CRA Notifica vulnerabilità: ENISA SRP, orologio 24h/72h/14g

Il Regolamento sulla ciberresilienza dell'UE (Regolamento (UE) 2024/2847) trasforma la segnalazione delle vulnerabilità in un obbligo giuridico vincolante con scadenze precise per ogni fabbricante di prodotti con elementi digitali. Dall'11 settembre 2026, l'Articolo 14 impone la notifica delle vulnerabilità attivamente sfruttate e degli incidenti gravi tramite la piattaforma di segnalazione unica ENISA (SRP) con cadenza 24 ore / 72 ore / 14 giorni, accompagnata da una policy obbligatoria sulla divulgazione coordinata delle vulnerabilità (CVD) ai sensi dell'Allegato I Parte II. Questa pagina è il riferimento canonico: cosa richiede la legge, quando inizia ciascun conto, cosa deve contenere una policy CVD conforme, come VEX supporta l'obbligo di assenza di vulnerabilità sfruttabili note e quali sanzioni prevede l'Articolo 64 in caso di mancata segnalazione.

  • Segnalazione ai sensi dell'Articolo 14 dal 11 settembre 2026: avviso preliminare a 24 ore, notifica a 72 ore, relazione finale entro 14 giorni (vulnerabilità) o 1 mese (incidenti gravi).
  • Una sola notifica tramite la ENISA SRP: la piattaforma instrada simultaneamente al CSIRT coordinatore e a ENISA (Art. 14(1), Art. 16(1)).
  • "Attivamente sfruttata" significa che un attore malevolo ha fatto uso della falla, non la divulgazione, non una PoC pubblica, non la dimostrazione di un ricercatore.
  • Una policy CVD è obbligatoria ai sensi dell'Allegato I Parte II: scritta, pubblicata, applicata. Nessuna soglia dimensionale la elimina.
  • VEX risponde alla domanda "questa CVE riguarda davvero il mio prodotto?" ed è il meccanismo operativo alla base del requisito CRA di assenza di vulnerabilità sfruttabili note.
  • Sanzioni massime: 15 M€ o 2,5% del fatturato mondiale ai sensi dell'Articolo 64 (fascia massima, applicabile alle violazioni dell'Articolo 14).
24h
Avviso preliminare
vuln. attivamente sfruttate, Art. 14(2)(a)
72h
Notifica
dettagli tecnici, Art. 14(2)(b)
14 giorni
Relazione finale
dalla misura correttiva, Art. 14(2)(c)
€15M / 2,5%
Sanzione massima
Articolo 64, il maggiore tra i due

I quattro numeri che definiscono la segnalazione delle vulnerabilità CRA: avviso, notifica, relazione finale e massimale della sanzione.

Il conto delle 24 ore parte dalla consapevolezza, non dalla conferma

L'Articolo 14 utilizza lo standard della "ragionevole convinzione". Il conto parte nel momento in cui le evidenze rendono lo sfruttamento attivo una conclusione credibile (segnalazioni di clienti, threat intelligence, pattern di accesso sospetti). La certezza forense non è richiesta, e attendere di averla farà mancare la scadenza.

Cosa Richiede il CRA per la Segnalazione delle Vulnerabilità?

L'Articolo 14 del Regolamento sulla ciberresilienza è il nucleo operativo del regime di gestione degli incidenti del regolamento. Impone tre obblighi a ogni fabbricante di prodotti con elementi digitali immessi sul mercato UE:

  1. Notificare qualsiasi vulnerabilità attivamente sfruttata nel prodotto simultaneamente al CSIRT coordinatore e a ENISA, con cadenza 24h / 72h / 14 giorni (Art. 14(1), 14(2)).
  2. Notificare qualsiasi incidente grave che incida sulla sicurezza del prodotto con cadenza 24h / 72h / 1 mese (Art. 14(3), 14(4)).
  3. Informare gli utenti del prodotto interessato in merito alla vulnerabilità o all'incidente e alle eventuali misure correttive, senza indebito ritardo (Art. 14(8)).

L'Articolo 14 si affianca a due altri obblighi trattati in questa pagina: la policy CVD obbligatoria ai sensi dell'Allegato I Parte II e il requisito di assenza di vulnerabilità sfruttabili note ai sensi dell'Allegato I Parte I, motivo per cui VEX è rilevante per un prodotto conforme al CRA. Nessuno di questi obblighi prevede una soglia dimensionale. Le PMI beneficiano di uno stretto sgravio sanzionatorio sulla scadenza delle 24 ore (si veda oltre), ma non sono esonerate dalla segnalazione.

La Piattaforma di Segnalazione Unica ENISA (SRP)

La SRP è il canale unico attraverso cui transita ogni notifica ai sensi dell'Articolo 14. Esiste perché l'Articolo 14(1) impone al fabbricante di notificare simultaneamente il CSIRT coordinatore e ENISA, e 27 notifiche separate sarebbero impraticabili. L'Articolo 16(1) affida la piattaforma alla responsabilità operativa di ENISA: "la gestione e la manutenzione quotidiane di tale piattaforma di segnalazione unica sono assicurate da ENISA."

Come funziona in pratica:

  • Si invia una sola notifica tramite il terminale elettronico del CSIRT designato come coordinatore ai sensi dell'Articolo 14(7).
  • La notifica raggiunge simultaneamente il CSIRT coordinatore e ENISA.
  • Il CSIRT coordinatore diffonde quindi la notifica ai CSIRT degli altri Stati membri in cui il prodotto è immesso sul mercato (Art. 16). Quella diffusione secondaria è responsabilità del CSIRT, non del fabbricante.
  • L'Articolo 16(2) consente a un CSIRT di ritardare la diffusione in circostanze particolarmente eccezionali. L'Articolo 16(6) consente un ritardo durante la divulgazione coordinata con il consenso del fabbricante.

Stato a maggio 2026: la SRP è prevista operativa entro l'11 settembre 2026, secondo la pagina ENISA SRP. L'implementazione è stata affidata tramite gara ENISA/2025/OP/0001 (contratto quadriennale) con chiusura a marzo 2025. Il fornitore non è stato reso pubblico. Nessun URL di registrazione è stato pubblicato. È atteso un periodo di test pre-lancio; le date specifiche non sono state annunciate. Gli atti di esecuzione ai sensi dell'Articolo 14 che fissano i formati e la struttura delle notifiche erano ancora in attesa al momento della redazione.

Cosa devono fare i fabbricanti ora: identificare il proprio CSIRT coordinatore ai sensi dell'Articolo 14(7), redigere e pre-approvare i template di segnalazione per le notifiche a 24h, 72h e 14 giorni, e definire una rota di escalation fuori orario. Template e processi non possono essere redatti mentre il conto delle 24 ore è in corso.

Scadenze di Segnalazione in Dettaglio

Vulnerabilità e incidenti gravi seguono entrambi un modello di segnalazione a stadi. I conti differiscono nella fase della relazione finale.

Tabella delle Scadenze di Segnalazione ai sensi dell'Articolo 14

Fase Vulnerabilità (Art. 14(2)) Incidente grave (Art. 14(4)) Punto di partenza
Avviso preliminare 24 ore 24 ore Il fabbricante ne viene a conoscenza
Notifica dettagliata 72 ore 72 ore Il fabbricante ne viene a conoscenza
Relazione finale 14 giorni dalla disponibilità di una misura correttiva o di attenuazione 1 mese dalla notifica dell'incidente a 72 ore Punto di partenza diverso per ciascun percorso
Informazione agli utenti Senza indebito ritardo Senza indebito ritardo Ai sensi dell'Art. 14(8)

Contenuto di Ciascuna Notifica

Avviso preliminare (24 ore). Informazioni minime per allertare le autorità: identità del fabbricante, prodotto e versione interessati, breve descrizione, gravità iniziale, se lo sfruttamento è confermato o sospettato e un'indicazione della portata potenziale dell'impatto. L'avviso preliminare è un segnale, non un'analisi.

Notifica dettagliata (72 ore). A questa fase si applicano due obblighi distinti. La notifica di vulnerabilità a 72 ore ai sensi dell'Articolo 14(2)(b) riguarda le vulnerabilità attivamente sfruttate. La notifica di incidente a 72 ore ai sensi dell'Articolo 14(4)(b) riguarda gli incidenti gravi. In entrambi i casi la notifica espande l'avviso preliminare con dettagli tecnici, versioni e configurazioni interessate, metodo di sfruttamento (se noto), stato attuale della mitigazione, stima della timeline di rimedio, portata degli utenti noti interessati e qualsiasi coordinamento in corso con terze parti.

Relazione finale. Per le vulnerabilità, il conto dei 14 giorni parte "al più tardi 14 giorni dopo che una misura correttiva o di attenuazione è disponibile" (Art. 14(2)(c)), non dalla scoperta né dalla notifica a 72 ore. Per gli incidenti gravi, il conto di 1 mese è ancorato alla notifica dell'incidente a 72 ore ai sensi dell'Articolo 14(4)(c). La relazione finale copre la causa radice, la descrizione tecnica integrale, le azioni di rimedio intraprese, le misure di prevenzione attuate e la valutazione dell'impatto confermato.

  1. Consapevolezza del fabbricante. Il conto delle 24 ore parte nel momento in cui si forma una ragionevole convinzione dello sfruttamento attivo.
  2. + 24 ore. Avviso preliminare inviato tramite la ENISA SRP (Art. 14(2)(a)).
  3. + 72 ore. Notifica dettagliata inviata con dettagli tecnici, versioni interessate e stato della mitigazione (Art. 14(2)(b)).
  4. Misura correttiva o di attenuazione disponibile. Il conto dei 14 giorni per la relazione finale parte qui, non dalla scoperta.
  5. + 14 giorni. Relazione finale inviata: causa radice, descrizione tecnica integrale, rimedio, impatto confermato (Art. 14(2)(c)).

Cosa Attiva l'Obbligo di Segnalazione?

L'Articolo 14 prevede due categorie che attivano l'obbligo.

1. Vulnerabilità Attivamente Sfruttate

Una vulnerabilità nel prodotto che:

  • è nota al fabbricante (rilevata internamente o segnalata dall'esterno),
  • è stata usata da un attore malevolo, e
  • colpisce o potrebbe colpire gli utenti del prodotto.

Il CRA definisce una vulnerabilità attivamente sfruttata come quella in cui "un attore malevolo fa uso di una falla." Questo non coincide con la divulgazione pubblica, una proof-of-concept pubblicata o la dimostrazione di sfruttabilità da parte di un ricercatore. Il trigger è l'uso malevolo reale.

2. Incidenti Gravi

Incidenti di sicurezza che incidono sulla sicurezza del prodotto, compromettono l'ambiente di sviluppo in modo da influenzarne la sicurezza, causano un'interruzione diffusa del servizio agli utenti o determinano una compromissione su vasta scala.

Scenari da Segnalare e Scenari Non Segnalabili

Scenario Da segnalare? Motivazione
Un ricercatore segnala una vulnerabilità in forma riservata No Nessuna evidenza di sfruttamento; gestire tramite CVD
PoC pubblicata su GitHub No La pubblicazione non equivale a sfruttamento
Un cliente segnala attività coerente con la vulnerabilità Soglia della ragionevole convinzione soddisfatta
Vulnerabilità rilevata come sfruttata in the wild Uso malevolo attivo
Un componente nello SBOM ha una CVE nota sfruttata Valutare Segnalabile solo se lo sfruttamento colpisce il prodotto specifico (VEX rilevante)
Il prodotto è preso di mira da attori di minaccia nominati Evidenza diretta di sfruttamento
Un malware generico sfrutta una classe di vulnerabilità presente nel prodotto Valutare Solo se la specifica implementazione è interessata

Lo Standard della "Ragionevole Convinzione"

La prova forense dello sfruttamento non è richiesta. Lo standard dell'Articolo 14 è la ragionevole convinzione basata sulle evidenze disponibili: pattern di accesso insoliti coerenti con tecniche di exploit note, segnalazioni di clienti di compromissione, threat intelligence che indica che il prodotto è preso di mira o rilevamento di codice exploit progettato per il prodotto. In caso di incertezza, segnalare. Un avviso preliminare anticipato che si rivela infondato è di gran lunga preferibile a una scadenza mancata per uno sfruttamento reale, e la notifica a 72 ore può aggiornare la valutazione.

Policy sulla divulgazione coordinata delle vulnerabilità (CVD): il legame con l'articolo 14

L'Allegato I, Parte II, punto 5 del Regolamento sulla cibersicurezza impone ai fabbricanti di «istituire e applicare una politica di divulgazione coordinata delle vulnerabilità». La policy CVD è il meccanismo operativo che trasforma le segnalazioni dei ricercatori esterni in un flusso di triage strutturato e che, quando il triage rileva uno sfruttamento attivo, fa partire in parallelo il contatore di segnalazione dell'articolo 14. L'obbligo si applica a ogni prodotto con elementi digitali, senza soglia dimensionale né esenzione per le PMI. Il livello minimo di pubblicazione è un URL pubblico più un file security.txt in /.well-known/security.txt (RFC 9116), affinché le segnalazioni siano individuabili dai ricercatori che il Regolamento intende canalizzare.

Per i contenuti della policy, le finestre di divulgazione, le clausole di safe harbour e i modelli di comunicazione con i ricercatori, si veda la guida CRA dedicata alla divulgazione coordinata delle vulnerabilità. Per come la CVD si colloca tra gli altri obblighi dell'Allegato I, Parte II (SBOM, remediation, aggiornamenti sicuri, fornitura a titolo gratuito), si veda la gestione delle vulnerabilità CRA. Questa pagina si concentra sulla cadenza di notifica dell'articolo 14 che scatta quando il triage conferma lo sfruttamento attivo.

VEX: Comunicare l'Applicabilità delle Vulnerabilità

L'Allegato I Parte I impone ai prodotti CRA di essere immessi sul mercato senza vulnerabilità sfruttabili note e con una configurazione sicura per impostazione predefinita. La scansione degli SBOM produce lunghi elenchi di CVE sui componenti, la maggior parte dei quali non è effettivamente sfruttabile nel prodotto specifico. VEX (Vulnerability Exploitability eXchange) è il meccanismo che trasforma quei risultati grezzi di scansione in una posizione difendibile "non interessato / interessato / corretto / in indagine" per ogni CVE, che è quanto il regolamento, gli standard armonizzati in sviluppo e gli appalti tedeschi ai sensi di BSI TR-03183 Parte 3 si aspettano.

Cos'è VEX

VEX è una dichiarazione strutturata e leggibile da macchina circa il fatto che una vulnerabilità in un componente riguardi effettivamente un prodotto specifico. Risponde alla domanda: "CVE-XXXX esiste nel nostro SBOM. Interessa il nostro prodotto, perché sì o perché no, e cosa deve fare l'utente?" I quattro stati principali sono:

Stato Significato
not_affected La vulnerabilità esiste nel componente ma non riguarda questo prodotto (percorso del codice vulnerabile non raggiungibile, funzione non chiamata, configurazione che mitiga, ecc.). È attesa una giustificazione.
affected La vulnerabilità riguarda questo prodotto. Sono attesi azione e raccomandazione.
fixed La vulnerabilità era presente ed è stata corretta in questa versione.
under_investigation Stato non ancora determinato; valutazione in corso.

Collegamento con il CRA

VEX non è nominato nel testo del CRA, ma è lo strumento operativo alla base di tre clausole del regolamento:

  • Allegato I Parte I, assenza di vulnerabilità sfruttabili note. Una dichiarazione VEX not_affected con una giustificazione documentata è l'evidenza che si è valutato un CVE e si è concluso che non si applica. Senza di essa, ogni CVE nello SBOM è una presunta esposizione.
  • Allegato I Parte II, gestione delle vulnerabilità. VEX è la traccia di audit di come ogni CVE si è spostato da under_investigation a not_affected, affected o fixed nel tempo.
  • Articolo 14, trigger di segnalazione. Una vulnerabilità contrassegnata come affected e nota per essere attivamente sfruttata è esattamente il trigger che avvia il conto delle 24 ore. Una vulnerabilità contrassegnata not_affected con una giustificazione solida non lo è.

Formati VEX

Due formati sono rilevanti in pratica. CycloneDX VEX è incorporato direttamente in uno SBOM CycloneDX sotto vulnerabilities[].analysis. CSAF VEX è un documento separato in CSAF 2.0 (il formato che BSI TR-03183 Parte 3 richiede per i bollettini di sicurezza e che i CERT tedeschi pubblicano e consumano per impostazione predefinita). Entrambi sono leggibili da macchina e soddisfano entrambi lo stesso ruolo operativo.

Un'asserzione VEX CycloneDX minimale:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "version": 1,
  "vulnerabilities": [
    {
      "id": "CVE-2027-XXXXX",
      "source": { "name": "NVD" },
      "analysis": {
        "state": "not_affected",
        "justification": "code_not_reachable",
        "detail": "The vulnerable function is not called in our implementation."
      },
      "affects": [{ "ref": "pkg:generic/openssl@3.0.12" }]
    }
  ]
}

La specifica CycloneDX 1.5 definisce sei stati di analisi (in_triage, exploitable, not_affected, false_positive, resolved, resolved_with_pedigree), un vocabolario a granularità più fine rispetto ai quattro di OpenVEX (not_affected, affected, fixed, under_investigation), sui quali si mappa. BSI TR-03183 Parte 3 si aspetta dichiarazioni VEX insieme agli SBOM per i prodotti allineati al CRA. Per il quadro completo su SBOM e BSI TR-03183, si veda la guida cluster SBOM.

Esenzioni per PMI e Obblighi Ridotti

L'Articolo 64(10) prevede uno stretto sgravio sanzionatorio per i fabbricanti più piccoli. Non esonera nessuno dalla segnalazione.

Le microimprese e le piccole imprese (definite come meno di 50 dipendenti e un fatturato annuo o totale di bilancio fino a 10 milioni di EUR; microimprese: meno di 10 dipendenti, 2 milioni di EUR) sono esonerate dalle sanzioni specificamente per il mancato rispetto delle scadenze dell'avviso preliminare di 24 ore ai sensi dell'Articolo 14(2)(a) e dell'Articolo 14(4)(a). L'esonero copre solo le sanzioni per la tempistica della scadenza delle 24 ore.

Ancora obbligatori, senza esonero PMI:

  • La notifica dettagliata a 72 ore (Art. 14(2)(b) e 14(4)(b)).
  • La relazione finale a 14 giorni per le vulnerabilità e a 1 mese per gli incidenti gravi.
  • La policy CVD ai sensi dell'Allegato I Parte II.
  • Tutti gli altri obblighi CRA, incluso il requisito di assenza di vulnerabilità sfruttabili note ai sensi dell'Allegato I Parte I.

Le medie imprese (fino a 250 dipendenti) non sono coperte dallo sgravio PMI in alcun modo. L'esonero è uno stretto sgravio sanzionatorio, non un regime di segnalazione ridotto.

Errori Comuni

  • Attendere la certezza forense prima di avviare il conto. L'Articolo 14 usa lo standard della ragionevole convinzione. Attendere la prova farà mancare la scadenza.
  • Confondere CVD e segnalazione ai sensi dell'Articolo 14. La segnalazione di un ricercatore è un input per il processo CVD; la segnalazione ai sensi dell'Articolo 14 scatta quando ci sono evidenze di sfruttamento attivo. La policy CVD deve contenere un gate esplicito per questo.
  • Escalation a punto unico di guasto. Una sola persona autorizzata a segnalare, irraggiungibile un venerdì sera. Il conto delle 24 ore non si ferma.
  • Primo contatto con il CSIRT coordinatore durante un incidente. Stabilire la relazione e il percorso di notifica adesso, mentre non c'è ancora nessun conto in corso.
  • Nessuna policy CVD pubblicata. L'obbligo dell'Allegato I Parte II non è soddisfatto da un documento interno.
  • Nessuna asserzione VEX. Ogni CVE nello SBOM è presunto sfruttabile finché non si dice diversamente. L'Allegato I Parte I è molto più difficile da difendere senza VEX.
  • Trattare il lancio della SRP come un problema futuro. Template, rote di escalation e relazioni con i CSIRT devono essere in vigore prima di settembre 2026, non costruiti dopo.

Domande Frequenti

Quando si applicano gli obblighi di segnalazione delle vulnerabilità ai sensi dell'Articolo 14 del CRA?

Gli obblighi di segnalazione dell'Articolo 14 si applicano dall'11 settembre 2026 (regime transitorio Art. 71). Da quella data, ogni fabbricante di prodotti con elementi digitali immessi sul mercato UE deve inviare avvisi preliminari, notifiche dettagliate e relazioni finali tramite la piattaforma di segnalazione unica ENISA con cadenza 24h / 72h / 14 giorni (o 24h / 72h / 1 mese per gli incidenti gravi). L'applicazione completa del CRA, incluso il requisito di assenza di vulnerabilità sfruttabili note, segue l'11 dicembre 2027.

Cos'è la piattaforma di segnalazione unica ENISA (SRP)?

La SRP è il canale unico attraverso cui vengono inviate le notifiche ai sensi dell'Articolo 14. ENISA la istituisce e la gestisce ai sensi dell'Articolo 16(1). Un fabbricante invia una sola notifica, che raggiunge simultaneamente il CSIRT coordinatore e ENISA, e il CSIRT diffonde la notifica agli altri Stati membri in cui il prodotto è immesso sul mercato. La piattaforma è prevista operativa entro l'11 settembre 2026; l'implementazione è stata affidata tramite gara ENISA/2025/OP/0001 e il fornitore non è stato reso pubblico. Nessun URL di registrazione era stato pubblicato a maggio 2026.

Il CRA richiede una policy sulla divulgazione coordinata delle vulnerabilità (CVD)?

Sì. L'Allegato I Parte II impone ai fabbricanti di "mettere in atto e applicare una politica di divulgazione coordinata delle vulnerabilità." La policy deve esistere per iscritto, deve essere applicata quando arrivano le segnalazioni e deve essere fatta rispettare in modo coerente. Il CRA non prescrive il contenuto, ma l'aspettativa pratica (supportata dalla guida ENISA e da ISO/IEC 29147) è un documento pubblico che copra ambito, metodi di contatto (incluso security.txt), impegni di risposta, timeline di divulgazione, safe harbour legale, riconoscimento, elementi fuori ambito e un gate esplicito che avvia la segnalazione ai sensi dell'Articolo 14 quando viene rilevato lo sfruttamento attivo.

Cos'è VEX e serve per la conformità CRA?

VEX (Vulnerability Exploitability eXchange) è una dichiarazione leggibile da macchina circa il fatto che una vulnerabilità in un componente SBOM riguardi effettivamente un prodotto specifico. Il CRA non nomina VEX, ma l'Allegato I Parte I richiede che i prodotti siano immessi sul mercato senza "vulnerabilità sfruttabili note", e senza VEX ogni CVE nello SBOM è presunto applicabile. Le asserzioni VEX (incorporate in CycloneDX o come documenti CSAF autonomi) sono il meccanismo operativo che consente di difendere una posizione "non interessato" con una giustificazione documentata. BSI TR-03183 Parte 3 si aspetta VEX insieme agli SBOM per i prodotti allineati al CRA, il che lo rende il requisito di fatto per gli appalti tedeschi e per il lavoro in corso sugli standard armonizzati.

Quali sono le sanzioni per segnalazione tardiva o mancante ai sensi dell'Articolo 14 del CRA?

Le violazioni degli obblighi dell'Articolo 14 rientrano nella fascia sanzionatoria massima ai sensi dell'Articolo 64: fino a 15.000.000 € o, per le imprese, fino al 2,5% del fatturato annuo mondiale totale, a seconda di quale sia maggiore. Le violazioni di medio livello di altri obblighi comportano sanzioni fino a 10.000.000 € o al 2%. La comunicazione di informazioni ingannevoli alle autorità comporta sanzioni fino a 5.000.000 € o all'1%. Le microimprese e le piccole imprese sono esonerate dalle sanzioni specificamente per il mancato rispetto della scadenza dell'avviso preliminare di 24 ore ai sensi dell'Articolo 64(10), ma non per il mancato rispetto della notifica a 72 ore o della relazione finale a 14 giorni. Le medie imprese non beneficiano di alcuno sgravio PMI.

Dove si presenta la notifica se il prodotto è venduto in più Stati membri?

Una sola notifica alla SRP, indirizzata al CSIRT coordinatore dello Stato membro in cui l'organizzazione ha il proprio stabilimento principale (Articolo 14(7)). Per i fabbricanti non UE, la cascata segue: Stato membro del rappresentante autorizzato, poi dell'importatore, poi del distributore, poi del paese con la maggiore concentrazione di utenti. Non è necessario presentare notifiche separate in ogni Stato membro in cui il prodotto è venduto. Ai sensi dell'Articolo 16, il CSIRT coordinatore diffonde la notifica agli altri Stati membri.

Il conto delle 24 ore si sospende nei fine settimana e nei giorni festivi?

No. Le scadenze dell'Articolo 14 decorrono in tempo di calendario, non in tempo lavorativo. L'avviso preliminare di 24 ore, la notifica a 72 ore e la relazione finale a 14 giorni o 1 mese decorrono tutti continuamente dal momento della ragionevole convinzione, dell'avviso preliminare o della disponibilità della misura correttiva. Una rota di escalation fuori orario e reporter pre-autorizzati che coprano i fine settimana e i giorni festivi sono un requisito operativo, non un'opzione.

Come interagisce la segnalazione ai sensi dell'Articolo 14 con NIS 2?

L'Articolo 14 copre le vulnerabilità e gli incidenti a livello di prodotto. NIS 2 copre gli incidenti a livello di organizzazione o servizio presso le entità essenziali e importanti. Un singolo evento può attivare entrambi i regimi (ad esempio, una vulnerabilità sfruttata in un prodotto SaaS che è anche un servizio di un'entità essenziale ai sensi di NIS 2). Ciascun regime ha le proprie autorità competenti e canali: la SRP per l'Articolo 14 del CRA, e il punto di contatto unico NIS 2 in ciascuno Stato membro. L'interazione tra i due canali non è stata confermata in linee guida definitive. Qualsiasi affermazione che la SRP instrada per entrambi i regimi va trattata come non confermata fino alla pubblicazione di atti di esecuzione definitivi da parte di ENISA o della Commissione.

Cosa fare prima dell'11 settembre 2026

  1. Pubblicare un file security.txt in /.well-known/security.txt (RFC 9116) con un indirizzo di contatto monitorato e una data di scadenza successiva all'11 settembre 2026. È il modo più rapido per aprire un canale di ricezione verificabile.
  2. Pubblicare una policy CVD che soddisfi l'Allegato I Parte II: ambito, contatti, impegni di risposta, finestra di divulgazione di 90 giorni, safe harbour legale, gate per la segnalazione ENISA ai sensi dell'Articolo 14 ed elementi fuori ambito. Usare lo schema sopra come punto di partenza.
  3. Identificare il proprio CSIRT coordinatore ai sensi dell'Articolo 14(7) e documentare la decisione di instradamento con una data (stabilimento principale per i fabbricanti UE, cascata del rappresentante autorizzato per i non UE).
  4. Definire una rota di escalation pre-autorizzata che copra i fine settimana e i giorni festivi. Almeno due persone nominativamente devono poter inviare un avviso preliminare senza autorizzazione da livelli superiori. Eseguire una simulazione tabletop prima di settembre 2026.
  5. Pre-redigere i template di avviso preliminare e di notifica a 72 ore in modo che i dati dovuti siano strutturati prima che il conto sia in corso, non mentre lo è.
  6. Integrare VEX nel ciclo di vita dello SBOM: ogni CVE che colpisce lo scanner SBOM riceve uno stato di analisi e una giustificazione. Senza VEX, difendere l'Allegato I Parte I è molto più difficile. La guida cluster SBOM copre il lato SBOM; questa pagina copre il lato della segnalazione.
  7. Monitorare la pagina ENISA SRP per l'URL di registrazione e la finestra del periodo di test. Registrarsi non appena i test si aprono in modo che il flusso di notifica sia validato prima della scadenza. Se si preferisce non configurare da zero la segnalazione ENISA, CRA Evidence traccia i timestamp di consapevolezza ai sensi dell'Articolo 14, le versioni di prodotto collegate all'SBOM e gli input di instradamento CSIRT necessari per le notifiche SRP.