Se il Suo nome o marchio compare su un prodotto con elementi digitali immesso sul mercato dell'UE, di norma la Legge sulla ciberresilienza La tratta come fabbricante. Questa pagina illustra i principali obblighi del fabbricante CRA: progettazione sicura, documentazione tecnica, valutazione della conformità, marcatura CE, doveri durante il periodo di supporto, gestione delle vulnerabilità e segnalazione obbligatoria.
Riepilogo
- È Lei il fabbricante? Di norma sì quando sviluppa, fabbrica o commissiona il prodotto e lo immette sul mercato con il proprio nome o marchio. Il marchio è il test decisivo; il contratto di fornitura non sposta da solo il ruolo CRA.
- Cosa deve essere pronto prima dell'immissione sul mercato? Valutazione del rischio di cibersicurezza, mappatura dei requisiti essenziali di cibersicurezza, documentazione tecnica, valutazione della conformità, dichiarazione UE di conformità, marcatura CE, dati del fabbricante e di contatto e istruzioni per l'utente.
- Cosa continua dopo l'immissione sul mercato? Gestione delle vulnerabilità, aggiornamenti di sicurezza, comunicazione del periodo di supporto, misure correttive, cooperazione con le autorità di vigilanza del mercato e conservazione documentale. Gli aggiornamenti di sicurezza restano disponibili per almeno 10 anni dall'emissione o per il resto del periodo di supporto, a seconda di quale sia più lungo.
- Cosa deve essere segnalato? Le vulnerabilità attivamente sfruttate e gli incidenti gravi, instradati tramite la piattaforma unica di segnalazione di ENISA secondo la cadenza 24h / 72h / rapporto finale. I due flussi hanno scadenze finali diverse, illustrate nella sezione sulla segnalazione qui sotto.
- Quando si applica? La segnalazione delle vulnerabilità e degli incidenti parte l'11 settembre 2026; il resto del regime del fabbricante segue. Si veda il calendario di attuazione qui sotto per la catena completa delle scadenze.
- Esposizione sanzionatoria: le violazioni di primo livello possono raggiungere 15 000 000 EUR o il 2,5% del fatturato mondiale annuo totale, a seconda di quale sia maggiore. Le microimprese e le piccole imprese godono di uno sgravio limitato sulle sole scadenze di allerta precoce a 24h. Per la scala punto per punto delle sanzioni, si veda sanzioni ed enforcement.
Quattro numeri che inquadrano l'esposizione del fabbricante: 21 requisiti essenziali ripartiti tra prodotto e processo, due scadenze di segnalazione per flusso e la sanzione di primo livello.
Chi è un fabbricante ai sensi del CRA?
In pratica, il fabbricante CRA è il titolare del marchio o il produttore responsabile dell'immissione sul mercato del prodotto con il proprio nome o marchio. La definizione copre le entità che sviluppano, fabbricano o fanno progettare, sviluppare o fabbricare un prodotto e poi lo immettono sul mercato con il proprio nome o marchio, a titolo oneroso, monetizzato o gratuito.
L'esternalizzazione non sposta il ruolo: se un OEM o un contraente costruisce il prodotto ma il Suo nome è apposto, Lei resta il fabbricante. Se il prodotto non è sotto il Suo nome o marchio, potrebbe invece essere importatore, distributore, mandatario o modificatore sostanziale. Per l'albero decisionale completo dei ruoli, si veda chi deve rispettare il CRA.
Obblighi principali del fabbricante
Gli obblighi del fabbricante si raggruppano in quattro cluster: progettazione sicura e proprietà del prodotto valutate sulla base del rischio; processi di gestione delle vulnerabilità operati durante il periodo di supporto; artefatti pre-immissione sul mercato che devono esistere prima dell'immissione sul mercato (documentazione tecnica, valutazione della conformità, dichiarazione UE di conformità, marcatura CE); doveri post-immissione (misure correttive, cooperazione con la vigilanza del mercato, comunicazione del periodo di supporto, notifica di cessazione). La tabella sottostante associa ciascun obbligo al paragrafo specifico dell'Articolo 13 che lo fonda.
| Dovere | Punto chiave | Fonte |
|---|---|---|
| Progettare e produrre rispetto ai requisiti essenziali | I requisiti essenziali sono obbligatori, modulati dalla valutazione del rischio di cibersicurezza. | Articolo 13, paragrafo 1 |
| Valutazione del rischio di cibersicurezza | Documentata, aggiornata per tutto il periodo di supporto, inclusa nella documentazione tecnica. | Articolo 13, paragrafo 2 |
| Due diligence sui componenti | Comprende i componenti gratuiti e open source. Esercitare la dovuta diligenza nell'integrazione di componenti. Documentare le vulnerabilità di cui il fabbricante viene a conoscenza; segnalarla al manutentore del componente a monte e porvi rimedio. | Articolo 13, paragrafo 5; Articolo 13, paragrafo 6 |
| Periodo di supporto | Almeno 5 anni, o il periodo di uso atteso se inferiore. Documentato nella documentazione tecnica. Comprende gli obblighi di gestione delle vulnerabilità e di policy CVD. | Articolo 13, paragrafo 8 |
| Disponibilità degli aggiornamenti di sicurezza | Ogni aggiornamento di sicurezza resta disponibile per almeno 10 anni dall'emissione, o per il resto del periodo di supporto, a seconda di quale sia più lungo. | Articolo 13, paragrafo 9 |
| Versioni software sostanzialmente modificate | La regola di rimedio alle vulnerabilità può applicarsi solo all'ultima versione qualora gli utenti vi abbiano libero accesso. Sono ammessi archivi pubblici delle versioni non più supportate con avvertenze sui rischi. | Articolo 13, paragrafo 10, Articolo 13, paragrafo 11 |
| Documentazione tecnica pre-immissione + valutazione della conformità + CE, controlli sulla produzione in serie | Redigere la documentazione tecnica. Svolgere o far svolgere la valutazione della conformità. Redigere la dichiarazione UE di conformità e apporre la marcatura CE. Mantenere procedure affinché la produzione in serie resti conforme. | Articolo 13, paragrafo 12 |
| Conservazione | Documentazione tecnica e dichiarazione UE di conformità a disposizione delle autorità di vigilanza del mercato per almeno 10 anni o per il periodo di supporto, a seconda di quale sia più lungo. | Articolo 13, paragrafo 13 |
| Identificazione del prodotto + identificazione del fabbricante | Numero di tipo, lotto o serie. Nome del fabbricante, denominazione commerciale o marchio, indirizzo postale, contatto digitale, riprodotti anche nelle informazioni di accompagnamento del prodotto. | Articolo 13, paragrafo 15, Articolo 13, paragrafo 16 |
| Punto unico di contatto | Consente agli utenti di scegliere il mezzo di comunicazione preferito. Non deve essere limitato a strumenti automatizzati. | Articolo 13, paragrafo 17 |
| Informazioni di accompagnamento per gli utenti | Informazioni e istruzioni in una lingua facilmente comprensibile per gli utenti e per la vigilanza del mercato, accessibili online per lo stesso periodo di conservazione. | Articolo 13, paragrafo 18 |
| Data di fine del periodo di supporto | Specificata al momento dell'acquisto, almeno con mese e anno. Mostrare agli utenti la notifica di fine supporto ove tecnicamente fattibile. | Articolo 13, paragrafo 19 |
| Consegna della dichiarazione UE di conformità | Dichiarazione integrale o dichiarazione semplificata contenente l'indirizzo internet esatto presso cui è consultabile la versione integrale. | Articolo 13, paragrafo 20 |
| Misure correttive post-immissione + cooperazione | Ritirare, richiamare o riportare a conformità quando si abbia consapevolezza della non conformità. Fornire tutte le informazioni alla vigilanza del mercato su richiesta motivata. | Articolo 13, paragrafo 21, Articolo 13, paragrafo 22 |
| Cessazione dell'attività | Informare la vigilanza del mercato e, con ogni mezzo disponibile, gli utenti prima che la cessazione abbia effetto. | Articolo 13, paragrafo 23 |
| Formato dello SBOM + valutazioni delle dipendenze | La Commissione può specificare il formato dello SBOM con atti di esecuzione. L'ADCO può svolgere valutazioni delle dipendenze a livello di Unione. | Articolo 13, paragrafo 24, Articolo 13, paragrafo 25 |
Requisiti essenziali di cibersicurezza
I fabbricanti devono soddisfare due insiemi di requisiti essenziali di cibersicurezza: requisiti di sicurezza del prodotto e requisiti di gestione delle vulnerabilità. Il primo insieme disciplina come il prodotto è progettato, sviluppato e prodotto. Il secondo disciplina i processi che il fabbricante deve operare durante il periodo di supporto.
Valutazione del rischio di cibersicurezza
I fabbricanti svolgono una valutazione del rischio di cibersicurezza per individuare quali requisiti essenziali di cibersicurezza vincolano il loro specifico prodotto. La valutazione è documentata una volta e mantenuta aggiornata per tutto il periodo di supporto. Vive all'interno della documentazione tecnica, e quando un requisito non è applicabile la valutazione riporta per iscritto la giustificazione.
Requisiti di sicurezza del prodotto
Prima dell'immissione sul mercato, il prodotto deve essere progettato, sviluppato e prodotto in modo da fornire un livello adeguato di cibersicurezza basato sul rischio. La valutazione del rischio di cibersicurezza del fabbricante determina quali controlli dell'elenco sottostante si applicano, e quando un controllo non è applicabile la documentazione tecnica deve riportare una chiara giustificazione.
- (a) Resi disponibili senza vulnerabilità sfruttabili note
- (b) Configurazione sicura per impostazione predefinita; ripristino allo stato originario disponibile (per i prodotti su misura destinati a utenti aziendali è possibile concordare diversamente)
- (c) Vulnerabilità affrontabili tramite aggiornamenti di sicurezza; aggiornamenti automatici installati entro un lasso di tempo adeguato per impostazione predefinita, con possibilità di opt-out e rinvio, ove applicabile
- (d) Protezione dall'accesso non autorizzato (autenticazione, gestione di identità o accessi, segnalazione di possibili accessi non autorizzati)
- (e) Riservatezza dei dati memorizzati, trasmessi, trattati, compresa la cifratura a riposo o in transito con meccanismi allo stato dell'arte
- (f) Protezione dell'integrità di dati, comandi, programmi, configurazione; segnalazione delle alterazioni
- (g) Minimizzazione dei dati: trattare solo dati adeguati, pertinenti e limitati alla finalità prevista
- (h) Disponibilità delle funzioni essenziali e di base, anche dopo un incidente; resilienza al denial-of-service
- (i) Minimizzare l'impatto negativo sulla disponibilità dei servizi forniti da altri dispositivi o reti
- (j) Limitare le superfici di attacco, comprese le interfacce esterne
- (k) Ridurre l'impatto degli incidenti tramite meccanismi e tecniche di mitigazione dello sfruttamento
- (l) Fornire informazioni di sicurezza registrando e monitorando l'attività interna pertinente, con opt-out per l'utente
- (m) Consentire agli utenti di rimuovere in modo sicuro e agevole tutti i dati e le impostazioni; assicurare il trasferimento sicuro dei dati ove applicabile
La clausola «ove applicabile» di diversi punti sopra è governata dalla valutazione del rischio, non dalla preferenza del fabbricante.
Requisiti di gestione delle vulnerabilità
Separatamente dai controlli di sicurezza del prodotto, il fabbricante deve operare processi di gestione delle vulnerabilità durante il periodo di supporto: documentazione dei componenti, SBOM, test, rimedio, divulgazione coordinata delle vulnerabilità, canali di segnalazione, distribuzione sicura degli aggiornamenti e avvisi agli utenti.
- (1) Identificare e documentare vulnerabilità e componenti, compreso un software bill of materials (SBOM) in un formato comunemente utilizzato e leggibile da macchina che copra almeno le dipendenze di primo livello
- (2) Affrontare e porre rimedio alle vulnerabilità senza ritardo tramite aggiornamenti di sicurezza. Ove tecnicamente fattibile, separare gli aggiornamenti di sicurezza dagli aggiornamenti di funzionalità
- (3) Applicare test e revisioni efficaci e regolari della sicurezza del prodotto
- (4) Una volta disponibile un aggiornamento di sicurezza, condividere e divulgare pubblicamente informazioni sulle vulnerabilità corrette (descrizione, prodotti interessati, impatti, gravità, indicazioni di rimedio). È possibile rinviare la divulgazione pubblica in casi debitamente giustificati finché gli utenti non possano applicare la patch
- (5) Mettere in atto e applicare una policy di divulgazione coordinata delle vulnerabilità (CVD)
- (6) Facilitare la condivisione di informazioni su potenziali vulnerabilità (anche nei componenti di terze parti) fornendo un indirizzo di contatto per le segnalazioni di vulnerabilità
- (7) Meccanismi per distribuire in modo sicuro gli aggiornamenti, così che le vulnerabilità siano corrette tempestivamente e, ove applicabile, automaticamente
- (8) Diffondere gli aggiornamenti di sicurezza senza ritardo. A titolo gratuito salvo diverso accordo con un utente aziendale per prodotti su misura. Con messaggi di advisory agli utenti
I requisiti di gestione delle vulnerabilità sopra elencati si applicano dall'immissione sul mercato per tutto il periodo di supporto. Gli aggiornamenti di sicurezza restano disponibili per almeno 10 anni dall'emissione o per il resto del periodo di supporto, a seconda di quale sia più lungo.
Due diligence sui componenti
La due diligence sui componenti si applica sia ai componenti commerciali sia a quelli gratuiti e open source. Il fabbricante documenta le vulnerabilità dei componenti di cui viene a conoscenza, vi pone rimedio nel proprio prodotto e condivide le informazioni pertinenti con il manutentore del componente (compresi, ove appropriato, il codice o la documentazione pertinenti in formato leggibile da macchina). La superficie documentale è lo SBOM e il fascicolo di documentazione tecnica.
Artefatti pre-immissione: cosa deve esistere prima di immettere il prodotto sul mercato
Quattro artefatti devono esistere prima che il prodotto sia immesso sul mercato. Ciascuno è ancorato a uno specifico articolo del CRA e produce uno specifico atto di conformità: il fascicolo che il fabbricante conserva, la valutazione che svolge, la dichiarazione che firma, la marcatura che appone.
| Artefatto | Cosa contiene o richiede |
|---|---|
| Documentazione tecnica | Descrizione del prodotto, informazioni di progettazione e sviluppo, valutazione del rischio di cibersicurezza, norme armonizzate o specifiche comuni applicate, percorso e risultato della valutazione della conformità, dichiarazione UE di conformità e processo di gestione delle vulnerabilità. Conservata per almeno 10 anni o per il periodo di supporto, a seconda di quale sia più lungo. |
| Valutazione della conformità | Modulo A di autovalutazione per prodotti di classe predefinita e per Classe I Importante quando norme armonizzate, specifiche comuni o uno schema di certificazione di cibersicurezza sono pienamente applicati. La Classe II Importante usa le rotte di organismo notificato (modulo B+C o H) o uno schema europeo di certificazione di cibersicurezza con livello di affidabilità almeno «sostanziale». I prodotti critici usano uno schema europeo di certificazione di cibersicurezza quando applicabile. Altrimenti usano le rotte di organismo notificato. |
| Dichiarazione UE di conformità | Dichiarazione integrale fornita con il prodotto oppure dichiarazione semplificata recante l'indirizzo internet esatto della versione integrale. I contenuti della dichiarazione: nome e indirizzo del fabbricante, identificazione del prodotto, dichiarazione di conformità ai requisiti essenziali di cibersicurezza, norme applicate con numeri di riferimento e date, nome e numero dell'organismo notificato ove applicabile, riferimento al certificato, data, firma, nome e funzione del firmatario. |
| Marcatura CE | Apposta sul prodotto in modo visibile, leggibile e indelebile; a seconda della natura del prodotto con elementi digitali, l'altezza della marcatura CE apposta su di esso può essere inferiore a 5 mm, purché rimanga visibile e leggibile. Quando la natura del prodotto non lo consente, sull'imballaggio e sulla dichiarazione UE di conformità. Quando un organismo notificato è coinvolto nella valutazione della conformità con il Modulo H (garanzia totale di qualità), il suo numero identificativo a quattro cifre segue la marcatura CE. |
La scelta del modulo di valutazione della conformità è la decisione più conseguente di questa sezione. La tabella e il diagramma decisionale sottostanti forniscono il dettaglio riga per riga.
| Modulo | Quando |
|---|---|
| A controllo interno della produzione | Prodotti di classe predefinita; Classe I Importante quando norme armonizzate, specifiche comuni o uno schema europeo di certificazione della cibersicurezza con livello di affidabilità almeno «sostanziale» esistono e sono pienamente applicati |
| B + C esame UE del tipo + controllo della produzione | Rotta per Classe II Importante. Classe I quando non si applichi alcuna norma armonizzata pertinente, specifica comune o schema europeo di certificazione di cibersicurezza. Prodotti critici quando seguono la valutazione di organismo notificato. |
| H garanzia totale di qualità | Alternativa per i prodotti importanti. Prodotti critici quando seguono la valutazione di organismo notificato. |
Si vedano la guida alla documentazione tecnica, la guida alla valutazione della conformità, la guida alla classificazione dei prodotti e la guida alla dichiarazione di conformità per i dettagli di ciascun artefatto.
Segnalare vulnerabilità e incidenti gravi
I fabbricanti hanno due flussi di segnalazione. Entrambi sono instradati simultaneamente al CSIRT designato come coordinatore e a ENISA tramite la piattaforma unica di segnalazione. I due flussi condividono la cadenza 24h/72h ma hanno scadenze del rapporto finale diverse, un punto frequentemente frainteso.
L'orologio di allerta precoce di 24 ore si applica soltanto alle vulnerabilità attivamente sfruttate. L'incidente grave ha un proprio criterio e una propria cadenza di 24h/72h/1 mese.
| Flusso | Allerta precoce 24h | Notifica 72h | Rapporto finale |
|---|---|---|---|
| Vulnerabilità attivamente sfruttata | Entro 24h dalla consapevolezza | Entro 72h dalla consapevolezza | 14 giorni dopo che una misura correttiva o di mitigazione è disponibile |
| Incidente grave | Entro 24h dalla consapevolezza | Entro 72h dalla consapevolezza | Un mese dopo la notifica a 72h |
Il conto del rapporto finale per le vulnerabilità parte quando la patch è pronta, non dal momento della consapevolezza. Il divario può essere di settimane o mesi. Il conto del rapporto finale per gli incidenti gravi è fissato alla notifica a 72h, quindi nella pratica al giorno 33 dalla consapevolezza. Si veda la guida cluster sulla segnalazione delle vulnerabilità per il flusso operativo, le regole di instradamento al CSIRT coordinatore (compresa la cascata di ripiego per i fabbricanti non UE), il dovere di notifica all'utente e i meccanismi della piattaforma unica di segnalazione.
Periodo di supporto e doveri post-immissione
I numeri principali (periodo di supporto minimo di 5 anni, disponibilità degli aggiornamenti di sicurezza per 10 anni) compaiono nella tabella dei cluster di obblighi sopra. Criteri di determinazione, comunicazione della data di fine al momento dell'acquisto, dovere di notifica di fine vita e regole sulle versioni software sostanzialmente modificate sono trattati nella guida cluster sul periodo di supporto.
Due doveri post-immissione del fabbricante coesistono con il regime del periodo di supporto e non hanno una propria pagina cluster. Alla consapevolezza che il prodotto non è più conforme ai requisiti essenziali di cibersicurezza, il fabbricante adotta immediatamente misure correttive, ovvero ritira o richiama secondo necessità, e su richiesta motivata di un'autorità di vigilanza del mercato fornisce tutte le informazioni necessarie a dimostrare la conformità in una lingua comprensibile per l'autorità. Il fabbricante che cessa l'attività informa le autorità di vigilanza del mercato competenti prima che la cessazione abbia effetto, e informa gli utenti con ogni mezzo disponibile e nella misura del possibile.
Fabbricante o modificatore sostanziale?
La modifica sostanziale è una via diversa verso obblighi di livello fabbricante. Si applica quando un terzo modifica un prodotto dopo l'immissione sul mercato e rende disponibile sul mercato il prodotto modificato. L'Articolo 22 recita:
«Una persona fisica o giuridica, diversa dal fabbricante, dall'importatore o dal distributore, che apporta una modifica sostanziale a un prodotto con elementi digitali e mette tale prodotto a disposizione sul mercato è considerata un fabbricante ai fini del presente regolamento.»
Il regime della modifica sostanziale esclude esplicitamente fabbricanti, importatori e distributori. Si applica a terzi al di fuori della catena dei ruoli: integratori di sistema, rivenditori a valore aggiunto, dipartimenti IT aziendali che modificano prodotti del fornitore prima della redistribuzione. Il suo ambito è netto: il modificatore è trattato come fabbricante per la parte del prodotto interessata dalla modifica sostanziale, oppure per l'intero prodotto se la modifica ha un impatto sulla cibersicurezza del prodotto nel suo complesso. Una «modifica sostanziale» è una modifica successiva all'immissione sul mercato che incide sulla conformità ai requisiti essenziali di cibersicurezza o modifica la finalità prevista per cui il prodotto è stato valutato.
| Caso | Classificazione |
|---|---|
| Ingegneria originale, marchio originale | Fabbricante |
| Marchio originale, un terzo aggiunge funzioni firmware dopo l'immissione sul mercato che cambiano la superficie di attacco | Il fabbricante originale resta tale. Il terzo è anch'esso fabbricante per la parte modificata in qualità di modificatore sostanziale. |
| Rebrand white-label di un prodotto non UE da parte di un'entità UE | L'entità UE è il fabbricante tramite il ponte di rebrand per importatori e distributori. Non si tratta di un caso di modificatore sostanziale terzo. Se sei partito come importatore UE, consulta la guida del cluster importatore per ciò che cambia quando passi al regime fabbricante. |
| Un integratore UE assembla prodotti compatibili senza modificarne gli interni | Distributore, non modificatore sostanziale. Consulta la guida del cluster distributore per l'insieme degli obblighi del distributore. |
| Un IT aziendale installa una build firmware personalizzata sui dispositivi del fornitore e poi li rivende | Modificatore sostanziale. Trattato come fabbricante per il prodotto modificato. |
La conseguenza pratica di essere catturati dal regime della modifica sostanziale: pieni obblighi di fabbricante per la parte modificata o per l'intero prodotto, compresi un nuovo fascicolo tecnico, una nuova dichiarazione di conformità, una nuova marcatura CE sotto la responsabilità del modificatore e la cadenza di segnalazione sopra indicata.
Calendario di attuazione
- Traguardo passato
- Applicazione imminente
- Scadenza finale
- Traguardo ecosistema
Errori comuni
| Affermazione | Perché non regge |
|---|---|
| «Non siamo davvero il fabbricante; un OEM in un altro paese lo costruisce.» | Il titolare del marchio è il fabbricante, a prescindere da chi costruisca il prodotto. L'esternalizzazione della costruzione non trasferisce l'obbligo. |
| «La nostra policy di sicurezza è sufficiente; non ci serve fare una valutazione dei requisiti essenziali.» | La valutazione del rischio di cibersicurezza è obbligatoria e deve vivere all'interno della documentazione tecnica. |
| «I nostri clienti non chiedono uno SBOM, quindi non lo facciamo.» | È richiesto uno SBOM in un formato comunemente utilizzato e leggibile da macchina, che copra almeno le dipendenze di primo livello. L'interesse del cliente è irrilevante. |
| «Il nostro chatbot è il punto unico di contatto.» | Gli utenti devono poter scegliere il proprio mezzo di comunicazione preferito. Il canale non può essere limitato a strumenti automatizzati. |
| «Cinque anni dal lancio del prodotto sono sufficienti per il periodo di supporto.» | Il periodo di supporto decorre dall'immissione sul mercato di ciascuna unità, non dal lancio del prodotto. Le unità immesse al quarto anno portano gli obblighi di supporto fino al nono anno. |
| «La scadenza del rapporto finale a 14 giorni vale anche per gli incidenti.» | No. Le vulnerabilità hanno 14 giorni dopo la disponibilità di una misura correttiva; gli incidenti gravi hanno un mese dopo la notifica a 72h. |
| «Il nostro SLA copre già le vulnerabilità; non ci serve segnalare a ENISA.» | La segnalazione va al CSIRT coordinatore e a ENISA simultaneamente, tramite la piattaforma unica di segnalazione. Gli SLA con i clienti non la sostituiscono. |
| «Abbiamo un'assicurazione per le violazioni.» | Le sanzioni amministrative non sono assicurabili nella maggior parte degli Stati membri. Il trasferimento del rischio non può sostituire la conformità. |
| «La segnalazione si applica solo quando avremo un'entità europea.» | I fabbricanti non UE sono instradati attraverso una cascata di CSIRT in base alla localizzazione del mandatario, dell'importatore, del distributore o dell'utente. Il dovere di segnalazione parte l'11 settembre 2026 a prescindere. |
| «Rinviamo la divulgazione pubblica di ogni vulnerabilità alla successiva release trimestrale.» | Il rinvio è ammesso solo in casi debitamente giustificati finché gli utenti non possano applicare la patch. Il batching trimestrale di routine non rientra. |
Il CRA per paese dell'UE
Gli obblighi sopra elencati sono identici in ogni Stato membro. Ciò che cambia da paese a paese è la catena istituzionale: quale autorità vigila, quale CSIRT riceve le sue segnalazioni e in quale lingua deve essere redatta la documentazione destinata agli utenti. Diverse designazioni nazionali sono ancora in via di definizione, perciò ogni scheda indica ciò che è confermato e ciò che è ancora atteso.
- Francia: ANSSI come autorità notificante, ANFR per la vigilanza del mercato, segnalazioni tramite CERT-FR.
- Germania: BSI come autorità unica di vigilanza del mercato e notificante, segnalazioni tramite CERT-Bund.
- Italia: ACN come autorità nazionale unica, con accreditamento ACCREDIA.
- Paesi Bassi: segnalazioni all'NCSC e vigilanza del mercato prevista in capo all'RDI.
- Polonia: instradamento tramite CSIRT NASK e accreditamento PCA.
- Spagna: segnalazioni a INCIBE-CERT e ripartizione tra CCN ed ENAC per gli organismi notificati.
Domande frequenti
Quali sono i principali obblighi del fabbricante ai sensi del CRA?
Quattro cluster di doveri. La segnalazione delle vulnerabilità e degli incidenti parte l'11 settembre 2026; il regime completo si applica dall'11 dicembre 2027.
- Prima dell'immissione sul mercato. Valutazione del rischio, progettazione conforme ai requisiti essenziali di cibersicurezza, documentazione tecnica, valutazione della conformità, dichiarazione UE di conformità, marcatura CE.
- Per tutto il periodo di supporto. Gestione delle vulnerabilità, SBOM, rimedio, divulgazione coordinata delle vulnerabilità, aggiornamenti sicuri. Almeno cinque anni per unità.
- Punto unico di contatto. Canale non automatizzato raggiungibile dagli utenti.
- Segnalazione di vulnerabilità e incidenti. Cadenza 24 ore, 72 ore e rapporto finale al CSIRT coordinatore e a ENISA tramite la piattaforma unica di segnalazione.
Cos'è un fabbricante ai sensi del CRA?
Il titolare del marchio. Un fabbricante è l'entità che sviluppa o commissiona un prodotto (anche tramite una fabbrica esternalizzata) e poi lo immette sul mercato con il proprio nome o marchio, a titolo oneroso o gratuito. È il marchio sul prodotto, non l'ubicazione della linea di produzione, a decidere chi sia il fabbricante. I gestori di software open source sono una categoria separata e più leggera. La sola rivendita al consumo senza marchio è distribuzione, non fabbricazione.
Sono fabbricante o importatore?
Dipende dal marchio che compare sul prodotto.
- Il Suo nome o marchio sul prodotto. Regime del fabbricante, a prescindere da dove il prodotto sia costruito. Insieme completo di obblighi nel regime del fabbricante.
- Marchio di un terzo (persona non UE) su un prodotto che Lei immette sul mercato dell'Unione. Regime dell'importatore. Solo l'insieme delle verifiche.
Fabbricante vs mandatario: qual è la differenza?
Il mandatario è un delegato documentale, non un sostituto del fabbricante. La nomina è facoltativa.
- Cosa fa il mandatario, con mandato scritto. Detiene la dichiarazione UE di conformità e la documentazione tecnica a disposizione della vigilanza del mercato, risponde a richieste motivate e coopera nelle azioni di applicazione.
- Cosa resta in capo al fabbricante. Ingegneria, valutazione del rischio, gestione delle vulnerabilità, valutazione della conformità, doveri sulla produzione in serie e immissione del prodotto sul mercato.
Esistono esenzioni PMI per i fabbricanti?
Gli obblighi sostanziali si applicano a prescindere dalle dimensioni. Nessuna esenzione dagli obblighi stessi.
- Concessione PMI, circoscritta. Le microimprese e le piccole imprese sono esenti dalle sanzioni legate specificamente alle scadenze di allerta precoce a 24 ore, e nient'altro.
- Fattore di commisurazione della sanzione. Le autorità devono tenere debito conto delle dimensioni del trasgressore (PMI e start-up incluse) nel determinare l'importo delle sanzioni.
- Categoria dei gestori OSS, separata. I gestori di software open source godono di un'esenzione più ampia dalle sanzioni amministrative ma non sono PMI.
Quando si applicano gli obblighi del fabbricante CRA?
Due date scaglionate.
- Segnalazione di vulnerabilità e incidenti. Parte l'11 settembre 2026. I fabbricanti che immettono prodotti sul mercato UE devono disporre, entro questa data, della capacità di allerta precoce a 24 ore, notifica a 72 ore e rapporto finale, anche se il programma completo di conformità è ancora in costruzione.
- Il resto del regime del fabbricante. Parte l'11 dicembre 2027. Copre l'insieme completo dei doveri del fabbricante: requisiti essenziali di cibersicurezza, valutazione della conformità, dichiarazione UE di conformità, marcatura CE e documentazione tecnica.
Cos'è il periodo di supporto e come si determina?
Almeno cinque anni dall'immissione sul mercato di ciascuna unità, o il periodo di uso atteso se inferiore.
- Come il fabbricante determina il periodo. Considera le ragionevoli aspettative degli utenti, la natura e la finalità prevista del prodotto, il diritto dell'Unione sulla durata di vita dei prodotti, i periodi di supporto di prodotti analoghi, la disponibilità dell'ambiente operativo, i periodi di supporto dei componenti di terze parti integrati, gli orientamenti dell'ADCO e gli orientamenti della Commissione. L'analisi va inclusa nella documentazione tecnica.
- Comunicazione al momento dell'acquisto. La data di fine in formato almeno mese e anno.
- Disponibilità degli aggiornamenti di sicurezza dopo la fine del periodo. Ogni aggiornamento di sicurezza emesso resta disponibile per almeno 10 anni dall'emissione, o per il resto del periodo di supporto se più lungo.
Qual è la differenza tra una «vulnerabilità attivamente sfruttata» e un «incidente grave»?
Definizioni diverse, scadenze del rapporto finale diverse. Entrambi i flussi condividono la cadenza di allerta precoce a 24 ore e notifica a 72 ore.
- Vulnerabilità attivamente sfruttata. Una vulnerabilità per cui esistono evidenze affidabili che un attore malevolo l'abbia sfruttata senza il permesso del titolare del sistema. Rapporto finale: 14 giorni dopo la disponibilità di una misura correttiva o di mitigazione.
- Incidente grave. Quello che (a) incide negativamente, o può incidere, sulla capacità del prodotto di proteggere la disponibilità, l'autenticità, l'integrità o la riservatezza di dati o funzioni sensibili o importanti, OPPURE (b) ha portato, o può portare, all'introduzione o esecuzione di codice malevolo nel prodotto o nella rete di un utente. Rapporto finale: un mese dopo la notifica a 72 ore.
I componenti open source nel nostro prodotto incidono sui nostri obblighi di fabbricante?
Sì. Il fabbricante esercita la due diligence su ogni componente di terze parti integrato, compresi i componenti open source non commerciali.
- Vulnerabilità in un componente. Segnalarla all'entità che mantiene il componente e porvi rimedio nel proprio prodotto.
- Condivisione delle correzioni a monte. Quando il fabbricante ha sviluppato una correzione, condivide il codice o la documentazione pertinenti con il manutentore del componente ove appropriato, in formato leggibile da macchina ove applicabile.
- Copertura dello SBOM. Almeno le dipendenze di primo livello.
- I gestori OSS sono una categoria distinta. Regime più leggero, non il regime del fabbricante.