notifiche ENISA.

Realtà: La divulgazione coordinata delle vulnerabilità e la segnalazione ENISA sono processi separati.

  • CVD: Come gestite i report dei ricercatori, concordate le timeline di divulgazione
  • ENISA: Notifica obbligatoria quando si verifica lo sfruttamento

Soluzione: Il processo CVD deve includere un gate: "Ci sono evidenze di sfruttamento?" Se sì, avviate la segnalazione ENISA in parallelo al CVD.

Punto singolo di guasto

Problema: Solo una persona può autorizzare i report, ed è irraggiungibile.

Realtà: Lo sfruttamento può essere scoperto in qualsiasi momento. Weekend. Festivi. Alle 3 di notte.

Soluzione: Più reporter autorizzati. Delega chiara. Catena di contatto di emergenza.

Nessuna Relazione con i CSIRTs

Problema: Primo contatto con il vostro CSIRT nazionale durante un incidente.

Realtà: Chi conosce i processi del proprio CSIRT gestisce meglio un incidente reale.

Soluzione: Contattate CSIRT Italia (ACN) ora. Capite i loro processi. Partecipate a eventuali programmi di outreach per produttori.

Esenzioni per le Micro e Piccole Imprese

Info: Le microimprese e le piccole imprese sono esenti da multe specifiche sui tempi per la scadenza dell'allerta precoce di 24 ore, ma devono comunque segnalare. Questo è un sollievo dalle penalità, non un'esenzione dalla segnalazione.

Le microimprese e le piccole imprese hanno qualche sollievo ai sensi dell'Articolo 64(10)(a):

Esenzione tempistiche di notifica: Esenti da multe per il mancato rispetto della scadenza dell'allerta precoce di 24 ore prevista dall'Articolo 14(2)(a) e dall'Articolo 14(4)(a). La scadenza della notifica dettagliata di 72 ore (Articoli 14(2)(b) e 14(4)(b)) non è coperta. Il mancato rispetto può comportare multe indipendentemente dalle dimensioni dell'azienda.

Ancora richiesto:

  • La segnalazione (solo non penalizzati per la tempistica delle 24 ore)
  • Tutti gli altri obblighi CRA
  • I report finali

Definizione (Articolo 64(10)(a)): Microimprese (meno di 10 dipendenti, fatturato annuo o bilancio ≤ 2 milioni EUR) e piccole imprese (meno di 50 dipendenti, fatturato annuo o bilancio ≤ 10 milioni EUR). Le medie imprese (fino a 250 dipendenti) non rientrano in questa esenzione.

Questa esenzione copre solo la penalità dell'allerta precoce di 24 ore. Tutti i produttori, comprese le microimprese, devono creare capacità di segnalazione.

Integrazione con Processi Esistenti

Se Avete Già Incident Response

Mappate la segnalazione CRA al vostro processo esistente:

PROCESSO IR ESISTENTE          INTEGRAZIONE CRA
───────────────────────────────────────────────
Rilevazione
    
Triage ──────────────────→  Verifica: Sfruttamento prodotto CRA?
                                 
Contenimento                      ├─ : Avviare conto 24h
                                       Inviare allerta precoce
Investigazione                    
                                 
Rimedio ──────────────────→  Notifica dettagliata 72h
    
Recovery
    
Lezioni Apprese ──────────→  Report finale 14g/1 mese

Se Avete Obblighi NIS 2

Alcune organizzazioni hanno sia obblighi NIS 2 che CRA:

  • NIS 2: Incidenti a livello organizzazione/servizio
  • CRA: Vulnerabilità e incidenti a livello prodotto

Questi possono sovrapporsi. Un singolo incidente potrebbe richiedere:

  • Notifica NIS 2 all'autorità competente
  • Notifica CRA a ENISA/CSIRT

ENISA ha indicato che la SRP gestirà il routing per entrambi i regimi dove applicabile. Questo non è stato confermato nella guida definitiva.

Checklist Preparazione Segnalazione ENISA 

CHECKLIST PREPARAZIONE SEGNALAZIONE ENISA

PRIMA DI SETTEMBRE 2026:

CANALI & CONTATTI
[ ] security.txt pubblicato e aggiornato
[ ] Modulo di segnalazione vulnerabilità disponibile
[ ] Email sicurezza monitorata (definire SLA: ____ ore)
[ ] Contatto CSIRT nazionale identificato
[ ] Registrazione ENISA SRP (quando disponibile)

PROCESSO INTERNO
[ ] Criteri di triage documentati
[ ] Checklist valutazione sfruttamento creata
[ ] Percorso di escalation definito (nomi, contatti)
[ ] Reporter autorizzati identificati
[ ] Copertura fuori orario stabilita

DOCUMENTAZIONE
[ ] Template allerta precoce preparato
[ ] Template notifica dettagliata preparato
[ ] Template report finale preparato
[ ] Materiali briefing interno pronti

TEST
[ ] Esercitazione tabletop completata
[ ] Escalation fuori orario testata
[ ] Revisione template completata

QUANDO VIENE RILEVATO SFRUTTAMENTO:

IMMEDIATO (entro 4 ore)
[ ] Valutazione iniziale: Questo è attivamente sfruttato?
[ ] Ora di inizio conto documentata: ____________
[ ] Escalation al reporter autorizzato

ENTRO 24 ORE
[ ] Allerta precoce inviata a ENISA SRP
[ ] Conferma di sottomissione ricevuta
[ ] Referenti interni notificati

ENTRO 72 ORE
[ ] Notifica dettagliata inviata
[ ] Stato mitigazione aggiornato
[ ] Comunicazione cliente avviata (se appropriato)

ENTRO 14 GIORNI (vulnerabilità) / 1 MESE (incidente)
[ ] Report finale inviato
[ ] Lezioni apprese documentate
[ ] Miglioramenti processo identificati

Domande frequenti

Cosa conta come "sfruttamento attivo" che avvia il termine di 24 ore?

Lo sfruttamento attivo significa che un attore malevolo ha usato la vulnerabilità per colpire gli utenti. La semplice divulgazione pubblica, una proof-of-concept pubblicata o un ricercatore che dimostra l'exploitabilità non bastano. Il CRA usa lo standard della "convinzione ragionevole": pattern di accesso insoliti coerenti con tecniche di exploit note, segnalazioni di clienti che indicano una compromissione, o intelligence sulle minacce che indica che il vostro prodotto è preso di mira. Il conto di 24 ore inizia nel momento in cui formate quella convinzione. Non serve una conferma forense.

Dove si invia esattamente la segnalazione di vulnerabilità all'ENISA?

Tramite la Piattaforma Unica di Segnalazione ENISA (SRP). Ad aprile 2026, la SRP non è ancora operativa. ENISA ha incaricato un fornitore e la piattaforma è prevista per il lancio entro l'11 settembre 2026. Nessun URL di registrazione è stato pubblicato. Ai sensi dell'Articolo 14(7), inviate una sola volta al CSIRT dello Stato membro dove la vostra organizzazione ha la sede principale. Per le aziende stabilite in Italia, il CSIRT competente è CSIRT Italia, operato da ACN (Agenzia per la Cybersicurezza Nazionale). Non è necessario inviare separatamente a ogni CSIRT di ogni paese dove il prodotto è venduto.

Qual è la differenza tra le segnalazioni a 24 ore, 72 ore e 14 giorni?

L'allerta precoce a 24 ore è un'allerta minimale: identificazione del prodotto, una breve descrizione e una valutazione iniziale della gravità. La notifica dettagliata a 72 ore aggiunge dettagli tecnici, versioni colpite, metodo di sfruttamento e stima della timeline di rimedio. Il report finale a 14 giorni (o un mese per gli incidenti gravi) è l'analisi completa: cause radice, descrizione tecnica integrale, azioni di rimedio intraprese e impatto confermato. Ogni sottomissione si costruisce sulla precedente.

L'obbligo delle 24 ore si applica a tutti i prodotti CRA o solo a quelli importanti e critici?

L'obbligo di segnalazione ai sensi dell'Articolo 14 si applica a tutti i fabbricanti di prodotti con elementi digitali coperti dal CRA. Riguarda tutte le classi di prodotto, non solo i prodotti Importanti di Classe I, Classe II o Critici. La classificazione del prodotto determina il percorso di valutazione della conformità, non gli obblighi di segnalazione. Qualsiasi prodotto coperto dal CRA con una vulnerabilità attivamente sfruttata fa scattare il termine di 24 ore.

Cosa succede se si supera il termine di segnalazione di 24 ore?

Il mancato rispetto della scadenza espone a azioni di enforcement. Le microimprese e le piccole imprese (meno di 50 dipendenti, fatturato annuo fino a 10 milioni EUR) sono esenti dalle multe per la tempistica dell'allerta precoce di 24 ore ai sensi dell'Articolo 64(10)(a), ma devono comunque segnalare. Le medie e grandi imprese non hanno questo margine. L'esenzione per le PMI copre solo l'allerta precoce a 24 ore. Il mancato rispetto della notifica dettagliata a 72 ore può comportare multe indipendentemente dalle dimensioni dell'azienda.

La segnalazione va direttamente all'ENISA o al CSIRT nazionale?

A entrambi, tramite una sola sottomissione. Inviate una volta sola tramite la Piattaforma Unica di Segnalazione ENISA, che instrada la vostra notifica al CSIRT nazionale competente: il CSIRT dello Stato membro dove la vostra organizzazione ha la sede principale. Ai sensi dell'Articolo 16, ENISA trasmette poi la notifica ai CSIRT degli altri Stati membri dove il vostro prodotto è venduto. Quel passaggio secondario è responsabilità di ENISA, non del fabbricante.

Prossimi passi

Gestite la conformità al CRA per più prodotti? CRA Evidence tiene traccia delle scadenze e fornisce modelli di segnalazione precompilati per le divulgazioni di vulnerabilità di ciascun prodotto.

Una volta definito il processo di triage, configurate la ricezione delle vulnerabilità con il nostro modello di policy CVD. Consultate la guida alle sanzioni per capire le conseguenze in caso di mancato rispetto delle scadenze.

Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un consulente legale qualificato esperto in regolamentazioni prodotti dell'UE.

CRA Gestione delle vulnerabilità Tempistiche
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni