Le norme armonizzate sono le specifiche tecniche che traducono gli ampi requisiti dell'Allegato I del Cyber Resilience Act in disposizioni concrete e verificabili. Questa pagina spiega cosa sono e segue ogni bozza prevista dalla richiesta di normazione M/606 della Commissione europea: la categoria di prodotto, l'ente che la elabora, il suo stato attuale e un link a ciascuna bozza pubblica.
In sintesi
- Nessuna norma armonizzata CRA è ancora pubblicata nella Gazzetta ufficiale (al 4 giugno 2026), quindi la presunzione di conformità prevista dall'Articolo 27 non è disponibile per alcuna categoria di prodotto.
- Le bozze di prodotto dell'ETSI e le prime norme CEN sono quelle più avanzate. Le bozze EN 304 6xx sono pubbliche e già consultabili, e diverse norme CEN (il vocabolario orizzontale EN 40000, le parti su principi e gestione delle vulnerabilità, più le norme sugli elementi sicuri EN 50764/50765/50766 e prEN 18330) hanno chiuso l'inchiesta pubblica e sono in fase di approvazione.
- Il resto è a uno stadio più arretrato: i profili OT EN 50770, la parte dell'EN 40000 sui requisiti generici di sicurezza, l'EN 50767 e i lavori non ancora numerati del CEN/TC 224 su identità e hardware critico sono ancora pre-inchiesta.
- Non deve aspettare. Legga la bozza pertinente per anticipare i requisiti e costruisca le prove dell'Allegato I che il CRA richiede, a prescindere da quale norma si applichi.
Cos'è una norma armonizzata
Il Cyber Resilience Act enuncia i suoi requisiti essenziali di cibersicurezza in termini giuridici ampi. Una norma armonizzata è una specifica tecnica, elaborata da un'organizzazione europea di normazione su richiesta della Commissione europea, che traduce quei requisiti in disposizioni concrete e verificabili. Alcune norme sono specifiche per un tipo di prodotto (per esempio i router, o il software antivirus); altre sono orizzontali e si applicano a tutte le categorie.
Una norma armonizzata acquista efficacia giuridica solo quando la Commissione ne pubblica il riferimento nella Gazzetta ufficiale dell'Unione europea (GUUE). Da quel momento, un prodotto conforme alla norma è presunto conforme ai requisiti che quella norma copre. In pratica questo produce due effetti:
- offre ai fabbricanti un modo riconosciuto e verificabile per dimostrare la conformità; e
- per i prodotti importanti della Classe I, l'applicazione di una norma armonizzata pubblicata consente al fabbricante l'autovalutazione mediante controllo interno anziché il ricorso a un organismo notificato. Non elimina la valutazione di terze parti necessaria per i prodotti di Classe II e critici, e i prodotti ordinari fuori da queste fasce possono già autovalutarsi da soli.
Stato, al 4 giugno 2026: nessuna norma armonizzata CRA è stata ancora approvata né ha avuto il proprio riferimento pubblicato nella Gazzetta ufficiale. Ogni norma nelle tabelle sottostanti è ancora una bozza, quindi la presunzione di conformità non è disponibile per alcuna categoria di prodotto. L'approvazione (ratifica come EN) e la separata citazione nella Gazzetta ufficiale sono due tappe successive, e nessuna norma ha raggiunto né l'una né l'altra; le prime norme sono attese nella seconda metà del 2026, con la citazione a seguire. Usi le bozze per anticipare i requisiti, non come base finita per la conformità.
Come vengono sviluppate le norme
La Commissione ha chiesto alle due organizzazioni europee di normazione di elaborare queste norme tramite la richiesta di normazione M/606:
- ETSI (Comitato tecnico CYBER, CYBER-EUSR) elabora le norme per la maggior parte delle categorie di software importante e di prodotti connessi. Queste portano i riferimenti EN 304 6xx e sono le più avanzate; le loro bozze sono pubbliche nella cartella di consultazione aperta ETSI CYBER-EUSR, con lo storico dei progetti nei repository ETSI Labs STAN4CRA, e sono collegate singolarmente qui sotto.
- CEN e CENELEC elaborano le norme orizzontali (la serie EN 40000), i profili per le tecnologie operative (serie EN 50770), le norme sui semiconduttori (EN 5076x) e i lavori su identità ed elementi sicuri nel CEN/TC 224. Queste non hanno un'unica cartella pubblica; lo stato è monitorato tramite la matrice dei progetti di normazione CRA DIN/DKE, la ricerca norme CEN/CENELEC e i lavori tecnici STAN4CRA.
Una bozza attraversa le versioni del gruppo di lavoro e un'inchiesta pubblica CEN (per l'ETSI, una consultazione aperta e un voto di approvazione), poi la ratifica come EN. CEN-CENELEC può saltare un voto formale separato e pubblicare direttamente dopo un'inchiesta positiva. La ratifica non è comunque il traguardo finale: la Commissione deve poi citare il riferimento nella Gazzetta ufficiale, e solo quella citazione attiva la presunzione di conformità. A giugno 2026 diverse bozze CEN hanno chiuso l'inchiesta pubblica (il vocabolario EN 40000, le parti su principi e gestione delle vulnerabilità e le norme sugli elementi sicuri) e l'EN 304 627 dell'ETSI è alla bozza finale; nessuna è ratificata o citata. Le prime norme sono attese nella seconda metà del 2026, con la citazione nella Gazzetta ufficiale a seguire secondo un calendario che la Commissione non ha ancora confermato.
Come leggere lo stato
| Stato | Significato |
|---|---|
| In sviluppo | Voce di lavoro attiva; nessuna bozza pubblica confermata nelle nostre fonti. |
| Bozza matura | È disponibile una bozza pubblica matura (collegata nella tabella). |
| Bozza finale | È disponibile una bozza finale, vicina al voto formale. |
| Inchiesta chiusa | La bozza ha completato la sua inchiesta pubblica CEN (un ciclo di commenti e voto) ed è in fase di finalizzazione per l'approvazione. Il testo non è gratuito: una copia della bozza si può di norma acquistare presso un ente nazionale di normazione come il DIN, ma non esiste un PDF pubblico gratuito, ed è per questo che queste righe mostrano "n/a" per la bozza. |
| Approvata (EN ratificata) | Adottata come EN da CEN-CENELEC o ETSI, ma non ancora citata nella Gazzetta ufficiale, quindi nessuna presunzione di conformità per ora. |
| Pubblicata nella GUUE | Riferimento nella Gazzetta ufficiale; si applica la presunzione di conformità. |
Le tabelle sottostanti sono raggruppate per fascia di conformità CRA. Le norme orizzontali si applicano a ogni prodotto; le norme specifiche per prodotto sono suddivise in Importante Classe I, Importante Classe II e Critico, perché è la fascia a decidere il percorso di conformità. Il riferimento della norma indica chi la elabora: EN 304 6xx = ETSI; EN 40000 = CEN-CLC/JTC 13; EN 50770 = profili per le tecnologie operative del CLC/TC 65X che affiancano le norme ETSI per le stesse funzioni; EN 5076x = CLC/TC 47X; EN 18330 = CEN/TC 224.
Nessuna norma ha raggiunto lo stato "Approvata (EN ratificata)" o "Pubblicata nella GUUE". Lo stato riflette le prove pubbliche più recenti alla data indicata in cima a questa pagina.
Norme orizzontali
La serie EN 40000, elaborata dal CEN-CLC/JTC 13, si applica a ogni prodotto con elementi digitali, in aggiunta a qualsiasi norma specifica per prodotto delle sezioni seguenti.
| M/606 | Norma | Tema | Stato |
|---|---|---|---|
| n/a | EN 40000-1-1 | Vocabolario e terminologia | Inchiesta chiusa |
| 1 | EN 40000-1-2 | Principi per la resilienza informatica | Inchiesta chiusa |
| 2-14 | EN 40000-1-4 | Requisiti generici di sicurezza | In sviluppo |
| 15 | EN 40000-1-3 | Gestione delle vulnerabilità | Inchiesta chiusa |
Prodotti importanti: Classe I
Coprono le categorie della Classe I dell'Allegato III. L'applicazione di una norma armonizzata pubblicata consente a un fabbricante di Classe I l'autovalutazione mediante controllo interno; in sua assenza, la conformità va dimostrata in altro modo.
| M/606 | Norma | Categoria di prodotto | Stato | Ultima bozza pubblica |
|---|---|---|---|---|
| 16 | Riferimento non ancora assegnato | Gestione delle identità, gestione degli accessi privilegiati, lettori di autenticazione | In sviluppo | n/a |
| 17a/b | EN 304 617 | Browser integrati e autonomi | Bozza matura | V0.1.1 · Apr 2026 |
| 18 | EN 304 618 | Gestori di password | In sviluppo | Non ancora pubblica |
| 19 | EN 304 619 | Antivirus / antimalware | Bozza matura | V0.0.26 · Apr 2026 |
| 20a | EN 304 620 | Reti private virtuali (VPN) | Bozza matura | V0.1.9 · Apr 2026 |
| 20b | prEN 50770-4 | VPN OT | In sviluppo | n/a |
| 21a | EN 304 621 | Sistemi di gestione di rete | Bozza matura | V0.1.3 · Apr 2026 |
| 21b | prEN 50770-2 | Sistemi di gestione di rete OT | In sviluppo | n/a |
| 22a | EN 304 622 | SIEM | In sviluppo | Non ancora pubblica |
| 22b | prEN 50770-6 | SIEM OT | In sviluppo | n/a |
| 23 | EN 304 623 | Boot manager | Bozza matura | V0.1.1 · Mag 2026 |
| 24 | EN 304 624 | Software PKI / di emissione di certificati | In sviluppo | Non ancora pubblica |
| 25a | EN 304 625 | Interfacce di rete fisiche e virtuali | Bozza matura | V0.0.14 · Apr 2026 |
| 25b | prEN 50770-3 | Interfacce di rete fisiche e virtuali OT | In sviluppo | n/a |
| 26 | EN 304 626 | Sistemi operativi | Bozza matura | V0.2.0 · Apr 2026 |
| 27a | EN 304 627 | Router, modem, switch | Bozza finale | V1.0.0 · Giu 2026 |
| 27b | prEN 50770-5 | Router, modem, switch OT | In sviluppo | n/a |
| 28-29 | EN 50765 | Microprocessori e microcontrollori con funzioni di sicurezza | Inchiesta chiusa | n/a |
| 30 | EN 50767 | ASIC e FPGA con funzioni di sicurezza | In sviluppo | n/a |
| 31 | EN 304 631 | Assistenti virtuali per la casa intelligente | Bozza matura | V0.2.1.4 · Apr 2026 |
| 32 | EN 304 632 | Prodotti per la casa intelligente con funzionalità di sicurezza (per es. telecamere di sicurezza) | Bozza matura | V0.2.1.4 · Apr 2026 |
| 33 | EN 304 633 | Giocattoli connessi a internet | Bozza matura | V0.2.3.3 · Apr 2026 |
| 34 | EN 304 634 | Dispositivi indossabili personali | Bozza matura | V0.2.6 · Apr 2026 |
Prodotti importanti: Classe II
I prodotti di Classe II richiedono sempre la valutazione di terze parti (organismo notificato); una norma armonizzata non sblocca per essi l'autovalutazione.
| M/606 | Norma | Categoria di prodotto | Stato | Ultima bozza pubblica |
|---|---|---|---|---|
| 35 | EN 304 635 | Hypervisor e sistemi di runtime per container | Bozza matura | V0.0.15 · Apr 2026 |
| 36a | EN 304 636 | Firewall / IDS / IPS | Bozza matura | V0.1.0 · Apr 2026 |
| 36b | prEN 50770-1 | Firewall / IDS / IPS OT | In sviluppo | n/a |
| 37-38 | EN 50766 | Microprocessori e microcontrollori resistenti alla manomissione | Inchiesta chiusa | n/a |
Prodotti critici
I prodotti critici (Allegato IV) devono usare uno schema europeo di certificazione della cibersicurezza dove ne è imposto uno, oppure altrimenti gli stessi percorsi di terze parti della Classe II. Una norma armonizzata non elimina tale requisito.
| M/606 | Norma | Categoria di prodotto | Stato |
|---|---|---|---|
| 39 | Riferimento non ancora assegnato | Dispositivi hardware con cassette di sicurezza | In sviluppo |
| 40 | Riferimento non ancora assegnato | Gateway dei contatori intelligenti (CEN-CLC/JTC 13 WG 6) | In sviluppo |
| 41a | EN 50764 | Piattaforme di carte intelligenti ed elementi sicuri | Inchiesta chiusa |
| 41b | EN 18330 / prEN 18330 | Carte intelligenti ed elementi sicuri, livello applicativo | Inchiesta chiusa |
Domande frequenti
Esiste già qualche norma armonizzata CRA in vigore?
No. Al 4 giugno 2026 nessuna norma armonizzata CRA è stata approvata (ratificata come EN) né ha avuto il proprio riferimento pubblicato nella Gazzetta ufficiale, quindi la presunzione di conformità dell'Articolo 27 non è disponibile per alcuna categoria di prodotto. Ogni norma elencata qui è ancora una bozza. Le bozze orizzontali EN 40000 (inchiesta pubblica chiusa) e le bozze EN 304 6xx dell'ETSI sono le più avanzate, ma l'approvazione e la separata citazione nella Gazzetta ufficiale sono tappe successive. Le prime norme sono attese nella seconda metà del 2026, con la citazione a seguire in una data che la Commissione non ha ancora confermato.
Devo aspettare una norma armonizzata per conformarmi al CRA?
No. Una norma armonizzata è una via per dimostrare la conformità, non l'unica. Gli obblighi del CRA si applicano secondo il calendario del regolamento, che una norma esista o meno. Può soddisfare direttamente i requisiti essenziali dell'Allegato I e documentare come nel suo fascicolo tecnico. Una norma pubblicata offre semplicemente un modo riconosciuto e verificabile per dimostrare la conformità ai requisiti che copre, e per i prodotti importanti di Classe I apre la via dell'autovalutazione mediante controllo interno.
Cosa mi dà concretamente la "presunzione di conformità"?
Ai sensi dell'Articolo 27, un prodotto conforme a una norma armonizzata il cui riferimento è pubblicato nella Gazzetta ufficiale è presunto conforme ai requisiti dell'Allegato I che quella norma copre. In pratica le offre una base difendibile e riconosciuta per la sua dichiarazione di conformità, e per i prodotti importanti di Classe I le consente l'autovalutazione mediante controllo interno anziché il ricorso a un organismo notificato. Non modifica la valutazione di terze parti richiesta per i prodotti di Classe II e critici dall'Articolo 32.
Dove posso leggere le bozze delle norme?
Dipende da chi le elabora. Le bozze ETSI EN 304 6xx sono pubblicate gratuitamente nella cartella di consultazione aperta ETSI CYBER-EUSR, collegate per ogni norma nelle tabelle sopra. Le bozze CEN/CENELEC (EN 40000, EN 50770, EN 5076x e i lavori del CEN/TC 224) sono diverse: non esiste una cartella pubblica gratuita. Può verificare che una bozza esista e acquistarne una copia presso un ente nazionale di normazione (DIN, NEN, AFNOR, BSI e così via), ma il testo non è pubblicato gratuitamente, e una volta chiusa l'inchiesta pubblica di una bozza cessa anche l'accesso gratuito ai commenti. È per questo che quelle righe mostrano "n/a" per l'ultima bozza pubblica.
Posso fare affidamento su una bozza matura o finale prima della pubblicazione?
La usi per anticipare i requisiti, non come base giuridica finita. Una bozza matura o finale è di norma vicina alla formulazione definitiva, ma può ancora cambiare al voto formale o nella valutazione della Commissione, e la presunzione di conformità non si applica finché il riferimento non compare nella Gazzetta ufficiale. Leggerla adesso resta comunque il modo più rapido per prepararsi.
Qual è la differenza tra le norme EN 304 6xx e le norme EN 40000?
Le norme EN 304 6xx, elaborate dall'ETSI, sono specifiche per prodotto: ciascuna riguarda una categoria come browser, sistemi operativi o router. La serie EN 40000, elaborata dal CEN-CLC/JTC 13, è orizzontale: fissa principi, requisiti generici di sicurezza e regole sulla gestione delle vulnerabilità che si applicano a tutte le categorie. Un singolo prodotto può dover leggere sia una norma orizzontale sia quella della sua categoria.
Qualcuna di queste norme copre i prodotti critici, non solo quelli importanti?
Sì. La maggior parte delle norme monitorate copre prodotti importanti, ma alcune coprono quelli critici: la norma sulle piattaforme di elementi sicuri (EN 50764), più i lavori sui dispositivi hardware con cassette di sicurezza, sui gateway dei contatori intelligenti e sulle carte intelligenti. I prodotti critici devono usare uno schema europeo di certificazione della cibersicurezza dove ne è imposto uno, oppure altrimenti gli stessi percorsi di valutazione di terze parti dei prodotti di Classe II. La sezione sui prodotti critici li segnala separatamente. Una norma armonizzata non consente a un prodotto critico di saltare quella valutazione come può fare per un prodotto importante di Classe I.
Quando saranno pubblicate le norme nella Gazzetta ufficiale?
Non esiste una data di pubblicazione confermata per alcuna norma armonizzata CRA. Le bozze ETSI EN 304 6xx sono le più vicine, diverse allo stadio di bozza matura o finale, ma ciascuna deve ancora superare il proprio voto formale e la valutazione della Commissione prima che un riferimento possa essere citato. Tratti la colonna dello stato qui come la situazione attuale e verifichi i tracker degli enti di normazione collegati sopra per gli aggiornamenti.