La non conformità al CRA comporta sanzioni fino a 15.000.000 EUR, o al 2,5 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Si tratta della fascia massima prevista dall'Articolo 64, paragrafo 2, applicabile alla non conformità ai requisiti essenziali dell'Allegato I e agli obblighi degli Articoli 13 e 14. L'obbligo SBOM rientra nell'Allegato I. Due date scandiscono la sua tempistica. L'obbligo di segnalazione delle vulnerabilità ai sensi dell'Articolo 14 diventa obbligatorio l'11 settembre 2026. L'applicazione integrale segue l'11 dicembre 2027. I prodotti immessi sul mercato UE dopo tale data privi di uno SBOM conforme non possono recare la marcatura CE e non possono essere legalmente commercializzati.
Riepilogo
- 11 settembre 2026: l'obbligo di segnalazione delle vulnerabilità e degli incidenti di cui all'Articolo 14 a ENISA diventa obbligatorio per i fabbricanti
- 11 dicembre 2027: applicazione integrale del CRA, compreso l'obbligo SBOM dell'Allegato I
- Sanzione massima: 15.000.000 EUR o 2,5 % del fatturato mondiale totale annuo (se superiore), Articolo 64, paragrafo 2
- Conservazione: lo SBOM deve essere conservato per almeno 10 anni dall'ultimo esemplare immesso sul mercato (Articolo 13, paragrafo 13)
Scadenze di conformità SBOM del CRA
Il CRA prevede una tempistica di applicazione per fasi. Due date riguardano direttamente la conformità SBOM:
| Data | Traguardo |
|---|---|
| 11 settembre 2026 | Gli obblighi di segnalazione delle vulnerabilità entrano in vigore. I fabbricanti devono segnalare le vulnerabilità attivamente sfruttate entro 24 ore. |
| 11 dicembre 2027 | Applicazione integrale. Tutti i prodotti con elementi digitali devono soddisfare i requisiti del CRA, compresi gli SBOM completi. |
I prodotti immessi sul mercato UE dopo il dicembre 2027 privi di uno SBOM conforme non possono recare la marcatura CE e non possono essere legalmente commercializzati. Per la tempistica per fasi più ampia, che comprende gli organismi notificati, le norme armonizzate e la segnalazione ai sensi dell'Articolo 14, si consulti la cronologia di attuazione del CRA.
Cadenza di segnalazione ai sensi dell'Articolo 14
Il dato delle «24 ore» è soltanto il primo passaggio. L'Articolo 14 stabilisce una cadenza di segnalazione a livelli al CSIRT designato come coordinatore e all'ENISA simultaneamente, tramite la piattaforma unica di segnalazione di cui all'Articolo 16.
| Fase | Termine | Articolo | Evento scatenante |
|---|---|---|---|
| Notifica di preallarme | Entro 24 ore | Art. 14(2)(a) | Vulnerabilità attivamente sfruttata |
| Notifica delle vulnerabilità | Entro 72 ore | Art. 14(2)(b) | Vulnerabilità attivamente sfruttata |
| Relazione finale | Entro 14 giorni dalla misura correttiva | Art. 14(2)(c) | Vulnerabilità attivamente sfruttata |
| Notifica di preallarme | Entro 24 ore | Art. 14(4)(a) | Incidente grave |
| Notifica dell'incidente | Entro 72 ore | Art. 14(4)(b) | Incidente grave |
| Relazione finale | Entro un mese dalla notifica dell'incidente | Art. 14(4)(c) | Incidente grave |
L'obbligo di segnalazione ai sensi dell'Articolo 14 si applica dall'11 settembre 2026. Se il Suo prodotto presenta una vulnerabilità attivamente sfruttata dopo tale data, è tenuto a inviare una notifica di preallarme al CSIRT designato come coordinatore e all'ENISA entro 24 ore, una notifica più completa entro 72 ore e una relazione finale entro 14 giorni. Ciò richiede che l'infrastruttura di monitoraggio delle vulnerabilità sia già operativa prima di tale data. Lo SBOM costituisce il fondamento di quel monitoraggio: non è possibile tracciare ciò che non si è documentato.
Conseguenze della non conformità
La non conformità al CRA comporta conseguenze sia finanziarie sia commerciali. Le autorità di vigilanza del mercato di ogni Stato membro dell'UE applicheranno queste sanzioni.
| Conseguenze finanziarie | Conseguenze commerciali |
|---|---|
| Sanzioni fino a 15.000.000 EUR o 2,5 % del fatturato mondiale totale annuo (Art. 64(2)) | Richiamo del prodotto o ritiro dal mercato UE |
| I mancati adempimenti agli obblighi di segnalazione possono essere soggetti a sanzioni distinte ai sensi dell'Art. 64(2) e 64(3) | Divieto di commercializzazione: i prodotti non conformi non possono recare la marcatura CE |
| Informazioni false o incomplete alle autorità: fino a 5.000.000 EUR / 1 % (Art. 64(4)) | Impatto sulla catena di fornitura: i clienti potrebbero non essere in grado di utilizzare il Suo prodotto nella propria conformità al CRA |
Esposizione alle sanzioni per tipo di operatore
L'Articolo 64 fissa massimali di sanzione diversi a seconda dell'obbligo violato e dell'operatore responsabile. L'obbligo SBOM rientra nell'Allegato I, pertanto uno SBOM assente o non conforme ricade nella fascia dell'Articolo 64, paragrafo 2 per i fabbricanti.
| Operatore | Obbligo violato | Articolo | Sanzione massima |
|---|---|---|---|
| Fabbricante | Requisiti essenziali dell'Allegato I (incluso SBOM) o obblighi degli Articoli 13-14 | Art. 64(2) | 15.000.000 EUR o 2,5 % del fatturato mondiale totale annuo |
| Importatore | Obblighi dell'importatore ai sensi dell'Articolo 19 (verifica, etichettatura, documentazione) | Art. 64(3) | 10.000.000 EUR o 2 % del fatturato mondiale totale annuo |
| Importatore che agisce come fabbricante | Escalation ai sensi dell'Articolo 22: il prodotto con marchio proprio o modificato attiva il regime completo del fabbricante | Art. 64(2) | 15.000.000 EUR o 2,5 % del fatturato mondiale totale annuo |
| Distributore | Obblighi del distributore ai sensi dell'Articolo 20 (verifica, cooperazione con la vigilanza) | Art. 64(3) | 10.000.000 EUR o 2 % del fatturato mondiale totale annuo |
| Tutti gli operatori economici | Fornitura di informazioni inesatte, incomplete o fuorvianti alle autorità | Art. 64(4) | 5.000.000 EUR o 1 % del fatturato mondiale totale annuo |
L'Articolo 22 assoggetta un importatore al regime completo del fabbricante quando appone il proprio marchio su un prodotto di terzi o ne modifica il software prima della rivendita. L'esposizione alle sanzioni passa da 10 milioni di euro / 2 % a 15 milioni di euro / 2,5 %, e si applicano tutti gli obblighi dell'Articolo 13, compresi i requisiti SBOM dell'Allegato I.
Nel determinare l'importo della sanzione amministrativa pecuniaria, le autorità devono tenere in debita considerazione i tre fattori previsti dall'Articolo 64, paragrafo 5:
| Fattore | Impatto |
|---|---|
| La natura, la gravità e la durata della violazione e delle sue conseguenze | Violazione più grave e prolungata = sanzione più elevata |
| Se le stesse o altre autorità di vigilanza del mercato hanno già applicato sanzioni allo stesso operatore economico per una violazione analoga | Recidiva = sanzione più elevata |
| Le dimensioni dell'operatore economico, in particolare per quanto riguarda le microimprese e le piccole e medie imprese, start up comprese | Operatore più piccolo = sanzione proporzionalmente inferiore |
Le microimprese e le piccole imprese sono esenti dalle sanzioni amministrative pecuniarie per il mancato rispetto del termine di notifica di preallarme ai sensi dell'Articolo 14, paragrafo 2, lettera a), e dell'Articolo 14, paragrafo 4, lettera a). I gestori di software open-source sono esenti dalle violazioni disciplinate dall'Articolo 64, paragrafi da 3 a 9. Gli obblighi dell'Allegato I restano applicabili; soltanto la conseguenza della sanzione amministrativa pecuniaria viene meno in quelle situazioni specifiche.
Domande frequenti
Qual è la sanzione massima prevista dal CRA?
L'Articolo 64, paragrafo 2 fissa il massimo a 15.000.000 EUR o al 2,5 % del fatturato mondiale totale annuo, se superiore. Per le grandi imprese, il calcolo sul fatturato può superare di gran lunga il tetto fisso. Il limite di 15.000.000 EUR si applica soltanto quando il 2,5 % del fatturato è inferiore a tale soglia.
Un'impresa può essere sanzionata prima della scadenza del dicembre 2027?
I prodotti immessi sul mercato dopo l'11 dicembre 2027 devono essere pienamente conformi. L'obbligo di segnalazione delle vulnerabilità ai sensi dell'Articolo 14 entra però in vigore l'11 settembre 2026. Le autorità possono applicare quell'obbligo da quella data. Un'impresa che ignora una vulnerabilità attivamente sfruttata confermata dopo il settembre 2026 è già esposta a rischi di enforcement.
Le sanzioni del CRA si applicano per prodotto o per impresa?
Le sanzioni vengono valutate per violazione, non per unità venduta. Una singola linea di prodotto non conforme costituisce una violazione, ma il calcolo della sanzione tiene conto della portata della non conformità, del numero di unità in circolazione e di eventuali benefici economici conseguiti. La non conformità sistematica su più linee di prodotto viene di norma trattata come violazioni distinte.
Quale autorità applica il CRA in ogni Stato membro dell'UE?
Il CRA non designa un unico soggetto responsabile dell'applicazione a livello UE. Ogni Stato membro designa la propria autorità di vigilanza del mercato. Il BSI tedesco, l'ANSSI francese, l'ACN italiana e il CERT Polska polacco sono gli organismi nazionali che si prevede assumano un ruolo guida. La EU Product Compliance Network coordina l'applicazione transfrontaliera quando le problematiche riguardano più mercati.
Cosa innesca un'indagine di vigilanza del mercato ai sensi del CRA?
I fattori scatenanti più comuni includono segnalazioni di concorrenti, incidenti di sicurezza segnalati da clienti, campionamento casuale di prodotti da parte delle autorità, segnalazioni in sede di ispezione doganale e vulnerabilità pubblicamente note non corrette. Le autorità conducono inoltre campagne settoriali proattive mirate alle categorie di prodotti ad alto rischio.
Per quanto tempo deve essere conservato uno SBOM dopo il ritiro di un prodotto?
L'Articolo 13, paragrafo 13 impone ai fabbricanti di tenere la documentazione tecnica e la dichiarazione di conformità UE a disposizione delle autorità di vigilanza del mercato per un periodo di almeno dieci anni dalla data di immissione sul mercato del prodotto con elementi digitali o per il periodo di assistenza, se quest'ultimo è superiore. Il computo parte dall'ultimo esemplare immesso sul mercato, non dal primo. Lo SBOM deve restare aggiornato per tutto il periodo di assistenza attivo, che il CRA fissa a un minimo di 5 anni.