Le sanzioni CRA possono raggiungere 15 000 000 EUR o il 2,5 % del fatturato annuo mondiale, a seconda di quale importo sia maggiore per le imprese. Il Cyber Resilience Act conferisce alle autorità di vigilanza del mercato due tipi di leva: sanzioni amministrative pecuniarie e misure sul prodotto, come azioni correttive, ritiro, richiamo o restrizioni alla messa a disposizione.
Questa pagina spiega cosa significano questi poteri in pratica e quali evidenze un operatore economico dovrebbe avere pronte prima che un'autorità ne faccia richiesta.
Sintesi
- Il CRA prevede tre fasce sanzionatorie. La fascia più alta riguarda i requisiti essenziali di cibersicurezza e i principali obblighi del fabbricante.
- L'importo fisso in euro non è sempre il tetto. Per le imprese si applica la percentuale del fatturato quando è superiore all'importo fisso.
- Le sanzioni pecuniarie sono solo uno strumento. Le autorità possono imporre azioni correttive, ritiro, richiamo o restrizioni alla messa a disposizione.
- La vigilanza del mercato parte dalle evidenze. Documentazione tecnica, dichiarazione UE di conformità, evidenze SBOM, registri di gestione delle vulnerabilità e registri sul periodo di assistenza sono ciò che l'autorità può usare per verificare la dichiarazione di conformità.
- La dimensione dell'operatore conta, ma non è un lasciapassare. Le autorità devono tener conto della dimensione, comprese microimprese, PMI e start-up, nel determinare le sanzioni.
I quattro punti di riferimento dell'applicazione: la sanzione massima, la data di avvio delle notifiche, la data di applicazione piena e le misure sul prodotto a disposizione delle autorità di vigilanza del mercato.
Quali sanzioni amministrative possono applicarsi?
Il Regolamento fissa i massimali UE per le sanzioni amministrative pecuniarie. Gli Stati membri stabiliscono le regole di dettaglio, ma queste devono restare nel quadro del CRA e le sanzioni devono essere effettive, proporzionate e dissuasive.
| Categoria di violazione | Cosa la attiva | Sanzione amministrativa pecuniaria massima |
|---|---|---|
| Obblighi centrali di sicurezza del prodotto | Requisiti essenziali di cibersicurezza e obblighi centrali del fabbricante, inclusi gestione delle vulnerabilità, aggiornamenti di sicurezza, prove sul periodo di supporto e notifiche obbligatorie | 15 000 000 EUR o, per le imprese, 2,5 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore |
| Accesso al mercato e conformità | Controlli di importatori e distributori, marcatura CE, dichiarazioni, valutazione della conformità, cooperazione con organismi notificati e obblighi di vigilanza del mercato | 10 000 000 EUR o, per le imprese, 2 % del fatturato mondiale totale annuo, se superiore |
| Informazioni fuorvianti | Fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità di vigilanza del mercato | 5 000 000 EUR o, per le imprese, 1 % del fatturato mondiale totale annuo, se superiore |
La sanzione massima è quella che la maggior parte dei fabbricanti dovrebbe comprendere per prima. Copre la sostanza della sicurezza del prodotto e gli obblighi operativi del fabbricante: valutazione del rischio di cibersicurezza, gestione delle vulnerabilità, aggiornamenti di sicurezza, divulgazione del periodo di assistenza e notifica di incidenti gravi o vulnerabilità attivamente sfruttate.
Documentazione tecnica, dichiarazione UE di conformità e marcatura CE ricadono invece nella fascia intermedia (10 000 000 EUR o 2%), poiché riguardano principalmente i requisiti di accesso al mercato e di conformità documentale.
Quali violazioni pesano di più?
Il CRA non gradua ogni possibile fattispecie. Fissa delle cornici legali. In pratica, l'esposizione più seria nasce da carenze che incidono sulla sostanza della sicurezza del prodotto, sulla veridicità della dichiarazione di conformità o sulla capacità delle autorità di valutare il rischio.
| Schema | Perché rileva | Area legale probabile |
|---|---|---|
| Prodotto immesso sul mercato UE senza rispettare i requisiti essenziali dell'Allegato I | La dichiarazione di sicurezza del prodotto è sbagliata all'origine | Sanzione massima |
| Nessun processo efficace di gestione delle vulnerabilità durante il periodo di assistenza | La gestione delle vulnerabilità non è operativa durante il periodo di assistenza | Sanzione massima |
| Omessa notifica di un incidente grave o di una vulnerabilità attivamente sfruttata quando si applica la notifica obbligatoria | L'obbligo di notifica inizia prima del regime pieno | Sanzione massima |
| Percorso di conformità errato per un prodotto importante o critico | La dichiarazione di conformità poggia su un percorso di valutazione sbagliato | Sanzione massima o intermedia, a seconda dell'obbligo violato |
| Dichiarazione UE di conformità, marcatura CE o dati dell'operatore mancanti o non validi | La documentazione di accesso al mercato è difettosa | Sanzione intermedia |
| Informazioni fuorvianti a un organismo notificato o a un'autorità di vigilanza del mercato | Le autorità non possono fare affidamento su quanto fornito | Sanzione per informazioni fuorvianti, e potenzialmente peggio se sono presenti altre violazioni |
Il modo più sicuro di leggere le fasce non è "quale sanzione riceveremo?", ma "quali evidenze siamo in grado di produrre?". Una dichiarazione di conformità firmata senza fascicolo tecnico, evidenze SBOM, registri di gestione delle vulnerabilità e razionale della valutazione di conformità è una posizione fragile di fronte all'autorità.
Come l'autorità determina l'importo della sanzione
L'importo non è un calcolo meccanico per percentuale. Nel determinarlo, l'autorità deve considerare la violazione, l'eventuale presenza di precedenti sanzioni analoghe a carico dello stesso operatore e la dimensione dell'operatore.
| Fattore | Significato pratico |
|---|---|
| Natura, gravità e durata della violazione e relative conseguenze | Una lacuna documentale di breve durata è diversa da un prodotto immesso sul mercato con una debolezza sfruttabile. |
| Eventuali sanzioni già inflitte allo stesso operatore economico per violazioni analoghe | La reiterazione attraverso più Stati membri può aggravare l'esito. |
| Dimensione dell'operatore economico e quota di mercato | Microimprese, PMI e start-up devono essere considerate nella determinazione delle sanzioni. |
Questo non significa che i piccoli operatori possano ignorare la norma. Significa che la sanzione deve essere proporzionata. Un piccolo fabbricante deve comunque disporre di un percorso di conformità reale, documentazione tecnica, processo di gestione delle vulnerabilità e capacità di notifica quando si applicano i relativi obblighi.
Poteri di vigilanza del mercato oltre le sanzioni
Le sanzioni non sono l'unico rischio. L'applicazione del CRA si colloca nel quadro UE di vigilanza del mercato, compreso il Regolamento (UE) 2019/1020. Il CRA aggiunge poi la procedura nazionale per i prodotti con elementi digitali che presentano un rischio significativo di cibersicurezza.
Se l'autorità valuta un prodotto e accerta una non conformità, può chiedere all'operatore economico interessato di adottare opportune misure correttive, rendere il prodotto conforme, ritirarlo dal mercato o richiamarlo entro un termine ragionevole. Se l'operatore non adotta misure correttive adeguate, l'autorità può limitare o vietare la messa a disposizione sul mercato.
| Misura | Cosa significa sul piano operativo |
|---|---|
| Azione correttiva | Correggere la non conformità, aggiornare la documentazione, rimediare alle vulnerabilità, aggiornare le istruzioni o modificare il prodotto prima di proseguirne la commercializzazione. |
| Ritiro | Interrompere la messa a disposizione del prodotto sul mercato. Di norma riguarda le scorte invendute e i canali distributivi. |
| Richiamo | Recuperare o rimediare i prodotti già forniti agli utenti quando il rischio lo giustifica. |
| Restrizione o divieto | Limitare o bloccare la messa a disposizione del prodotto sul mercato nazionale, con possibili conseguenze a livello UE attraverso il coordinamento. |
La conformità formale non è uno scudo. Un prodotto può soddisfare la documentazione e presentare comunque un rischio significativo di cibersicurezza; in tal caso l'autorità può imporre misure aggiuntive per affrontare il rischio ai sensi dell'Articolo 57. La sola documentazione formale non basta se il prodotto resta rischioso.
Cosa può attivare l'attenzione dell'autorità?
Il CRA non pubblica un elenco fisso di trigger. La vigilanza del mercato può essere proattiva o reattiva. Queste sono le situazioni che con maggiore probabilità portano un prodotto sotto i radar dell'autorità:
| Trigger | Cosa l'autorità chiederà probabilmente |
|---|---|
| Vulnerabilità attivamente sfruttata o incidente grave | Evidenze di notifica, triage delle vulnerabilità, versioni interessate, comunicazioni ai clienti, tempistiche di rimedio. |
| Segnalazione di un concorrente, di un cliente o di un ricercatore | Fascicolo tecnico, registri di gestione delle vulnerabilità, evidenze di valutazione di conformità e razionale di sicurezza del prodotto. |
| Campionamento o campagna settoriale | Dichiarazione UE di conformità, informazioni per l'utente, marcatura CE, evidenze SBOM e evidenze di test. |
| Dubbio di un importatore o di un distributore | Identità del fabbricante, dati dell'importatore, dichiarazione di conformità, informazioni sul periodo di assistenza e tracciabilità. |
| Messaggi pubblici incoerenti | Evidenze del fatto che marketing, dichiarazioni sul periodo di assistenza, impegni sugli aggiornamenti di sicurezza e fascicolo tecnico coincidano. |
Il rischio di applicazione è più alto quando l'azienda non sa spiegare perché il prodotto rientra nell'ambito, quale ruolo svolge, quale percorso di conformità ha utilizzato, quali evidenze sostengono la dichiarazione di conformità e come gestisce le vulnerabilità durante il periodo di assistenza.
Come può presentarsi una richiesta dell'autorità
Una richiesta della vigilanza del mercato è in primo luogo un problema di evidenze, poi un problema di contenzioso. La richiesta esatta dipende dallo Stato membro, dal prodotto e dal rischio, ma un fascicolo CRA pronto deve rendere recuperabili questi elementi:
| Area di evidenze | Esempi |
|---|---|
| Identità e ambito del prodotto | Modello, versione, finalità prevista, versioni software o firmware, soluzione di trattamento dei dati a distanza, classe del prodotto. |
| Dichiarazione di conformità | Dichiarazione UE di conformità, norme applicate, modulo di valutazione di conformità, certificato dell'organismo notificato ove pertinente. |
| Documentazione tecnica | Fascicolo tecnico dell'Allegato VII, valutazione del rischio di cibersicurezza, architettura, test, controlli di produzione. |
| Evidenze SBOM | SBOM corrente, perimetro dei componenti, metodo di generazione, processo di aggiornamento, gestione delle SBOM dei fornitori. |
| Gestione delle vulnerabilità | Politica CVD, contatto di sicurezza, registri di triage, registri di rimedio, processo degli aggiornamenti di sicurezza. |
| Notifiche obbligatorie | Registri decisionali su incidenti gravi e vulnerabilità attivamente sfruttate, registri di notifica a ENISA e ai CSIRT ove applicabili. |
| Periodo di assistenza | Periodo di assistenza divulgato, data di fine del supporto, disponibilità degli aggiornamenti, registri delle comunicazioni ai clienti. |
Il test pratico è semplice: se l'autorità chiede oggi il fascicolo, il team può produrre evidenze coerenti senza ricostruirle a memoria?
Cosa tenere pronto prima dell'arrivo di una richiesta
Usi questa checklist prima della prima scadenza di applicazione:
| Area | Stato di prontezza |
|---|---|
| Ambito e ruolo | È in grado di spiegare perché si applica il CRA, quale ruolo dell'Articolo 3 svolge e se si applica una qualsiasi esclusione dell'Articolo 2. |
| Classificazione del prodotto | Sa se il prodotto è ordinario, importante di classe I, importante di classe II o critico. |
| Percorso di conformità | È in grado di giustificare il modulo A, B+C, H o un altro percorso ammesso. |
| Fascicolo tecnico | Le evidenze dell'Allegato VII esistono, sono versionate e corrispondono al prodotto venduto. |
| Dichiarazione e marcatura CE | La DoC è firmata, accurata e allineata al fascicolo di evidenze. |
| SBOM | La SBOM è generata, mantenuta e legata alle versioni immesse sul mercato. |
| Gestione delle vulnerabilità | Ricezione, triage, rimedio, divulgazione e consegna degli aggiornamenti sono operativi. |
| Notifiche | Decisione ed escalation sono pronte prima dell'11 settembre 2026. |
| Comunicazioni | Le comunicazioni con clienti, distributori, importatori e autorità sono documentate. |
PMI, micro e piccoli fabbricanti e gestori di software open source
Gli operatori più piccoli ricevono sfumature importanti, ma non un'esenzione dalla conformità CRA.
Microimprese, PMI e start-up. Nel determinare le sanzioni, le autorità devono considerare la dimensione dell'operatore, compresa la qualifica di microimpresa, PMI o start-up. Ciò incide sulla proporzionalità, non sull'esistenza dell'obbligo sottostante.
Micro e piccoli fabbricanti. Esiste un alleggerimento ristretto per due scadenze di preallarme di 24 ore mancate. Non elimina l'intero obbligo di notifica, le relazioni finali né altri obblighi CRA.
Gestori di software open source. I gestori sono esclusi dalla maggior parte delle sanzioni amministrative pecuniarie, ma il regime per i gestori resta concreto: devono avere una politica di cibersicurezza e cooperare con le autorità di vigilanza del mercato su richiesta motivata. Un'azienda a valle che inserisce software open source nel proprio prodotto commerciale è di norma fabbricante di quel prodotto, non gestore.
Domande frequenti
Qual è la sanzione massima del CRA?
La fascia sanzionatoria più alta del CRA è di 15 000 000 EUR o, per le imprese, del 2,5 % del fatturato mondiale totale annuo dell'esercizio precedente, a seconda di quale importo sia maggiore. Tale fascia copre la non conformità ai requisiti essenziali di cibersicurezza e ai principali obblighi del fabbricante.
L'applicazione del CRA può iniziare prima dell'11 dicembre 2027?
Sì, per la notifica degli incidenti gravi. Il regime pieno del CRA si applica dall'11 dicembre 2027, ma gli obblighi di notifica per le vulnerabilità attivamente sfruttate e gli incidenti gravi si applicano dall'11 settembre 2026. Anche i prodotti già immessi sul mercato sono coperti da tale obbligo di notifica a partire da quella data.
È sempre garantito un avviso prima di una sanzione?
No. La vigilanza del mercato spesso inizia con richieste di informazioni, una valutazione e l'adozione di azioni correttive, ma il CRA non garantisce un avviso prima di ogni sanzione o misura sul prodotto. La risposta dell'autorità dipende dal rischio, dalla violazione, dalla cooperazione dell'operatore e dalle regole sanzionatorie nazionali.
Un'autorità può ordinare un richiamo anche se non è stata inflitta alcuna sanzione?
Sì. Le misure sul prodotto e le sanzioni amministrative pecuniarie sono strumenti distinti. Quando ricorrono le condizioni, le autorità di vigilanza del mercato possono imporre azioni correttive, ritiro, richiamo o restrizioni alla messa a disposizione per affrontare un rischio significativo di cibersicurezza. Il richiamo riguarda il controllo del rischio, non solo la punizione.
Le piccole imprese hanno un'esenzione dalle sanzioni CRA?
In generale no. La dimensione dell'operatore è un fattore di proporzionalità nella determinazione delle sanzioni. Il CRA prevede inoltre un alleggerimento ristretto per micro e piccoli fabbricanti su due specifiche scadenze di preallarme di 24 ore, e i gestori di software open source sono esclusi dalla maggior parte delle sanzioni amministrative pecuniarie. Ciò non rimuove il resto degli obblighi CRA.