Il Regolamento (UE) 2024/2847 instrada le vulnerabilità segnalabili e gli incidenti gravi di ogni fabbricante attraverso un unico canale: la Piattaforma Unica di Segnalazione ENISA (SRP). La piattaforma non è ancora operativa; diventa operativa l'11 settembre 2026, quando gli obblighi di segnalazione iniziano ad applicarsi. ENISA ha comunicato che fornirà il manuale di accesso e le istruzioni di registrazione, insieme a materiale di formazione e supporto per le prove operative, nel corso di giugno 2026, quindi le modalità di registrazione sono ancora in fase di pubblicazione. Questa pagina illustra cosa i fabbricanti dovrebbero preparare fin d'ora, il flusso di registrazione atteso e come predisporre un'escalation interna che rispetti il contatore di 24 ore. Per le cadenze si veda la segnalazione delle vulnerabilità.
Sintesi
- La Single Reporting Platform è l'unico canale di segnalazione. I fabbricanti notificano ENISA e il CSIRT coordinatore tramite la piattaforma. L'email a un CSIRT nazionale non è un'alternativa equivalente.
- Prepararsi prima del primo evento segnalabile. Il contatore di 24 ore non si ferma per problemi di registrazione o instradamento. Tenere pronti dati di persona giuridica, prodotti, contatti ed escalation prima dell'apertura della Single Reporting Platform.
- I fabbricanti sono i soggetti obbligati. Importatori e distributori informano il fabbricante; non presentano segnalazioni in proprio. Un mandato di mandatario può coprire la segnalazione per un fabbricante non UE.
- Separare le finalità di contatto. Il punto di contatto unico per gli utilizzatori è il canale rivolto agli utenti. Il contatto della Single Reporting Platform per le autorità va gestito separatamente, così ENISA e il CSIRT coordinatore raggiungono il team di segnalazione.
- L'instradamento CSIRT segue lo stabilimento principale. Le notifiche vanno al CSIRT designato come coordinatore nello Stato membro dello stabilimento principale, con una catena di riserva per i fabbricanti non UE descritta più sotto in instradamento CSIRT.
L'onboarding è una scadenza di prontezza, non un compito da avviare dopo il primo evento che fa scattare il contatore di 24 ore.
Cosa dice il CRA sulla Single Reporting Platform
ENISA istituisce e gestisce la Single Reporting Platform. Gli Stati membri ed ENISA possono predisporre i propri terminali per la notifica elettronica all'interno di questa architettura. Ne derivano tre fatti operativi:
- ENISA gestisce la Single Reporting Platform. Gli Stati membri ed ENISA possono comunque predisporre propri terminali per la notifica elettronica.
- Una presentazione raggiunge entrambi i livelli. Il fabbricante presenta tramite il terminale del CSIRT coordinatore e la notifica è contemporaneamente accessibile a ENISA.
- L'instradamento transfrontaliero avviene dentro la piattaforma. Il CSIRT ricevente diffonde la notifica agli altri CSIRT il cui territorio è stato indicato dal fabbricante come interessato.
La Single Reporting Platform riceve anche le segnalazioni volontarie ed è il canale per la notifica a 72 ore e per la relazione finale. ENISA ha comunicato che la funzionalità di segnalazione volontaria sarà abilitata dopo l'11 settembre 2026, quindi segue l'avvio della segnalazione obbligatoria anziché anticiparla. Entrambi i flussi condividono la stessa architettura della piattaforma, anche se ENISA deve ancora finalizzare le schermate operative.
Chi deve registrarsi
I fabbricanti hanno l'obbligo di segnalazione obbligatoria tramite la Single Reporting Platform. L'obbligo riguarda i fabbricanti di prodotti con elementi digitali, non il resto della catena di fornitura.
Importatori e distributori informano il fabbricante. Non si registrano sulla Single Reporting Platform, non presentano segnalazioni in proprio e non ereditano il contatore di 24 ore. Il loro obbligo è informare il fabbricante senza indebito ritardo quando vengono a conoscenza di una vulnerabilità. Si vedano le pagine importatore e distributore.
I fabbricanti non UE hanno bisogno di chiarezza sull'instradamento. Un mandato scritto di mandatario può coprire la segnalazione obbligatoria perché le esclusioni del mandato non includono la segnalazione stessa. Senza uno stabilimento principale nell'Unione, l'instradamento segue la catena di riserva: mandatario, importatore, distributore, quindi concentrazione di utenti.
Prerequisiti pre-registrazione
Sei elementi che l'organizzazione dovrebbe avere pronti prima della registrazione. Le schermate esatte della Single Reporting Platform restano dipendenti dalle specifiche, ma la mancanza di uno solo rallenta la prima presentazione.
| Requisito | Cosa serve |
|---|---|
| Persona giuridica nello Stato membro dello stabilimento principale | Un registro inequivocabile della persona giuridica che consenta alla piattaforma di assegnare il CSIRT coordinatore (lo Stato "in cui sono prevalentemente adottate le decisioni relative alla cibersicurezza dei suoi prodotti con elementi digitali"). |
| Punto di contatto unico per gli utilizzatori | Un canale rivolto agli utenti che "non limiti tale mezzo a strumenti automatizzati". Le caselle di posta con risposta automatica esclusiva non sono ammesse. Pubblicato nelle informazioni all'utilizzatore che accompagnano il prodotto. |
| Contatto di sicurezza per le autorità | Un contatto per ENISA e il CSIRT coordinatore, operativamente distinto dal canale rivolto agli utenti. I campi esatti di registrazione restano soggetti alle specifiche di ENISA. |
| Prova di identità e autorità | Prova che chi presenta la notifica possa agire per il fabbricante. Gli esatti meccanismi di credenziali restano soggetti alle specifiche e agli orientamenti di ENISA. |
| Inventario del portafoglio prodotti | Un elenco aggiornato dei prodotti e degli Stati membri in cui ciascuno è stato messo a disposizione. Senza di esso, l'allerta precoce non può indicare correttamente i territori interessati. |
| Escalation interna documentata | Una procedura scritta che porti l'organizzazione dal rilevamento alla presentazione sulla piattaforma entro 24 ore, con copertura fuori orario. "Senza indebito ritardo e in ogni caso entro 24 ore" non lascia spazio a escalation improvvisate. |
Cronoprogramma: da oggi al primo evento segnalabile
ENISA sta costruendo la piattaforma in cooperazione con la rete dei CSIRT. Le schermate esatte di registrazione, il meccanismo di credenziali e i terminali per la notifica elettronica restano soggetti alle specifiche di ENISA e agli atti di esecuzione della Commissione. ENISA ha comunicato che il manuale di accesso e le istruzioni di registrazione saranno forniti nel corso di giugno 2026, ma non sono ancora stati pubblicati. Il quadro riportato di seguito riflette il testo del regolamento e quanto pubblicamente noto al 10 giugno 2026. Verificare la pagina ufficiale ENISA della Single Reporting Platform prima di trattare qualsiasi passaggio specifico dell'interfaccia come definitivo. Il passaggio dell'11 settembre 2026 è fissato nel calendario CRA.
Flusso di registrazione atteso
Le schermate esatte della Single Reporting Platform restano dipendenti dalle specifiche. ENISA non ha ancora pubblicato il flusso definitivo, quindi questa sezione è una checklist di preparazione, non una guida finale all'interfaccia.
La registrazione dovrebbe coprire quattro elementi:
- Persona giuridica: chi è il fabbricante e dove si trova il suo stabilimento principale.
- Contatto per le autorità: il contatto della Single Reporting Platform per i messaggi di ENISA e del CSIRT coordinatore, separato dal canale rivolto agli utenti.
- Copertura prodotti: il portafoglio prodotti e gli Stati membri in cui i prodotti interessati sono messi a disposizione.
- Instradamento del coordinatore: l'assegnazione del CSIRT secondo le regole dello stabilimento principale e della catena di riserva.
Dopo la registrazione, lo stesso terminale gestisce le presentazioni successive: l'allerta precoce a 24 ore, la notifica a 72 ore, le relazioni intermedie richieste dal CSIRT e la relazione finale.
ENISA ha anche comunicato che in questa fase non sarà fornita un'API per la Single Reporting Platform. La prontezza alla segnalazione iniziale va pianificata attorno all'invio tramite la piattaforma stessa, non attorno all'automazione via API dagli strumenti interni.
Contenuto di ogni presentazione alla Single Reporting Platform
L'Articolo 14 definisce tre fasi di notifica per ogni evento segnalabile. I requisiti di contenuto differiscono tra il flusso delle vulnerabilità attivamente sfruttate e il flusso degli incidenti gravi.
Vulnerabilità attivamente sfruttata:
| Fase | Scadenza | Contenuto minimo richiesto |
|---|---|---|
| Allerta precoce | 24 ore dalla consapevolezza | Indicazione che una vulnerabilità è attivamente sfruttata. Stati membri in cui il prodotto è messo a disposizione, ove noti. |
| Notifica della vulnerabilità | 72 ore dalla consapevolezza | Informazioni generali sul prodotto. Natura generale dello sfruttamento e della vulnerabilità. Misure correttive o di attenuazione adottate. Misure che gli utenti possono adottare. Indicazione della sensibilità. |
| Relazione finale | 14 giorni dalla disponibilità di una misura correttiva o di attenuazione | Descrizione della vulnerabilità, gravità e impatto compresi. Informazioni su eventuali attori malevoli che la sfruttano, ove disponibili. Dettagli sull'aggiornamento di sicurezza o sulla misura correttiva. |
Incidente grave con impatto sulla sicurezza del prodotto:
| Fase | Scadenza | Contenuto minimo richiesto |
|---|---|---|
| Allerta precoce | 24 ore dalla consapevolezza | Indicazione se l'incidente è sospettato di essere causato da atti illeciti o malevoli. Stati membri in cui il prodotto è messo a disposizione, ove noti. |
| Notifica dell'incidente | 72 ore dalla consapevolezza | Natura dell'incidente. Valutazione iniziale. Misure correttive o di attenuazione adottate. Misure che gli utenti possono adottare. Indicazione della sensibilità. |
| Relazione finale | 1 mese dalla notifica dell'incidente a 72 ore | Descrizione dettagliata dell'incidente, gravità e impatto compresi. Tipo di minaccia o causa principale che probabilmente l'ha innescato. Misure di attenuazione applicate e in corso. |
Il CSIRT designato come coordinatore può richiedere una relazione intermedia tra la notifica a 72 ore e la relazione finale. Nessuno dei due flussi richiede ID CVE o punteggi CVSS nella fase di allerta precoce. L'obbligo delle 24 ore è di notificare, non di aver completato l'analisi. Il dettaglio tecnico completo va nelle fasi di notifica e di relazione finale.
Escalation interna: rispettare il contatore di 24 ore
Il contatore di 24 ore parte dalla consapevolezza, non dalla conferma. La parte difficile è passare da "abbiamo appena appreso" a "abbiamo appena presentato" entro 24 ore, compresi i periodi fuori orario. Un processo di triage che "richiede di solito 48 ore" è strutturalmente non conforme. Rilevamento, triage, revisione legale in parallelo e presentazione devono stare tutti nello stesso giorno solare, fine settimana e fuori orario inclusi.
| Fase | Entro le 24h? | Note |
|---|---|---|
| Rilevamento | Sì | Engineering interno, segnalazioni dei clienti, monitoraggio, threat intelligence, intake CVD. I percorsi di triage per "attivamente sfruttata" e "incidente grave" devono essere distinti. |
| Triage | Sì | Usare i segnali della valutazione della gravità (CVSS / EPSS / KEV) come input. La prova dello sfruttamento è il trigger; la sola gravità non basta. |
| Revisione legale | In parallelo | Un'attesa seriale del via libera legale fa perdere le 24 ore. Il fabbricante può segnalare la sensibilità e la piattaforma può sospendere la diffusione per motivi di cibersicurezza. |
| Allerta precoce Single Reporting Platform | Sì | Flusso vulnerabilità o flusso incidenti gravi. |
| Notifica a 72 ore | Dopo le 24h | Entro 72 ore dalla consapevolezza. |
| Relazione finale | 14 giorni (vuln) / 1 mese (incidente) | Vulnerabilità: 14 giorni dalla disponibilità della misura correttiva. Incidenti gravi: un mese dalla notifica a 72 ore. |
Instradamento CSIRT
L'instradamento CSIRT segue lo stabilimento principale del fabbricante nell'Unione, cioè lo Stato membro in cui sono prevalentemente adottate le decisioni di cibersicurezza relative al prodotto. Senza uno stabilimento principale nell'Unione, la catena di riserva è lo Stato membro del mandatario, poi dell'importatore, poi del distributore, poi della concentrazione di utenti. Dopo la presentazione, la diffusione transfrontaliera ai CSIRT degli altri Stati membri interessati avviene dentro la Single Reporting Platform.
ENISA ha comunicato che fornirà l'elenco dei CSIRT nazionali designati come coordinatori in una fase successiva. Confermare la propria assegnazione al coordinatore sulla base degli orientamenti di ENISA non appena tale elenco sarà pubblicato.
Single Reporting Platform e contatto diretto con il CSIRT nazionale
Inviare un'email a un CSIRT nazionale non soddisfa l'obbligo di segnalazione CRA, nemmeno quando il fabbricante ha un rapporto di lavoro consolidato con quel CSIRT.
| Canale | Obbligatorio per le segnalazioni CRA? | Cosa copre |
|---|---|---|
| Single Reporting Platform | Sì | Segnalazioni di vulnerabilità attivamente sfruttate. Segnalazioni di incidenti gravi. Notifiche volontarie. Notifiche a 72 ore e relazioni finali. |
| Contatto diretto con il CSIRT nazionale | No | Coordinamento della divulgazione coordinata delle vulnerabilità. Condivisione di threat intelligence di settore. Collaborazione informale nella risposta agli incidenti. |
Il fabbricante che ha un rapporto consolidato con un CSIRT nazionale può mantenerlo per la coordinazione CVD e lo scambio di intelligence di settore. Ogni notifica obbligatoria ai sensi dell'Articolo 14 deve invece transitare per la Single Reporting Platform. La piattaforma gestisce automaticamente l'instradamento transfrontaliero verso gli altri CSIRT degli Stati membri interessati. Una sola presentazione raggiunge tutti i CSIRT competenti.
Errori comuni
- Registrarsi solo dopo il primo evento segnalabile. Il contatore di 24 ore non si ferma per l'onboarding. Registrarsi ben prima dell'11 settembre 2026.
- Una casella generica security@ con risposta automatica. Contrasta con il requisito del canale rivolto agli utenti ed è inadatta come canale della Single Reporting Platform per le autorità.
- Nessun prodotto mappato alla registrazione, o mappatura obsoleta. L'allerta precoce deve indicare gli Stati membri in cui il prodotto è stato messo a disposizione. Senza un inventario aggiornato l'allerta precoce è incompleta.
- Nessuno SLA interno per il contatore di 24 ore. Il percorso dal rilevamento alla presentazione ha bisogno di un budget temporale esplicito.
- Segnalare via email a un CSIRT nazionale. La Single Reporting Platform è il canale designato. L'email a un CSIRT nazionale non è equivalente.
- Trattare il mandatario come un indirizzo di inoltro. Il mandato del mandatario di un fabbricante non UE deve coprire espressamente la segnalazione. Il mandatario deve essere pronto a supportare la presentazione tramite la piattaforma.
Domande frequenti
La Single Reporting Platform è già attiva e quando entra in funzione?
Non ancora. La Single Reporting Platform non è oggi attiva per la segnalazione dei fabbricanti. Entra in funzione l'11 settembre 2026. ENISA la sviluppa con la rete dei CSIRT e da quella data i fabbricanti devono poter presentare tramite la piattaforma le vulnerabilità segnalabili attivamente sfruttate e gli incidenti gravi. ENISA ha comunicato che fornirà il manuale di accesso e le istruzioni di registrazione nel corso di giugno 2026. Fino alla loro pubblicazione il flusso di registrazione, il meccanismo di credenziali e i terminali per la notifica elettronica restano soggetti alle specifiche di ENISA. Verificare con gli orientamenti aggiornati di ENISA prima di affidarsi a un passaggio specifico dell'interfaccia.
Importatori e distributori si registrano sulla Single Reporting Platform?
No. Importatori e distributori non assumono l'obbligo del fabbricante di segnalare tramite la Single Reporting Platform. Il loro obbligo CRA è informare il fabbricante di una vulnerabilità senza indebito ritardo. La segnalazione tramite la piattaforma resta obbligo del fabbricante.
Un fabbricante non UE può registrarsi direttamente?
Possibile, ma conta la catena di riserva. Un mandato scritto di mandatario può coprire la segnalazione obbligatoria perché le esclusioni del mandato non includono la segnalazione stessa. Per un fabbricante senza stabilimento principale nell'Unione, l'instradamento segue quindi la catena disponibile: mandatario, importatore, distributore, poi concentrazione di utenti.
Come capire se segnalare una vulnerabilità attivamente sfruttata o un incidente grave?
I due flussi coprono situazioni diverse. Una vulnerabilità attivamente sfruttata è un difetto nel prodotto del fabbricante che un attore malevolo sta usando contro gli utenti. Un incidente grave è più ampio: qualsiasi incidente che possa compromettere la capacità del prodotto di proteggere la disponibilità, l'autenticità, l'integrità o la riservatezza di dati o funzioni importanti, oppure che possa portare all'introduzione o all'esecuzione di codice malevolo nel prodotto o nei sistemi di un utente. Una compromissione dell'infrastruttura di build, rilascio o manutenzione del fabbricante che mette a rischio gli utenti ne è un esempio, come un attaccante che inserisce codice malevolo nel canale di rilascio degli aggiornamenti.
Una segnalazione da bug bounty o un rapporto di divulgazione coordinata delle vulnerabilità non fa scattare di per sé nessuno dei due flussi. La notifica obbligatoria si applica quando si è in presenza di una vulnerabilità attivamente sfruttata o di un incidente grave qualificante.
Lo stesso attacco può attraversare entrambi i confini contemporaneamente. Se un attaccante sfrutta un difetto nel prodotto e usa quell'accesso per compromettere l'infrastruttura di build, il fabbricante presenta due segnalazioni distinte, una per ciascun flusso, entrambe con un'allerta precoce entro 24 ore dallo stesso momento di consapevolezza.
Da quando parte esattamente il contatore di 24 ore?
Dal momento in cui qualsiasi membro del team di sicurezza dispone di informazioni attendibili che un evento segnalabile è in corso. Non quando il management viene informato. Non quando il team legale conferma. Non quando è stabilita la causa principale.
L'allerta precoce a 24 ore deve contenere soltanto un'indicazione dello sfruttamento attivo e gli Stati membri in cui il prodotto è disponibile. L'analisi tecnica dettagliata va nella notifica a 72 ore. Il Regolamento è costruito così: il fabbricante notifica per primo e conduce le indagini in parallelo.
Non esiste una finestra di valutazione preliminare. Il contatore parte dalla prima consapevolezza attendibile.
E se la presentazione alla Single Reporting Platform fallisce?
Usare prima il percorso della Single Reporting Platform e conservare le prove del problema. La piattaforma è il canale obbligatorio di segnalazione, quindi il comportamento di riserva dovrebbe seguire gli orientamenti di ENISA o del CSIRT coordinatore quando disponibili. I problemi tecnici non eliminano l'obbligo delle 24 ore. Conservare un registro datato del disservizio, del tentativo di presentazione e di ogni contatto alternativo utilizzato.
Il punto di contatto unico per gli utilizzatori coincide con il contatto di registrazione sulla Single Reporting Platform?
No. Il contatto utenti e il contatto della Single Reporting Platform per le autorità servono pubblici diversi. Il contatto rivolto agli utenti supporta le segnalazioni di vulnerabilità degli utenti e non può essere limitato a strumenti automatizzati. Il contatto della piattaforma dovrebbe instradare i messaggi di ENISA e del CSIRT coordinatore al team di segnalazione, anche se ENISA specificherà successivamente i campi esatti di registrazione.