CRA Notifica vulnerabilità: onboarding ENISA SRP (art. 14)

Il Regolamento sulla ciberresilienza dell'UE (Regolamento (UE) 2024/2847) instrada le segnalazioni ai sensi dell'Articolo 14 di ogni fabbricante attraverso un unico canale: la Piattaforma Unica di Segnalazione ENISA (SRP), istituita ai sensi dell'Articolo 16. La piattaforma non è ancora operativa. ENISA la sta sviluppando ai sensi dell'Articolo 16(5); diventerà operativa quando l'Articolo 14 inizierà ad applicarsi, il 11 settembre 2026 (Articolo 71(2)). Questa pagina illustra cosa i fabbricanti dovrebbero preparare fin d'ora, il flusso di registrazione atteso e come strutturare un'escalation interna che rispetti il contatore delle 24 ore. Per le cadenze si veda la segnalazione delle vulnerabilità.

Sintesi

  • La SRP è l'unico canale previsto dall'Articolo 14. L'Articolo 14(1) e il 14(3) richiedono ai fabbricanti di notificare ENISA e il CSIRT coordinatore "tramite la piattaforma unica di segnalazione istituita ai sensi dell'Articolo 16". L'email a un CSIRT nazionale non è un'alternativa equivalente.
  • Registrarsi prima del primo evento segnalabile. Il contatore delle 24h dell'Articolo 14(1) non si sospende per l'onboarding. Una finestra di onboarding tipica di circa una settimana presuppone che credenziali, contatti e dati del portafoglio prodotti siano già pronti.
  • I fabbricanti sono i soggetti obbligati. Importatori e distributori non presentano segnalazioni ai sensi dell'Articolo 14; informano il fabbricante (Articolo 19(5) secondo comma; Articolo 20(4) secondo comma). I rappresentanti autorizzati possono segnalare per conto di un fabbricante non UE se il mandato AR lo prevede.
  • Due contatti, due canali. L'unico punto di contatto dell'Articolo 13(17) è il canale rivolto agli utenti. Il contatto di registrazione SRP è il canale rivolto alle autorità. Entrambi sono obbligatori e non dovrebbero condividere lo stesso indirizzo.
  • L'instradamento CSIRT segue il principale stabilimento. L'Articolo 14(7) indirizza le notifiche al CSIRT designato come coordinatore nello Stato membro del principale stabilimento, con una catena di fallback per i fabbricanti non UE.
11 set 2026
Inizio obbligo di segnalazione
Articolo 71(2)
24h
Allerta precoce SRP
Articolo 14(1)
7 giorni
Onboarding tipico
registrarsi prima di qualsiasi evento segnalabile
€15M / 2,5%
Sanzione massima
Articolo 64(2)

L'onboarding è una scadenza, non un elemento nel backlog: la registrazione deve precedere il primo evento che fa scattare il contatore delle 24 ore.

Cosa dice il Regolamento sulla ciberresilienza riguardo alla SRP

L'Articolo 16(1) è la disposizione costitutiva:

Ai fini delle notifiche di cui all'Articolo 14(1) e (3) e all'Articolo 15(1) e (2), e al fine di semplificare gli obblighi di segnalazione dei fabbricanti, ENISA istituisce una piattaforma unica di segnalazione. La gestione quotidiana e la manutenzione di tale piattaforma sono affidate a ENISA. L'architettura della piattaforma unica di segnalazione consente agli Stati membri e a ENISA di disporre di propri punti di accesso elettronici per le notifiche.

Ne derivano tre fatti operativi. Primo, ENISA gestisce la piattaforma, ma gli Stati membri collegano i propri punti di accesso elettronici per le notifiche. Secondo, l'Articolo 14(7) stabilisce che la notifica "è presentata utilizzando il punto di accesso elettronico del CSIRT designato come coordinatore dello Stato membro in cui i fabbricanti hanno il loro principale stabilimento nell'Unione ed è accessibile simultaneamente a ENISA": una sola presentazione, due destinatari. Terzo, l'Articolo 16(2) attribuisce al CSIRT ricevente il compito di diffondere la notifica agli altri CSIRT il cui territorio è stato indicato dal fabbricante come interessato. L'instradamento transfrontaliero avviene all'interno della piattaforma.

La SRP riceve anche le segnalazioni volontarie ai sensi dell'Articolo 15 ed è il canale per la notifica a 72 ore e per il rapporto finale ai sensi dell'Articolo 14(2) e 14(4). Entrambi i flussi condividono la stessa SRP e la stessa registrazione.

Chi deve registrarsi

L'Articolo 14 si applica ai fabbricanti di prodotti con elementi digitali. Gli obblighi di segnalazione degli Articoli 14(1) e 14(3) sono rivolti al fabbricante e solo al fabbricante.

Importatori e distributori hanno obblighi più limitati. Ai sensi dell'Articolo 19(5) secondo comma, un importatore che venga a conoscenza di una vulnerabilità "ne informa senza indugio il fabbricante"; i distributori hanno un obbligo equivalente ai sensi dell'Articolo 20(4) secondo comma. Nessuno dei due si registra sulla SRP, nessuno dei due presenta segnalazioni ai sensi dell'Articolo 14, nessuno dei due eredita il contatore delle 24 ore. Si vedano le pagine importatore e distributore.

Un fabbricante non UE può affidare gli obblighi dell'Articolo 14 a un rappresentante autorizzato ai sensi dell'Articolo 18, a condizione che il mandato copra la segnalazione. L'Articolo 18(2) esclude dal mandato AR gli Articoli 13(1) fino a (11), il primo comma dell'Articolo 13(12) e l'Articolo 13(14), ma non esclude l'Articolo 14: un mandato scritto che copra esplicitamente la segnalazione ai sensi dell'Articolo 14 è quindi applicabile. Il rappresentante autorizzato detiene le credenziali SRP e presenta le notifiche per conto del fabbricante.

Prerequisiti per la pre-registrazione

Sei elementi che l'organizzazione deve avere pronti prima della registrazione. La mancanza di uno solo blocca l'onboarding.

Requisito Articolo di riferimento Cosa serve
Persona giuridica nello Stato membro del principale stabilimento Articolo 14(7) Un registro inequivocabile della persona giuridica che consenta alla SRP di assegnare il CSIRT coordinatore (lo Stato "in cui vengono prese principalmente le decisioni relative alla cibersicurezza dei suoi prodotti con elementi digitali").
Unico punto di contatto ex Articolo 13(17) Articolo 13(17) terzo comma Un canale rivolto agli utenti che "non limiti tale mezzo a strumenti automatizzati". Le caselle di posta con risposta automatica esclusiva non sono ammesse. Pubblicato nelle informazioni all'Allegato II.
Contatto di sicurezza separato per le autorità Articolo 14 + Articolo 16(5) (atteso) Un secondo contatto per ENISA e il CSIRT coordinatore, distinto dal canale utenti ex Articolo 13(17). La stessa casella di posta non dovrebbe gestire entrambi.
Credenziali di identità Articolo 16(5) (specifiche in corso) I fabbricanti UE dovrebbero attendersi l'identificazione elettronica riconosciuta eIDAS. I fabbricanti non UE verificano la propria identità tramite la catena del rappresentante autorizzato. Le credenziali tecniche esatte fanno parte delle specifiche dell'Articolo 16(5).
Inventario del portafoglio prodotti Articolo 14(2)(a) Un elenco aggiornato dei prodotti e degli Stati membri in cui ciascuno è stato messo a disposizione. Senza di esso, l'allerta precoce non può indicare correttamente i territori interessati.
Escalation interna documentata Articolo 14(1) Una procedura scritta che consenta all'organizzazione di passare dal rilevamento alla presentazione sulla SRP entro 24 ore, con copertura fuori orario. "Senza indugio ingiustificato e in ogni caso entro 24 ore" non lascia spazio a escalation improvvisate.

Cronoprogramma: da oggi al primo evento segnalabile

Cronoprogramma SRP: costruzione ENISA e preparazione del fabbricante ai due lati del passaggio dell'11 settembre 2026 Un diagramma 2x2. Le righe separano la responsabilità di ENISA da quella del fabbricante. Le colonne dividono la timeline al 11 settembre 2026: preparazione pre-passaggio a sinistra, operatività post-passaggio a destra. Pre-passaggio ENISA: costruzione della piattaforma ai sensi delle specifiche dell'Articolo 16(5) e degli atti di esecuzione dell'Articolo 14(10). Post-passaggio ENISA: la SRP riceve ogni notifica ai sensi dell'Articolo 14. Pre-passaggio fabbricante: preparazione di persona giuridica, contatti separati per Articolo 13(17) e SRP, portafoglio prodotti, SLA di escalation 24h e mandato AR ove applicabile. Post-passaggio: il fabbricante è registrato e avvia il contatore dell'allerta precoce dell'Articolo 14(1) al primo evento. Passaggio SRP: costruzione ENISA e preparazione del fabbricante ai due lati dell'11 set 2026 11 set 2026 PRE-PASSAGGIO (oggi → 11 set 2026) POST-PASSAGGIO (Articolo 14 si applica) ENISA Fabbricante Costruzione della SRP Specifiche Art. 16(5) Atti di esecuzione Art. 14(10) SRP operativa Riceve ogni notifica ai sensi dell'Articolo 14 Instradamento CSIRT Art. 14(7) + 16(2) Preparare Persona giuridica, contatti separati, portafoglio prodotti, SLA 24h, mandato AR Registrato, pronto 24h Il primo evento attiva Art. 14(1): consapevolezza → allerta precoce 24h
L'11 settembre 2026 è fissato dall'Articolo 71(2). Il pre-passaggio è preparazione; il post-passaggio è segnalazione regolamentata con un contatore di 24 ore. Questa pagina sarà aggiornata non appena ENISA pubblicherà il flusso di registrazione definitivo.
La SRP non è ancora operativa

ENISA sta costruendo la piattaforma ai sensi dell'Articolo 16(5) in cooperazione con la rete dei CSIRT. Le schermate di registrazione, il meccanismo di credenziali e i punti di accesso elettronici per le notifiche sono soggetti alle specifiche dell'Articolo 16(5) e agli atti di esecuzione dell'Articolo 14(10). Il framework riportato di seguito riflette il testo del Regolamento e quanto è pubblicamente noto al 2026-05-05; verificare con le linee guida ENISA aggiornate prima di trattare qualsiasi passaggio specifico come definitivo. La data di passaggio del 11 settembre 2026 per l'applicabilità dell'Articolo 14 è fissata dall'Articolo 71(2).

Flusso di registrazione atteso

Le schermate di registrazione esatte dipendono dalle specifiche dell'Articolo 16(5) e dagli atti di esecuzione dell'Articolo 14(10), entrambi ancora in fase di definizione. Questa sezione sarà aggiornata non appena ENISA pubblicherà il flusso definitivo. In base al testo del Regolamento, ci si può aspettare che la registrazione verifichi la persona giuridica, acquisisca il contatto SRP per le autorità (distinto dal contatto utenti ex Articolo 13(17)), registri il portafoglio prodotti con la relativa copertura per Stato membro e assegni il CSIRT coordinatore ai sensi dell'Articolo 14(7). Dopo la registrazione, lo stesso punto di accesso gestisce tutte le presentazioni successive: allerta precoce a 24 ore, notifica a 72 ore, rapporti intermedi su richiesta del CSIRT (Articolo 14(6)) e rapporto finale.

Escalation interna: rispettare il contatore delle 24h

L'Articolo 14(1) fa scattare il contatore al momento della consapevolezza, non della conferma. La parte difficile è passare da "abbiamo appena appreso" a "abbiamo appena presentato" entro 24 ore, compresi i periodi fuori orario.

Fase Entro le 24h? Note
Rilevamento Engineering interno, segnalazioni dei clienti, monitoraggio, threat intelligence, intake CVD. I percorsi di triage per "attivamente sfruttata" e "incidente grave" devono essere distinti.
Triage Usare i segnali di valutazione della gravità (CVSS / EPSS / KEV) come input. Le prove di sfruttamento sono il trigger dell'Articolo 14(1); la sola gravità non è sufficiente.
Revisione legale In parallelo Un'attesa seriale del via libera legale fa perdere le 24h. L'Articolo 14(2)(a) consente al fabbricante di segnalare la sensibilità; l'Articolo 16(2) consente alla piattaforma di sospendere la diffusione per motivi di cibersicurezza.
Allerta precoce SRP Articolo 14(2)(a) o 14(4)(a).
Notifica 72h Dopo le 24h Articolo 14(2)(b) o 14(4)(b).
Rapporto finale 14 giorni (vuln) / 1 mese (incidente) Articolo 14(2)(c) dalla disponibilità della misura correttiva; Articolo 14(4)(c) dalla notifica delle 72h. Contatori diversi.

Un processo di triage che "richiede di solito 48 ore" è strutturalmente non conforme.

Instradamento CSIRT

L'Articolo 14(7) instrada la notifica al CSIRT dello Stato membro del principale stabilimento ("in cui vengono prese principalmente le decisioni relative alla cibersicurezza dei suoi prodotti con elementi digitali"). Per i fabbricanti privi di un principale stabilimento nell'Unione, il terzo comma applica un fallback in quattro fasi: Stato membro del rappresentante autorizzato, poi dell'importatore, poi del distributore, poi della concentrazione di utenti. Dopo la presentazione, l'Articolo 16(2) gestisce la diffusione transfrontaliera ai CSIRT degli altri Stati membri interessati.

Errori comuni

  • Registrarsi solo dopo il primo evento segnalabile. Il contatore delle 24 ore non si sospende per l'onboarding. Registrarsi con largo anticipo rispetto all'11 settembre 2026.
  • Una casella generica security@ con risposta automatica. Contrasta con l'Articolo 13(17) terzo comma per il canale rivolto agli utenti ed è inadeguata per il canale SRP delle autorità.
  • Nessun prodotto mappato alla registrazione, o mappatura obsoleta. L'Articolo 14(2)(a) richiede che l'allerta precoce indichi gli Stati membri interessati; senza un inventario aggiornato l'allerta precoce è incompleta.
  • Nessuno SLA interno per il contatore delle 24h. Il percorso dal rilevamento alla presentazione ha bisogno di un budget temporale esplicito.
  • Segnalare via email al CSIRT nazionale. Gli Articoli 14(1) e 14(3) indicano la SRP. L'email a un CSIRT nazionale non è equivalente.
  • Trattare il rappresentante autorizzato come un indirizzo di inoltro. Il mandato AR del fabbricante non UE ai sensi dell'Articolo 18(1) deve coprire esplicitamente la segnalazione ai sensi dell'Articolo 14 e il rappresentante autorizzato deve detenere le credenziali SRP.

Domande Frequenti

La SRP è già attiva?

No. ENISA sta sviluppando la piattaforma ai sensi dell'Articolo 16(5) in cooperazione con la rete dei CSIRT. L'Articolo 71(2) fissa la data operativa all'11 settembre 2026, quando l'Articolo 14 inizia ad applicarsi. Il flusso di registrazione esatto, il meccanismo di credenziali e i punti di accesso elettronici per le notifiche sono soggetti alle specifiche dell'Articolo 16(5) e agli atti di esecuzione dell'Articolo 14(10). Le linee guida pubbliche attuali devono essere considerate provvisorie; verificare con ENISA prima di fare affidamento su qualsiasi passaggio specifico.

Quando la SRP sarà operativa per le segnalazioni dei fabbricanti?

L'Articolo 71(2) stabilisce: "L'Articolo 14 si applica a decorrere dall'11 settembre 2026". Da quella data i fabbricanti devono poter presentare le segnalazioni attraverso la SRP. L'entrata in funzione operativa della piattaforma è stabilita da ENISA ai sensi dell'Articolo 16(5) e dagli atti di esecuzione dell'Articolo 14(10); verificare con le linee guida ENISA aggiornate avvicinandosi alla data.

Importatori e distributori si registrano sulla SRP?

No. Il loro obbligo è informare il fabbricante di una vulnerabilità ai sensi dell'Articolo 19(5) secondo comma (importatori) e dell'Articolo 20(4) secondo comma (distributori). La segnalazione ai sensi dell'Articolo 14 tramite la SRP è un obbligo esclusivo del fabbricante.

Un fabbricante non UE può registrarsi direttamente?

Il percorso ordinario è tramite un rappresentante autorizzato ai sensi dell'Articolo 18(1), con un mandato scritto che copra la segnalazione ai sensi dell'Articolo 14. Il rappresentante autorizzato detiene le credenziali SRP e presenta le notifiche per conto del fabbricante. Il rappresentante autorizzato non può sostituire il fabbricante per gli obblighi esclusi dall'Articolo 18(2) (Articolo 13(1) fino a (11), primo comma dell'Articolo 13(12), Articolo 13(14)).

Cosa fare se la presentazione alla SRP fallisce?

La SRP è il canale indicato dagli Articoli 14(1) e 14(3). Se la piattaforma non è disponibile, contattare il CSIRT coordinatore tramite il contatto pubblicato per il suo punto di accesso elettronico e documentare il malfunzionamento. Il contatore delle 24h non si sospende per problemi tecnici; mirare alla migliore notifica possibile entro la finestra e conservare una documentazione completa dei motivi per cui la SRP era irraggiungibile.

L'unico punto di contatto dell'Articolo 13(17) coincide con il contatto di registrazione SRP?

No. L'Articolo 13(17) è un canale rivolto agli utenti che "non limita tale mezzo a strumenti automatizzati" ed è pubblicato nelle informazioni all'Allegato II. Il contatto di registrazione SRP è un canale rivolto alle autorità, destinato a ENISA e al CSIRT coordinatore. Entrambi sono obbligatori e non dovrebbero condividere una casella di posta.

Passi successivi per essere pronti all'11 settembre 2026

  1. Monitorare le linee guida ENISA sulla SRP e le specifiche dell'Articolo 16(5). Iscriversi agli aggiornamenti ENISA e al bollettino del CSIRT coordinatore dello Stato membro, in modo che il giorno in cui il flusso di registrazione si apre il team ne sia immediatamente informato.
  2. Designare un punto di contatto SRP distinto dall'unico punto di contatto rivolto agli utenti ex Articolo 13(17).
  3. Documentare il flusso di escalation interna dal rilevamento all'allerta precoce, con uno SLA esplicito entro le 24 ore e copertura fuori orario.
  4. Condurre un esercizio tabletop che simuli una vulnerabilità attivamente sfruttata e verifichi che una presentazione alla SRP possa essere completata entro la finestra dell'Articolo 14(1). Usare il modello del modulo di segnalazione pubblicato da ENISA come sostituto fino a quando il modulo definitivo non sarà disponibile.
  5. Se ci si avvale di un rappresentante autorizzato, verificare che il mandato AR ex Articolo 18(1) copra la segnalazione ai sensi dell'Articolo 14 e che il rappresentante autorizzato detenga le credenziali SRP e una mappatura aggiornata del portafoglio prodotti.
  6. Confermare che l'instradamento CSIRT per lo Stato membro ai sensi dell'Articolo 14(7) corrisponda al proprio principale stabilimento effettivo.
  7. Per le cadenze e la definizione giuridica di "attivamente sfruttata", continuare con la segnalazione delle vulnerabilità; per il regime di gestione si veda la gestione delle vulnerabilità; per gli obblighi del fabbricante nella loro interezza, si consulti la pagina del ruolo.