Il fabbricante porta il fascio di obblighi più profondo del CRA (Regolamento (UE) 2024/2847): articolo 13 (progettazione, documentazione tecnica, valutazione della conformità, periodo di supporto, doveri post-immissione sul mercato), articolo 14 (segnalazione 24h/72h delle vulnerabilità attivamente sfruttate e degli incidenti gravi a ENISA e al CSIRT coordinatore) e allegato I (13 requisiti di prodotto nella parte I, 8 requisiti di gestione delle vulnerabilità nella parte II). Questa pagina illustra ciascun dovere, oltre al test dell'articolo 3(13) che decide se Lei sia in primo luogo il fabbricante.
Riepilogo
- Classificazione ai sensi dell'articolo 3(13): Lei è un fabbricante se sviluppa o fa progettare, sviluppare o fabbricare prodotti e li immette sul mercato con il proprio nome o marchio. Decide il marchio; non i contratti di fornitura.
- Obblighi dell'articolo 13: valutazione del rischio di cibersicurezza (13(2)–(4)), conformità all'allegato I parte I + parte II (13(1), 13(8)), due diligence sui componenti (13(5)–(6)), documentazione tecnica (articolo 31, allegato VII), valutazione della conformità (articolo 32), DoC UE (13(20), articolo 28, allegato V), marcatura CE (articolo 30), periodo di supporto di almeno 5 anni o periodo di uso atteso (13(8)) con data di fine documentata (13(19)), conservazione per 10 anni o per il periodo di supporto, se più lungo (13(13)).
- Segnalazione ai sensi dell'articolo 14: due flussi, entrambi tramite la piattaforma unica di segnalazione di ENISA ai sensi dell'articolo 16, simultaneamente al CSIRT designato come coordinatore. Vulnerabilità: allerta precoce a 24h, notifica a 72h, rapporto finale 14 giorni dopo che una misura correttiva è disponibile. Incidenti gravi: allerta precoce a 24h, notifica a 72h, rapporto finale entro un mese dalla notifica a 72h.
- Esposizione sanzionatoria (articolo 64(2)): fino a 15 000 000 EUR o al 2,5% del fatturato mondiale annuo totale, a seconda di quale sia maggiore. L'articolo 64(10) limita lo sgravio sulle sanzioni amministrative alle microimprese e alle piccole imprese e solo per le scadenze 14(2)(a) e 14(4)(a).
- Scadenze: la segnalazione delle vulnerabilità e degli incidenti ai sensi dell'articolo 14 parte l'11 settembre 2026. Il resto del regime del fabbricante parte l'11 dicembre 2027 (articolo 71).
Tre numeri che inquadrano l'esposizione del fabbricante: 21 requisiti essenziali nell'allegato I, due scadenze di segnalazione per flusso, sanzione di primo livello.
Chi è un fabbricante ai sensi del CRA?
L'articolo 3(13) definisce il fabbricante testualmente:
"Fabbricante" indica una persona fisica o giuridica che sviluppa o fabbrica prodotti con elementi digitali o fa progettare, sviluppare o fabbricare prodotti con elementi digitali e li immette sul mercato con il proprio nome o marchio, a titolo oneroso, di monetizzazione o gratuito.
Lei è un fabbricante ai fini del CRA se ricorrono entrambi i seguenti elementi:
| Elemento | Test |
|---|---|
| Sviluppare, fabbricare o far progettare/sviluppare/fabbricare prodotti | Comprende la progettazione esternalizzata o la produzione su contratto. Il lavoro non deve avvenire nei Suoi locali. |
| Immettere sul mercato con il proprio nome o marchio | Il prodotto, come immesso sul mercato, identifica la Sua entità come fonte, attraverso marchio, imballaggio, materiali di marketing o documentazione di accompagnamento. |
I due elementi sono cumulativi. Una fabbrica che produce un prodotto ma lo immette sul mercato con il marchio di un'altra società non è il fabbricante ai fini del CRA; lo è il titolare del marchio. Al contrario, una società che appone il proprio marchio su un prodotto progettato e costruito da una fabbrica terza è il fabbricante a prescindere da chi abbia svolto l'ingegnerizzazione. Distribuzione gratuita, monetizzata e a pagamento valgono tutte allo stesso modo; il regolamento dice esplicitamente "a titolo oneroso, di monetizzazione o gratuito".
Se nessuno dei due elementi ricorre, Lei non è il fabbricante. Potrebbe essere l'importatore ai sensi dell'articolo 3(16) (immette sul mercato dell'Unione un prodotto a marchio non UE), il distributore ai sensi dell'articolo 3(17) (rende disponibile il prodotto dopo l'importatore senza incidere sulle sue proprietà) o il mandatario ai sensi dell'articolo 3(15) e dell'articolo 18 (agisce per conto del fabbricante in forza di un mandato scritto). Un terzo che modifica sostanzialmente un prodotto dopo l'immissione sul mercato è considerato il fabbricante della versione modificata ai sensi dell'articolo 22; la stessa analisi si applica via articolo 3(13) quando chi modifica immette sul mercato il prodotto modificato con il proprio nome. Per la matrice completa di classificazione dei ruoli e l'albero decisionale che confronta tutti e cinque i ruoli, si veda chi deve rispettare il CRA.
L'articolo 13 in sintesi
| Par. | Dovere | Punto chiave |
|---|---|---|
| 13(1) | Progettare e produrre rispetto all'allegato I parte I | I requisiti essenziali sono obbligatori, modulati dalla valutazione del rischio di cibersicurezza. |
| 13(2)–(4) | Valutazione del rischio di cibersicurezza | Documentata, aggiornata per l'intero periodo di supporto, inclusa nella documentazione tecnica ai sensi dell'articolo 31. |
| 13(5)–(7) | Due diligence sui componenti | Comprende i componenti gratuiti e open source. Documentare le vulnerabilità di cui il fabbricante viene a conoscenza; segnalarle a monte e porvi rimedio. |
| 13(8) | Periodo di supporto | Almeno 5 anni, o il periodo di uso atteso se inferiore. Documentato nella documentazione tecnica. Comprende gli obblighi di gestione delle vulnerabilità e di policy CVD. |
| 13(9) | Disponibilità degli aggiornamenti di sicurezza | Ogni aggiornamento di sicurezza resta disponibile per almeno 10 anni dall'emissione, o per il resto del periodo di supporto, a seconda di quale sia più lungo. |
| 13(10)–(11) | Versioni software sostanzialmente modificate | La conformità all'allegato I parte II punto (2) può applicarsi solo all'ultima versione qualora gli utenti vi abbiano accesso libero; sono ammessi archivi pubblici delle versioni non più supportate con avvertenze sui rischi. |
| 13(12)–(14) | Documentazione tecnica pre-immissione + valutazione della conformità + CE; controlli di produzione in serie | Redigere la documentazione tecnica ai sensi dell'articolo 31; effettuare o far effettuare la valutazione della conformità ai sensi dell'articolo 32; redigere la DoC UE e apporre il CE; mantenere procedure affinché la produzione in serie resti conforme. |
| 13(13) | Conservazione | Documentazione tecnica e DoC UE a disposizione delle autorità di vigilanza del mercato per almeno 10 anni o per il periodo di supporto, a seconda di quale sia più lungo. |
| 13(15)–(16) | Identificazione del prodotto + identificazione del fabbricante | Numero di tipo/lotto/serie; nome del fabbricante, denominazione commerciale o marchio, indirizzo postale, contatto digitale, riprodotti anche nelle informazioni dell'allegato II. |
| 13(17) | Punto unico di contatto | Consente agli utenti di scegliere il mezzo di comunicazione preferito. Non deve essere limitato a strumenti automatizzati. |
| 13(18) | Accompagnamento dell'allegato II | Informazioni e istruzioni in una lingua facilmente comprensibile per gli utenti e per la vigilanza del mercato, accessibili online per lo stesso periodo di conservazione. |
| 13(19) | Data di fine del periodo di supporto | Specificata al momento dell'acquisto, almeno con mese e anno. Mostrare agli utenti la notifica di fine supporto ove tecnicamente fattibile. |
| 13(20) | Consegna della DoC UE | DoC integrale o DoC semplificata contenente l'indirizzo internet esatto presso cui è consultabile la DoC integrale. |
| 13(21)–(22) | Misure correttive post-immissione + cooperazione | Ritirare, richiamare o riportare a conformità non appena si abbia consapevolezza della non conformità. Fornire tutte le informazioni alla vigilanza del mercato a richiesta motivata. |
| 13(23) | Cessazione dell'attività | Informare la vigilanza del mercato e, con ogni mezzo disponibile, gli utenti prima che la cessazione abbia effetto. |
| 13(24)–(25) | Formato dello SBOM + valutazioni delle dipendenze | La Commissione può specificare il formato dello SBOM con atti di esecuzione. L'ADCO può condurre valutazioni delle dipendenze a livello di Unione. |
Allegato I: i requisiti essenziali di cibersicurezza
L'allegato I si articola in due parti. La parte I elenca 13 requisiti relativi alle proprietà del prodotto, modulati dalla valutazione del rischio di cibersicurezza del fabbricante ai sensi dell'articolo 13(2). La parte II elenca 8 requisiti relativi ai processi di gestione delle vulnerabilità del fabbricante; questi non sono modulati dal rischio e si applicano a prescindere dal tipo o dalla classe di prodotto.
Parte I: proprietà del prodotto (articolo 13(1), allegato I parte I)
I prodotti con elementi digitali sono progettati, sviluppati e prodotti per garantire un livello di cibersicurezza adeguato sulla base dei rischi. Sulla base della valutazione del rischio di cibersicurezza ai sensi dell'articolo 13(2), si applicano i seguenti requisiti, ove applicabili:
| Codice | Requisito |
|---|---|
| (a) | Resi disponibili senza vulnerabilità sfruttabili note |
| (b) | Configurazione sicura per impostazione predefinita; ripristino allo stato originario disponibile (per i prodotti su misura per utenti aziendali è possibile concordare diversamente) |
| (c) | Vulnerabilità affrontabili tramite aggiornamenti di sicurezza; aggiornamenti automatici installati entro un lasso di tempo adeguato per impostazione predefinita, con possibilità di opt-out e rinvio, ove applicabile |
| (d) | Protezione dall'accesso non autorizzato (autenticazione, gestione di identità o accessi, segnalazione di possibili accessi non autorizzati) |
| (e) | Riservatezza dei dati memorizzati, trasmessi, trattati, compresa la cifratura at rest o in transito con meccanismi allo stato dell'arte |
| (f) | Protezione dell'integrità di dati, comandi, programmi, configurazione; segnalazione delle alterazioni |
| (g) | Minimizzazione dei dati: trattare solo dati adeguati, pertinenti e limitati alla finalità prevista |
| (h) | Disponibilità delle funzioni essenziali e di base, anche dopo un incidente; resilienza al denial-of-service |
| (i) | Minimizzare l'impatto negativo sulla disponibilità dei servizi forniti da altri dispositivi o reti |
| (j) | Limitare le superfici di attacco, comprese le interfacce esterne |
| (k) | Ridurre l'impatto degli incidenti tramite meccanismi e tecniche di mitigazione dello sfruttamento |
| (l) | Fornire informazioni di sicurezza registrando e monitorando l'attività interna pertinente, con opt-out per l'utente |
| (m) | Consentire agli utenti di rimuovere in modo sicuro e agevole tutti i dati e le impostazioni; assicurare il trasferimento sicuro dei dati ove applicabile |
La clausola «ove applicabile» dell'allegato I parte I, punto (2), significa che la valutazione del rischio del fabbricante determina quali requisiti della parte I vincolino il prodotto. Quando un requisito non è applicabile, la documentazione tecnica deve includere una chiara giustificazione ai sensi dell'articolo 13(4).
Parte II: gestione delle vulnerabilità (articolo 13(8), allegato I parte II)
La parte II è incondizionata: si applica per l'intero periodo di supporto a prescindere dalla classe di prodotto o dal profilo di rischio.
| Codice | Requisito |
|---|---|
| (1) | Identificare e documentare vulnerabilità e componenti, compreso un software bill of materials (SBOM) in un formato comunemente utilizzato e leggibile da macchina che copra almeno le dipendenze di primo livello |
| (2) | Affrontare e porre rimedio alle vulnerabilità senza ritardo tramite aggiornamenti di sicurezza; ove tecnicamente fattibile, separare gli aggiornamenti di sicurezza dagli aggiornamenti di funzionalità |
| (3) | Applicare test e revisioni efficaci e regolari della sicurezza del prodotto |
| (4) | Una volta disponibile un aggiornamento di sicurezza, condividere e divulgare pubblicamente informazioni sulle vulnerabilità corrette (descrizione, prodotti interessati, impatti, gravità, indicazioni di rimedio). È possibile rinviare la divulgazione pubblica in casi debitamente giustificati finché gli utenti non possano applicare la patch |
| (5) | Mettere in atto e applicare una policy di divulgazione coordinata delle vulnerabilità (CVD) |
| (6) | Facilitare la condivisione di informazioni su potenziali vulnerabilità (anche in componenti di terze parti) fornendo un indirizzo di contatto per le segnalazioni di vulnerabilità |
| (7) | Meccanismi per distribuire in modo sicuro gli aggiornamenti, in modo che le vulnerabilità siano corrette tempestivamente e, ove applicabile, automaticamente |
| (8) | Diffondere gli aggiornamenti di sicurezza senza ritardo; a titolo gratuito salvo diverso accordo con un utente aziendale per prodotti su misura; con messaggi di advisory agli utenti |
La parte II decorre dall'immissione sul mercato per tutto il periodo di supporto (articolo 13(8)). Gli aggiornamenti di sicurezza restano disponibili per almeno 10 anni dall'emissione o per il resto del periodo di supporto, a seconda di quale sia più lungo (articolo 13(9)).
Artefatti pre-immissione sul mercato: cosa deve esistere prima di immettere il prodotto sul mercato
Quattro artefatti devono esistere prima che il prodotto sia immesso sul mercato. Ciascuno è ancorato a uno specifico articolo del CRA e produce uno specifico atto di conformità: il fascicolo che il fabbricante conserva, la valutazione che svolge, la dichiarazione che firma, la marcatura che appone.
| Artefatto | Ancoraggio | Cosa contiene o richiede |
|---|---|---|
| Documentazione tecnica | Articolo 31, allegato VII (redatta ai sensi dell'articolo 13(12)) | Descrizione del prodotto, informazioni di progettazione e sviluppo, valutazione del rischio di cibersicurezza ai sensi dell'articolo 13(2), norme armonizzate o specifiche comuni applicate, percorso e risultato della valutazione della conformità, DoC UE e processo di gestione delle vulnerabilità. Conservata per almeno 10 anni o per il periodo di supporto, a seconda di quale sia più lungo (articolo 13(13)). |
| Valutazione della conformità | Articolo 32 | Modulo A di autovalutazione solo per i prodotti di classe predefinita. La classe importante II per impostazione predefinita, e i prodotti critici in assenza di uno schema europeo di certificazione di cibersicurezza, richiedono il modulo B+C o il modulo H tramite un organismo notificato. La classe importante I può usare il modulo A solo quando le norme armonizzate, le specifiche comuni o uno schema di certificazione di cibersicurezza siano pienamente applicati. |
| Dichiarazione di conformità UE | Articolo 13(20), articolo 28, allegato V | DoC integrale fornita con il prodotto o DoC semplificata contenente l'indirizzo internet esatto della DoC integrale. L'allegato V fissa i contenuti: nome e indirizzo del fabbricante, identificazione del prodotto, dichiarazione di conformità all'allegato I, norme applicate con numeri di riferimento e date, nome e numero dell'organismo notificato ove applicabile, riferimento al certificato, data, firma, nome e funzione del firmatario. |
| Marcatura CE | Articolo 30, Regolamento (CE) n. 765/2008 | Almeno 5 mm di altezza, visibile, leggibile, indelebile, sul prodotto o sulla sua targhetta. Quando le dimensioni o la natura non lo consentono, sull'imballaggio e sui documenti di accompagnamento. Quando un organismo notificato è intervenuto nel controllo della produzione, il suo numero identificativo a quattro cifre segue la marcatura CE. |
La scelta del modulo di valutazione della conformità è la decisione più conseguente di questa sezione. La tabella e il diagramma decisionale qui sotto forniscono il dettaglio riga per riga.
| Modulo | Quando |
|---|---|
| A controllo interno della produzione | Solo prodotti di classe predefinita |
| B + C esame UE del tipo + controllo della produzione | Classe importante II per impostazione predefinita; classe I quando non si applichi alcuna norma armonizzata pertinente, specifica comune o schema europeo di certificazione di cibersicurezza |
| H garanzia totale di qualità | Alternativa per i prodotti importanti; obbligatoria per i prodotti critici in assenza di uno schema europeo di certificazione di cibersicurezza che copra i requisiti |
Si vedano la guida alla documentazione tecnica, la guida alla valutazione della conformità, la guida alla classificazione dei prodotti e la guida alla dichiarazione di conformità per i dettagli di ciascun artefatto.
Scadenze di segnalazione per i fabbricanti (articolo 14)
L'articolo 14 stabilisce due flussi di segnalazione per i fabbricanti, entrambi instradati simultaneamente al CSIRT designato come coordinatore e a ENISA tramite la piattaforma unica di segnalazione ai sensi dell'articolo 16. I due flussi condividono la cadenza 24h/72h ma hanno scadenze del rapporto finale diverse, un punto frequentemente frainteso.
| Flusso | Allerta precoce 24h | Notifica 72h | Rapporto finale |
|---|---|---|---|
| Vulnerabilità attivamente sfruttata (14(1)–(2)) | Entro 24h dalla consapevolezza | Entro 72h dalla consapevolezza | 14 giorni dopo che una misura correttiva o di attenuazione è disponibile |
| Incidente grave (14(3)–(5)) | Entro 24h dalla consapevolezza | Entro 72h dalla consapevolezza | Un mese dopo la notifica a 72h |
Il conto del rapporto finale per le vulnerabilità parte quando la patch è pronta, non dal momento della consapevolezza; il divario può essere di settimane o mesi. Il conto del rapporto finale per gli incidenti gravi è ancorato alla notifica a 72h, quindi nella pratica al giorno 33 dalla consapevolezza. Si veda la guida cluster sulla segnalazione delle vulnerabilità per il flusso operativo, l'instradamento al CSIRT coordinatore ai sensi dell'articolo 14(7) (compresa la cascata di ripiego per i fabbricanti non UE), il dovere di notifica all'utente ai sensi dell'articolo 14(8) e i meccanismi della piattaforma unica di segnalazione dell'articolo 16.
Periodo di supporto e doveri post-immissione
L'articolo 13(8) fissa il periodo di supporto in almeno 5 anni, o nel periodo di uso atteso se inferiore; gli aggiornamenti di sicurezza restano disponibili per almeno 10 anni dall'emissione ai sensi dell'articolo 13(9). La data di fine (almeno mese e anno) deve essere comunicata al momento dell'acquisto ai sensi dell'articolo 13(19). Si veda la guida cluster sul periodo di supporto per i criteri di determinazione, le regole sulle versioni software sostanzialmente modificate ai punti 13(10) e (11) e il dovere di notifica di fine vita.
Due doveri post-immissione del fabbricante coesistono accanto al regime del periodo di supporto e non hanno una propria pagina cluster. Articolo 13(21)–(22): alla consapevolezza della non conformità all'allegato I, il fabbricante adotta immediatamente misure correttive, ovvero ritira o richiama secondo necessità, e su richiesta motivata di un'autorità di vigilanza del mercato fornisce tutte le informazioni necessarie a dimostrare la conformità in una lingua comprensibile per l'autorità. Articolo 13(23): il fabbricante che cessa l'attività informa le autorità di vigilanza del mercato competenti prima che la cessazione abbia effetto, e informa gli utenti con ogni mezzo disponibile e nella misura del possibile.
Fabbricante vs modificatore sostanziale ai sensi dell'articolo 22
L'articolo 22 copre un caso diverso dalla classificazione dell'articolo 3(13). Testualmente:
"Una persona fisica o giuridica, diversa dal fabbricante, dall'importatore o dal distributore, che effettua una modifica sostanziale di un prodotto con elementi digitali e lo rende disponibile sul mercato è considerata fabbricante ai fini del presente regolamento."
L'articolo 22 esclude esplicitamente fabbricanti, importatori e distributori. Si applica a terzi al di fuori della catena dell'articolo 3: integratori di sistema, rivenditori a valore aggiunto, dipartimenti IT aziendali che modificano prodotti del fornitore prima della redistribuzione. L'ambito dell'articolo 22(2) è netto: il modificatore è considerato fabbricante per la parte del prodotto interessata dalla modifica sostanziale, o per l'intero prodotto se la modifica ha un impatto sulla cibersicurezza del prodotto nel suo complesso. La "modifica sostanziale" è definita dall'articolo 3(30) come una modifica successiva all'immissione sul mercato che incide sulla conformità all'allegato I parte I o modifica la finalità prevista per cui il prodotto è stato valutato.
| Caso | Classificazione |
|---|---|
| Ingegneria originale, marchio originale | Fabbricante (articolo 3(13)) |
| Marchio originale; un terzo aggiunge funzioni firmware dopo l'immissione sul mercato che cambiano la superficie di attacco | Il fabbricante originale resta tale; il terzo è anch'esso fabbricante per la parte modificata ai sensi dell'articolo 22 |
| Rebrand white-label di un prodotto non UE da parte di un'entità UE | L'entità UE è il fabbricante ai sensi dell'articolo 3(13); non si tratta di "escalation ai sensi dell'articolo 22" |
| Un integratore UE assembla prodotti compatibili senza modificarne gli interni | Distributore ai sensi dell'articolo 3(17), non articolo 22 |
| Un IT aziendale installa una build firmware personalizzata sui dispositivi del fornitore e poi li rivende | Modificatore ai sensi dell'articolo 22; considerato fabbricante per il prodotto modificato |
La conseguenza pratica dell'articolo 22 quando coinvolge un terzo: pieni obblighi degli articoli 13 e 14 per la parte modificata o per l'intero prodotto, compresi un nuovo fascicolo tecnico, una nuova DoC, un nuovo CE sotto la responsabilità del modificatore, e la cadenza di segnalazione dell'articolo 14 sopra indicata.
Calendario di attuazione
Errori comuni
| Affermazione | Perché non regge |
|---|---|
| "Non siamo davvero il fabbricante; un OEM in un altro paese lo costruisce." | L'articolo 3(13) cattura il titolare del marchio. L'esternalizzazione della costruzione non trasferisce l'obbligo. |
| "La nostra policy di sicurezza è sufficiente; non ci serve fare una valutazione dell'allegato I parte I." | L'articolo 13(2) rende obbligatoria la valutazione del rischio di cibersicurezza. La documentazione tecnica deve includere la valutazione ai sensi dell'articolo 13(4). |
| "I nostri clienti non chiedono uno SBOM, quindi non lo facciamo." | L'allegato I parte II punto (1) richiede l'identificazione di vulnerabilità e componenti, compreso uno SBOM in un formato comunemente utilizzato e leggibile da macchina. L'interesse del cliente è irrilevante. |
| "Il nostro chatbot è il punto unico di contatto." | L'articolo 13(17) richiede che l'utente possa scegliere il proprio mezzo di comunicazione preferito. I mezzi non possono essere limitati a strumenti automatizzati. |
| "Cinque anni dal lancio del prodotto sono sufficienti per il periodo di supporto." | L'articolo 13(8) fa decorrere il periodo di supporto dall'immissione sul mercato di ciascuna unità, non dal lancio. Le unità immesse al quarto anno portano gli obblighi di supporto fino al nono anno. |
| "La scadenza del rapporto finale a 14 giorni vale anche per gli incidenti." | No. Vulnerabilità: 14 giorni dopo che la misura correttiva è disponibile. Incidenti gravi: un mese dopo la notifica a 72h (articolo 14(2)(c) vs 14(4)(c)). |
| "Il nostro SLA copre già le vulnerabilità; non ci serve segnalare a ENISA." | La segnalazione ai sensi dell'articolo 14 è verso il CSIRT designato come coordinatore e ENISA simultaneamente, tramite la piattaforma unica di segnalazione ai sensi dell'articolo 16. Gli SLA con i clienti non la sostituiscono. |
| "Abbiamo un'assicurazione per le violazioni." | Le sanzioni amministrative ai sensi dell'articolo 64 non sono assicurabili nella maggior parte degli Stati membri. Il trasferimento del rischio non può sostituire la conformità. |
| "L'articolo 14 si applica solo quando avremo un'entità europea." | Il terzo comma dell'articolo 14(7) instrada i fabbricanti non UE attraverso una cascata di CSIRT in base alla localizzazione del mandatario, dell'importatore, del distributore o dell'utente. Il dovere di segnalazione parte l'11 settembre 2026 a prescindere. |
| "Rinviamo la divulgazione pubblica di ogni vulnerabilità alla successiva release trimestrale." | L'allegato I parte II punto (4) consente il rinvio solo in casi debitamente giustificati finché gli utenti non possano applicare la patch. Il batching trimestrale di routine non è un "caso debitamente giustificato". |
Domande Frequenti
Cos'è un fabbricante ai sensi del CRA?
Il titolare del marchio. Il fabbricante è chi sviluppa o commissiona un prodotto (anche tramite una fabbrica esternalizzata) e lo immette sul mercato con il proprio nome o marchio, a titolo oneroso, di monetizzazione o gratuito. È il marchio sul prodotto, non l'ubicazione della linea di produzione, a decidere chi sia il fabbricante. Gli amministratori di software open source sono un regime separato e più leggero; la sola rivendita al consumo senza marchio è distribuzione, non fabbricazione. (Articolo 3(13); regime degli amministratori all'articolo 3(14).)
Sono fabbricante o importatore?
Dipende dal marchio che compare sul prodotto. Il proprio nome o marchio sul prodotto rende il fabbricante, a prescindere da dove il prodotto sia costruito. Il nome o marchio di una persona non UE su un prodotto immesso sul mercato dell'Unione da un'entità UE rende l'importatore. La linea di demarcazione è il marchio visibile per l'acquirente. Apponga il proprio marchio su un prodotto costruito fuori UE e diventa il fabbricante con il pieno fascio di obblighi degli articoli 13 e 14; mantenga il marchio originale e lo instradi attraverso la propria entità UE, e si avrà il fascio di verifiche dell'importatore. (Articoli 3(13) e 3(16); obblighi del fabbricante agli articoli 13 e 14; obblighi dell'importatore all'articolo 19.)
Fabbricante vs mandatario: qual è la differenza?
Il rappresentante autorizzato è un delegato documentale, non un sostituto del fabbricante. Con mandato scritto, detiene la DoC UE e la documentazione tecnica a disposizione delle autorità di vigilanza del mercato, risponde a richieste motivate e coopera nelle azioni di applicazione. Ingegneria, valutazione del rischio, gestione delle vulnerabilità, valutazione della conformità e doveri di produzione in serie restano in capo al fabbricante. Il rappresentante autorizzato non immette il prodotto sul mercato; tale atto resta in capo al fabbricante o al suo importatore. La nomina è facoltativa, non obbligatoria. (Mandato agli articoli 3(15) e 18(1)–(3); doveri che restano in capo al fabbricante agli articoli 13(1)–(11), 13(12) primo comma e 13(14).)
Esistono esenzioni PMI per i fabbricanti?
Gli obblighi sostanziali si applicano a prescindere dalle dimensioni. L'unica concessione specifica per le PMI sulle sanzioni protegge le microimprese e le piccole imprese dalle sanzioni amministrative legate specificamente alle scadenze dell'allerta precoce a 24h, e nient'altro. Gli amministratori di software open source godono di un'esenzione più ampia dalle sanzioni amministrative ma sono una categoria diversa. Le autorità devono tenere debito conto delle dimensioni del trasgressore (PMI e start-up incluse) nel determinare l'importo delle sanzioni nei singoli casi; si tratta di un fattore di commisurazione su tutto il regime, non di un'esenzione dagli obblighi. (Concessione PMI all'articolo 64(10)(a) per le scadenze di cui all'articolo 14(2)(a) e 14(4)(a); fattore di commisurazione all'articolo 64(5)(c); esenzione più ampia per gli amministratori OSS agli articoli 3(14) e 64(10)(b).)
Quando si applicano gli obblighi del fabbricante CRA?
Due date. La segnalazione delle vulnerabilità e degli incidenti ai sensi dell'articolo 14 parte l'**11 settembre 2026**. Il resto del regime del fabbricante (articolo 13, allegato I, valutazione della conformità, DoC UE, marcatura CE, documentazione tecnica) parte l'**11 dicembre 2027**. I fabbricanti che immettono prodotti sul mercato UE devono disporre di una capacità di segnalazione ai sensi dell'articolo 14 entro settembre 2026, anche se il programma completo di conformità ai sensi dell'articolo 13 è ancora in costruzione. (Applicabilità all'articolo 71; segnalazione ai sensi dell'articolo 14 dall'11 settembre 2026; articoli 13, 30, 31, 32 e allegato I dall'11 dicembre 2027.)
Cos'è il periodo di supporto e come si determina?
Almeno 5 anni, o il periodo di uso atteso se inferiore. Il fabbricante determina il periodo tenendo conto delle ragionevoli aspettative degli utenti, della natura e della finalità prevista del prodotto, del diritto dell'Unione pertinente sulla durata di vita dei prodotti, dei periodi di supporto di prodotti simili sul mercato, della disponibilità dell'ambiente operativo, dei periodi di supporto dei componenti di terze parti integrati e degli orientamenti dell'ADCO e della Commissione. Le informazioni considerate devono essere incluse nella documentazione tecnica. La data di fine (almeno mese e anno) deve essere comunicata al momento dell'acquisto. Una volta emessi, gli aggiornamenti di sicurezza restano disponibili per almeno 10 anni o per il resto del periodo di supporto, a seconda di quale sia più lungo. (Articoli 13(8), 13(9) e 13(19).)
Qual è la differenza tra una "vulnerabilità attivamente sfruttata" e un "incidente grave" ai fini dell'articolo 14?
Definizioni diverse, scadenze di relazione finale diverse. Una vulnerabilità attivamente sfruttata è quella per cui esistono evidenze affidabili che un attore malevolo l'abbia sfruttata senza il permesso del titolare del sistema. Un incidente grave è quello che incide negativamente (o può incidere) sulla capacità del prodotto di proteggere la disponibilità, l'autenticità, l'integrità o la riservatezza di dati o funzioni sensibili o importanti, o che ha portato (o può portare) all'introduzione o esecuzione di codice malevolo nel prodotto o nella rete di un utente. Entrambi i flussi usano la cadenza allerta precoce 24h + notifica 72h, ma i rapporti finali differiscono: per le vulnerabilità si segnala 14 giorni dopo che una misura correttiva è disponibile, per gli incidenti entro un mese dalla notifica a 72h. (Vulnerabilità attivamente sfruttata all'articolo 3(42); incidente grave all'articolo 14(5); scadenze all'articolo 14(2) e (4).)
I componenti open source nel nostro prodotto incidono sui nostri obblighi di fabbricante?
Sì. Il fabbricante deve esercitare due diligence quando integra componenti di terze parti, compresi componenti software gratuiti e open source non messi a disposizione sul mercato nel corso di un'attività commerciale. All'identificazione di una vulnerabilità in un componente, il fabbricante la segnala alla persona o entità che lo mantiene e vi pone rimedio. Quando ha sviluppato una correzione, condivide il codice o la documentazione pertinente con il manutentore ove appropriato, in formato leggibile da macchina ove applicabile. Il prodotto richiede uno SBOM che copra almeno le dipendenze di primo livello. Gli amministratori di software open source sono una categoria separata con un proprio regime più leggero. (Articoli 13(5)–(7); SBOM all'allegato I parte II, punto (1); categoria degli amministratori all'articolo 3(14).)