Le sanzioni CRA possono arrivare a 15 000 000 EUR o al 2,5% del fatturato annuo mondiale, a seconda di quale importo sia maggiore per le imprese. Il Regolamento sulla ciberresilienza dà alle autorità di vigilanza del mercato due leve: sanzioni amministrative e misure sul prodotto, come azioni correttive, ritiro, richiamo o restrizioni alla disponibilità.
Questa pagina spiega cosa significano questi poteri in pratica e quali evidenze un operatore economico dovrebbe avere pronte prima che un'autorità le richieda.
Sintesi
- Il CRA ha tre fasce sanzionatorie. La fascia più alta riguarda i requisiti essenziali di cibersicurezza dell'Allegato I e gli obblighi del fabbricante negli articoli 13 e 14.
- Il tetto fisso in EUR non è sempre il limite. Per le imprese si applica la percentuale sul fatturato quando è più alta.
- Le sanzioni pecuniarie sono solo uno strumento. Le autorità possono imporre azioni correttive, ritiro, richiamo o restrizioni alla disponibilità.
- La vigilanza parte dalle evidenze. Fascicolo tecnico, dichiarazione UE di conformità, SBOM, registri di gestione delle vulnerabilità e periodo di assistenza devono reggere a una richiesta.
- La dimensione conta, ma non esonera. Microimprese, PMI e start-up devono essere considerate nel fissare l'importo.
I quattro riferimenti dell'applicazione: fascia massima, data di avvio dell'articolo 14, piena applicazione e misure sul prodotto.
Quali sono le fasce di sanzione CRA?
Il Regolamento fissa i massimali UE per le sanzioni amministrative. Gli Stati membri definiscono le regole di dettaglio, ma le sanzioni devono restare efficaci, proporzionate e dissuasive.
| Fascia | Violazione che la attiva | Sanzione amministrativa massima |
|---|---|---|
| Fascia 1 | Mancato rispetto dell'Allegato I o degli obblighi del fabbricante negli articoli 13 e 14 | 15 000 000 EUR o 2,5% del fatturato annuo mondiale, a seconda di quale sia maggiore |
| Fascia 2 | Mancato rispetto di obblighi elencati per operatori economici, conformità, organismi notificati e vigilanza del mercato, inclusi articoli 18-23, 28, 30-33, 39, 41, 47, 49 e 53 | 10 000 000 EUR o 2% del fatturato annuo mondiale, a seconda di quale sia maggiore |
| Fascia 3 | Informazioni inesatte, incomplete o fuorvianti fornite a organismi notificati o autorità di vigilanza del mercato | 5 000 000 EUR o 1% del fatturato annuo mondiale, a seconda di quale sia maggiore |
La prima fascia è quella che i fabbricanti devono capire meglio. Copre la sostanza della sicurezza del prodotto nell'Allegato I e gli obblighi operativi: valutazione del rischio, gestione delle vulnerabilità, aggiornamenti di sicurezza, fascicolo tecnico, dichiarazione UE di conformità, marcatura CE, periodo di assistenza e notifiche dell'articolo 14.
Quali violazioni pesano di più?
Il CRA stabilisce fasce legali, non una graduatoria di ogni caso. L'esposizione più seria nasce quando falliscono la sicurezza del prodotto, la veridicità della dichiarazione di conformità o la possibilità per l'autorità di valutare il rischio.
| Schema | Perché conta | Area probabile |
|---|---|---|
| Prodotto sul mercato senza rispettare l'Allegato I | La promessa di sicurezza è falsa all'origine | Fascia 1 |
| Nessun processo efficace di gestione delle vulnerabilità durante il supporto | Allegato I parte II e articolo 13 non funzionano | Fascia 1 |
| Mancata notifica di vulnerabilità sfruttata attivamente o incidente grave | L'obbligo di notifica inizia prima del regime completo | Fascia 1 |
| Percorso di conformità errato per prodotto importante o critico | La dichiarazione poggia su una valutazione sbagliata | Fascia 1 o 2 |
| Dichiarazione UE, marcatura CE o dati dell'operatore mancanti | Le prove di accesso al mercato sono difettose | Fascia 2 |
| Informazioni fuorvianti all'autorità o all'organismo notificato | L'autorità non può fare affidamento su quanto ricevuto | Fascia 3, e forse altro |
La domanda utile non è "quale sanzione riceveremo?", ma "quali evidenze possiamo produrre?". Una dichiarazione firmata senza fascicolo tecnico, SBOM, registri di vulnerabilità e razionale della conformità è fragile.
Come viene deciso l'importo
L'importo non è un calcolo meccanico. L'autorità deve considerare natura, gravità, durata e conseguenze della violazione, eventuali sanzioni precedenti per violazioni simili e dimensione dell'operatore.
| Fattore | Significato pratico |
|---|---|
| Natura, gravità, durata e conseguenze | Una lacuna documentale breve è diversa da un prodotto venduto con una debolezza sfruttabile. |
| Sanzioni precedenti per violazioni simili | La ripetizione in più Stati membri può aggravare l'esito. |
| Dimensione e quota di mercato | Microimprese, PMI e start-up incidono sulla proporzionalità. |
Questo non elimina gli obblighi. Anche un piccolo fabbricante deve avere un percorso di conformità reale, documentazione tecnica, gestione delle vulnerabilità e capacità di notifica quando richieste.
Vigilanza del mercato oltre le sanzioni
L'applicazione del CRA si inserisce nel quadro UE di vigilanza del mercato, incluso il Regolamento (UE) 2019/1020. Il CRA aggiunge il percorso specifico per i prodotti con elementi digitali che presentano un rischio significativo di cibersicurezza.
Se l'autorità trova una non conformità, può imporre azioni correttive, la messa in conformità, il ritiro o il richiamo entro un termine ragionevole. Se l'operatore non interviene in modo adeguato, l'autorità può limitare o vietare la disponibilità.
| Misura | Significato operativo |
|---|---|
| Azione correttiva | Correggere la non conformità, aggiornare il fascicolo, risolvere vulnerabilità o modificare il prodotto. |
| Ritiro | Interrompere la messa a disposizione sul mercato, di solito stock e canali distributivi. |
| Richiamo | Recuperare o correggere prodotti già forniti agli utenti quando il rischio lo giustifica. |
| Restrizione o divieto | Limitare o bloccare la disponibilità sul mercato nazionale, con possibili effetti coordinati nell'UE. |
Conta anche l'articolo 57: un prodotto può apparire formalmente conforme e presentare comunque un rischio significativo. Le carte non bastano se il prodotto resta rischioso.
Cosa può attirare l'attenzione
La vigilanza può essere proattiva o reattiva. Gli scenari più probabili sono:
| Trigger | Cosa può chiedere l'autorità |
|---|---|
| Vulnerabilità sfruttata attivamente o incidente grave | Evidenze articolo 14, triage, versioni interessate, comunicazioni, tempi di rimedio. |
| Reclamo di cliente, concorrente o ricercatore | Fascicolo tecnico, registri di vulnerabilità, evidenze di conformità e razionale di sicurezza. |
| Campionamento o campagna settoriale | Dichiarazione UE, informazioni utente, marcatura CE, SBOM e prove di test. |
| Dubbio di importatore o distributore | Identità del fabbricante, dati importatore, dichiarazione, supporto e tracciabilità. |
| Messaggi pubblici incoerenti | Allineamento tra marketing, supporto, aggiornamenti e fascicolo tecnico. |
Il rischio aumenta quando l'azienda non sa spiegare perché il CRA si applica, quale ruolo riveste, quale percorso di conformità ha usato e come gestisce le vulnerabilità durante il periodo di assistenza.
Cosa tenere pronto
Una richiesta di vigilanza è prima di tutto un problema di evidenze. Un fascicolo CRA pronto dovrebbe rendere recuperabili questi elementi:
| Area | Esempi |
|---|---|
| Identità e ambito del prodotto | Modello, versione, finalità prevista, versioni software o firmware, elaborazione remota, classe prodotto. |
| Dichiarazione di conformità | Dichiarazione UE, norme applicate, modulo di valutazione, certificato dell'organismo notificato. |
| Fascicolo tecnico | Allegato VII, valutazione del rischio, architettura, test, controlli di produzione. |
| SBOM | SBOM aggiornata, perimetro componenti, metodo di generazione, aggiornamento, SBOM dei fornitori. |
| Gestione vulnerabilità | Politica CVD, contatto sicurezza, triage, rimedio, aggiornamenti. |
| Notifiche articolo 14 | Registri decisionali, invii ENISA e CSIRT se applicabili. |
| Periodo di assistenza | Durata pubblicata, data di fine supporto, disponibilità aggiornamenti, comunicazioni clienti. |
Il test pratico è semplice: se l'autorità chiede il fascicolo oggi, il team può produrre evidenze coerenti senza ricostruirle a memoria?
PMI, micro e piccoli fabbricanti, steward open source
Gli operatori più piccoli ricevono sfumature importanti, non un'esenzione generale.
Microimprese, PMI e start-up. La dimensione deve essere considerata nel fissare la sanzione. Incide sulla proporzionalità, non sull'esistenza dell'obbligo.
Micro e piccoli fabbricanti. L'articolo 64(10)(a) esonera i fabbricanti che sono microimprese o piccole imprese dalle sanzioni amministrative per il mancato rispetto delle allerte precoci di 24 ore degli articoli 14(2)(a) e 14(4)(a). L'esenzione è stretta. Non copre l'intero obbligo di notifica né gli altri obblighi CRA.
Steward di software open source. L'articolo 64(10)(b) li esonera dalle sanzioni dei paragrafi da 3 a 9. Il regime resta concreto: l'articolo 24 richiede una politica di cibersicurezza e cooperazione con le autorità su richiesta motivata. Un'azienda che inserisce software open source nel proprio prodotto commerciale è di solito fabbricante di quel prodotto, non steward.
Domande frequenti
Qual è la sanzione massima del CRA?
La fascia massima è pari a 15 000 000 EUR o, per le imprese, al 2,5% del fatturato annuo mondiale totale dell'esercizio precedente, a seconda di quale sia maggiore. Copre l'Allegato I e gli obblighi degli articoli 13 e 14.
L'applicazione può iniziare prima dell'11 dicembre 2027?
Sì, per le notifiche dell'articolo 14. Il regime completo si applica dall'11 dicembre 2027, ma le notifiche di vulnerabilità sfruttate attivamente e incidenti gravi si applicano dall'11 settembre 2026, anche per prodotti già sul mercato.
È sempre garantito un avviso prima di una sanzione?
No. La vigilanza spesso inizia con richieste di informazioni, valutazione e azioni correttive, ma il CRA non garantisce un avviso prima di ogni sanzione o misura sul prodotto.