CRA för italienska tillverkare: ACN, ACCREDIA, Legge 36/2026

Landöversikt för italienska tillverkare under CRA: ACN, ACCREDIA-ackreditering, OCSI/EUCC, italienska språkkrav och Transizione 5.0-finansiering.

CRA Evidence Team Publicerad 6 januari 2026 Uppdaterad 15 juni 2026
CRA-landöversikt för italienska tillverkare som visar den nationella institutionella kedjan: CSIRT Italia för sårbarhetsrapporter, ACN som notifierande myndighet och marknadskontrollmyndighet, ACCREDIA för ackreditering
I denna artikel

Italienska tillverkare har samma skyldigheter enligt Legge sulla ciberresilienza som alla andra EU-tillverkare. Den här sidan är en landöversikt för Italien: hur sårbarhet- och incidentrapporter routas via CSIRT Italia, hur ACN fungerar som både notifierande myndighet och marknadskontrollmyndighet enligt Legge 36/2026, var ACCREDIA passar in som ackrediteringssteg, hur OCSI kopplar till det europeiska EUCC-systemet, de italienska språkkraven, och vilka av finansieringslinjerna Transizione 5.0, PNRR och SECURE som är realistiska för efterlevnadsinvesteringar. För det fullständiga skyldighetsutbudet, se klusterguiden för tillverkare.

Sammanfattning

  • Legge sulla ciberresilienza är en EU-förordning med direkt effekt. Det finns inga italienska undantag för produkttillverkare.
  • Legge 17 marzo 2026, n. 36 (Legge di delegazione europea 2025, GU n. 70 del 25 marzo 2026) ger den italienska regeringen sex månader på sig att publicera det genomförande decreto legislativo (genomförandedekretet).
  • CSIRT Italia, som drivs av ACN, är den mottagande italienska CSIRT:en för sårbarhet- och incidentrapporter när tillverkarens huvudsakliga etablering finns i Italien.
  • ACN (Agenzia per la Cybersicurezza Nazionale) är utsedd som både italiensk notifierande myndighet för organ för bedömning av överensstämmelse och marknadskontrollmyndighet för produkter med digitala element. Det samlar två roller som Spanien och Frankrike delar mellan separata institutioner.
  • ACCREDIA (Ente Italiano di Accreditamento) ackrediterar italienska organ för bedömning av överensstämmelse under ISO/IEC 17065:2012. Ackreditering är det föredragna tekniska steget innan ACN notifierar ett organ, även om det inte är strikt obligatoriskt.
  • Italienska krävs för användarriktad produktinformation på den italienska marknaden. Samofficiella minoritetsspråk (tyska i Sydtyrolen, franska i Aostadalen, slovenska i Friuli Venezia Giulia) är inte CRA-obligatoriska.
  • Transizione 5.0 är en avslutande Ministero delle Imprese e del Made in Italy (MIMIT)-skattekreditväg för stödberättigad digital och energimässig omställning av produktionsprocesser, inte ett allmänt cybersäkerhetsbidrag. PNRR befinner sig i sitt avslutande NextGenerationEU-fönster (deadline 31 augusti 2026). Det nya EU SECURE-projektet (16,5 miljoner euro i direkt SME-stöd, ACN som italiensk partner) öppnade sin första utlysning 28 januari till 29 mars 2026.

När den här guiden gäller för dig

Du är målläsaren om din tillverkares "huvudsakliga etablering i unionen" finns i Italien. Det innebär den plats där beslut rörande cybersäkerheten hos dina produkter med digitala element i huvudsak fattas. Ett italienskt-registrerat försäljningsbolag med teknikutveckling utomlands är inte den huvudsakliga etableringen. Om ditt teknikteam, din SDLC-styrning och de personer som godkänner säkerhetsuppdateringsversioner sitter i Italien är den här guiden för dig.

Om din huvudsakliga etablering finns i ett annat EU-land och du bara säljer till Italien routas dina CRA-rapporter via CSIRT:en i din etableringsmedlemsstat, inte CSIRT Italia. Kravet på italiensk-språkig information för slutanvändare gäller ändå för varje produkt som släpps ut på den italienska marknaden.

ACN och CSIRT Italia: den italienska CSIRT-vägen

CRA-anmälningar routas via den CSIRT som är utsedd till samordnare i den medlemsstat där tillverkaren har sin huvudsakliga etablering i unionen. För en tillverkare vars huvudsakliga etablering finns i Italien är den CSIRT:en CSIRT Italia, den nationella CSIRT som drivs inom ACN.

ACN, inrättat enligt Decreto-Legge 82/2021 (omvandlat av Legge 109/2021), är Italiens nationella cybersäkerhetsmyndighet. Det rapporterar till premiärministerns kansli och fungerar som den enda nationella kontaktpunkten för cybersäkerhetspolitik, certifiering och reglering. CSIRT Italia publicerar italienskspråkiga sårbarhetsråd och driver flödet för incidenthantering för konsumentprodukter.

Den tekniska kanalen för rapporteringskadensen 24 h/72 h/14 dagar är ENISA:s gemensamma rapporteringsplattform, som tas i drift den 11 september 2026. En italiensk tillverkare lämnar in via den plattformen med CSIRT Italia som mottagande samordnare. CSIRT-utpekandet är routingen. Plattformen är transporten.

Anmälda organ: ACN notifierar, ACCREDIA ackrediterar

För Important Class I-produkter där ingen harmoniserad standard tillämpas, Important Class II-produkter och kritiska produkter krävs ett anmält organ för bedömning av överensstämmelse (modul B+C eller modul H).

Den italienska institutionella uppdelningen är:

  • ACN är den notifierande myndigheten som formellt utser italienska anmälda organ till Europeiska kommissionen, förankrad i Legge 36/2026 och operationaliserad av det genomförande dekretet.
  • ACCREDIA (Ente Italiano di Accreditamento) är det italienska nationella ackrediteringsorganet och bedömer en kandidats tekniska kompetens under ISO/IEC 17065:2012. Ackreditering beskrivs av ACCREDIA som det föredragna verktyget för att intyga kompetens och oberoende, även om det inte är ett strikt obligatoriskt förutsättningskrav för notifiering under Legge sulla ciberresilienza.

Ramverket för anmälda organ under Legge sulla ciberresilienza gäller från den 11 juni 2026, varefter utsedda organ kan börja utfärda CRA-certifikat för bedömning av överensstämmelse. Italienska kandidater med relevant produktcertifieringsexpertis inkluderar IMQ, RINA Services, Bureau Veritas Italia och TÜV Italia. Slutliga CRA-utpekanden publiceras i Europeiska kommissionens NANDO-databas. En italiensk tillverkare kan använda vilket EU-anmält organ som helst, inte bara italiensk-utsedda.

ACN: CRA:s marknadskontrollmyndighet

Till skillnad från Spanien (där ministeriet bär marknadsövervakning) och Frankrike (där ANFR gör det) samlar Italien både notifiering och marknadsövervakning inom ACN. Legge 36/2026 identifierar ACN som autorità di vigilanza del mercato (marknadskontrollmyndigheten) under CRA artikel 52, vid sidan av dess notifierande roll under artikel 36.

Varje formell CRA-interaktion av en italiensk tillverkare routas via ACN som enda motpart: motiverade begäranden om teknisk dokumentation, begäranden om dokumentspråk, inspektioner på plats och anmälan om driftsupphörande. Codice del Consumo (Decreto Legislativo 206/2005) reglerar allmän konsumentproduktsäkerhet i Italien via Ministero delle Imprese e del Made in Italy (MIMIT) och AGCM, men den formella CRA-marknadskontrollmyndigheten för produkter med digitala element är ACN.

Sanktioner ligger inom CRA:s EU-nivåtak (upp till 15 miljoner euro eller 2,5% av global årsomsättning för de allvarligaste överträdelserna). Det genomförande dekretet förväntas fastställa den italienska bötesskalan inom dessa tak.

OCSI och det europeiska EUCC-systemet

Organismo di Certificazione della Sicurezza Informatica (OCSI) är Italiens Common Criteria-certifieringsorgan, inrymt inom ACN sedan den 1 juli 2022 (överfört från det tidigare ekonomiministeriet). OCSI är ackrediterat av ACCREDIA under UNI CEI EN ISO/IEC 17065:2012 för att verka inom EUCC-systemet som antagits under EU-förordning 2019/881.

OCSI:s nationella äldre certifieringsordning upphörde den 26 februari 2026 och OCSI verkar nu enbart under EUCC. Enligt CRA artikel 27 kan europeiska cybersäkerhetscertifieringssystem stödja presumtion om överensstämmelse för täckta krav när kommissionen anger systemet genom en delegerad akt för CRA-ändamål. Tills EUCC-vägen har specificerats för CRA ska ett OCSI-utfärdat EUCC-certifikat behandlas som stark bevisning för täckt räckvidd, inte som en fristående redan fungerande genväg.

Italienska språkkrav i praktiken

Legge sulla ciberresilienza kräver att användarriktad produktinformation är på ett språk som lätt förstås av användare och den lokala marknadskontrollmyndigheten. För produkter på den italienska marknaden är det italienska. Codice del Consumo kräver oberoende italienska i konsumentproduktinformation, så CRA-kravet stämmer överens med en långvarig nationell regel.

Måste vara på italienska:

  • Bruksanvisningar och produktinformation som medföljer produkten.
  • Tillverkarens kontaktuppgifter, oavsett var de visas.
  • Upplysningen om supportperiodens slutdatum som visas vid köptillfället.

Kan vara flerspråkig:

  • Produktetikett och CE-märkning.
  • Förpackningstext.
  • Onlinedokumentation, förutsatt att en italiensk version är tillgänglig.

Engelska accepteras normalt för:

  • Intern teknisk dokumentation. ACN kan begära en italiensk översättning under motiverad begäran, så planera för den situationen.

EU-försäkran om överensstämmelse får upprättas på vilket officiellt EU-språk som helst, men räkna med en begäran om italiensk översättning vid en ACN-inspektion. Tyska i Sydtyrolen, franska i Aostadalen och slovenska i Friuli Venezia Giulia-gränszonen är samofficiella under deras regionala stadgar men inte CRA-obligatoriska. Regionala upphandlingskontrakt eller sektorsregulatorer kan lägga till egna språkklausuler, separat från Legge sulla ciberresilienza.

Gränsöverskridande försäljning från Italien

Italienska tillverkare som säljer till Tyskland, Frankrike, Spanien eller något annat EU-land bär samma enkelroutingsregel: dina rapporter går fortfarande till CSIRT Italia, eftersom routing följer huvudsaklig etablering, inte leveransdestination per sändning. Du lämnar inte in till den tyska, franska eller spanska CSIRT:en.

Språkkravet sprider sig per marknad. En produkt som skickas till den franska marknaden behöver franskt användarriktat innehåll. En produkt som skickas till den tyska marknaden behöver tyskt innehåll. Det enskilda italienska språkpaketet täcker inte dessa marknader.

Varje mottagande medlemsstats marknadskontrollmyndighet kan också begära din tekniska dokumentation på ett språk som den myndigheten lätt förstår. Om din leverans sträcker sig brett över EU, räkna med begäranden på minst ett allmänt använt arbetsspråk, och behandla tidig översättning av de mest efterfrågade avsnitten i den tekniska dokumentationen som en praktisk säkerhetsåtgärd.

Nationella finansieringsprogram

Finansieringsläget för italienska tillverkare som planerar CRA-investeringar 2026 omfattar SECURE, sektorsspecifika regionala linjer samt avslutande fönster för Transizione 5.0 och PNRR. Var noggrann med vad som fortfarande är öppet och tekniskt stödberättigat innan du planerar en post mot något av dessa.

  • Piano Transizione 5.0 är ett MIMIT-administrerat skattekreditprogram med ett samlat tak på 6,3 miljarder euro, kopplat till stödberättigad digital och energimässig omställning av produktionsprocesser. För planering 2026 ska kvarvarande status och teknisk stödberättigande kontrolleras innan det används; behandla det inte som en ny öppen cybersäkerhets- eller efterlevnadsfond. CRA-drivna SBOM-verktyg, plattformar för sårbarhetshantering och säkerhet-genom-design-infrastruktur passar bara in när cybersäkerhetsarbetet är del av stödberättigad omställning av produktionsprocessen.
  • SECURE (Strengthening EU SMEs Cyber Resilience) är ett nytt EU-finansierat projekt som uttryckligen är byggt för att stödja SME-implementering av Legge sulla ciberresilienza. Total budget runt 22 miljoner euro, varav 16,5 miljoner euro är direkt ekonomiskt stöd till SME. ACN är den italienska partnern i ett konsortium med 7 länder. Den första utlysningen löpte från 28 januari till 29 mars 2026 med maximalt 30 000 euro per projekt. Tillverkare, importörer, distributörer och mjukvaruutvecklare är alla berättigade. Följ ACN:s annonseringsflöde för nästa utlysning.
  • PNRR (Piano Nazionale di Ripresa e Resilienza) befinner sig i sitt avslutande fönster. Alla NextGenerationEU-finansierade projekt måste vara genomförda senast den 31 augusti 2026, med Italiens slutliga betalningsbegäranden förfallna senast den 30 september 2026. PNRR är därför inte ett lämpligt planeringsverktyg för CRA:s efterlevnadsdeadline den 11 december 2027.
  • Regionala digitaliseringsvouchers som löper via handelskamrarna är fortfarande i drift under 2026, vanligtvis begränsade till mellan 20 000 och 30 000 euro per stödmottagare. Användbara för en initial diagnos, inte för det fullständiga CRA-programmet.

För efterlevnadsinvesteringar daterade mot skyldighetsdeadlinen den 11 december 2027 är den realistiska offentliga finansieringsbilden i Italien SECURE (och uppföljande EU SME-program), kvarvarande eller efterföljande Transizione 5.0-liknande incitament där de är tekniskt stödberättigade för produktionsomställning, och sektorsspecifika regionala linjer.

Vanliga frågor

Vilken italiensk CSIRT tar emot mina CRA-sårbarhetsanmälningar?

CSIRT Italia, som drivs inom ACN, när tillverkarens huvudsakliga etablering finns i Italien. Legge sulla ciberresilienza definierar huvudsaklig etablering som den plats där beslut rörande cybersäkerheten hos produkter med digitala element i huvudsak fattas. Rapporter lämnas in via ENISA:s gemensamma rapporteringsplattform från den 11 september 2026, med CSIRT Italia som mottagande samordnare.

Vem utser italienska anmälda organ, ACCREDIA eller ACN?

ACN är den notifierande myndigheten som formellt utser italienska CRA-anmälda organ till Europeiska kommissionen under det ramverk som Legge 36/2026 sätter. ACCREDIA ackrediterar kandidatorganen under ISO/IEC 17065:2012 som det föredragna tekniska steget innan den notifieringen. Ackreditering beskrivs av ACCREDIA självt som det föredragna men inte strikt obligatoriska verktyget för att intyga kompetens. En italiensk tillverkare kan ändå använda vilket EU-anmält organ som helst för CRA-bedömning av överensstämmelse. Den italienska kedjan spelar roll för upphandling, inte som ett CRA-krav.

Täcker min OCSI- eller EUCC-certifiering CRA-bedömningen av överensstämmelse?

OCSI har verkat enbart under EUCC sedan den 26 februari 2026, så ett OCSI-utfärdat EUCC-certifikat är direkt relevant bevisning för de säkerhetskrav som täcks. CRA:s presumtionsväg beror på artikel 27 och en delegerad akt från kommissionen som anger det europeiska cybersäkerhetscertifieringssystemet för CRA-ändamål. Tills EUCC-vägen har specificerats ska certifikatet inte behandlas som en fristående redan fungerande genväg. Behandla det som ett starkt underlag till din CRA-fil, med bedömningsvägen som fyller i den återstående räckvidden.

Vilken italiensk myndighet är CRA:s marknadskontrollmyndighet?

ACN. Till skillnad från Spanien (där ministeriet är marknadskontrollmyndighet) och Frankrike (där ANFR bär den rollen) samlar Italien notifiering och marknadsövervakning inom ACN enligt Legge 36/2026 (artiklarna 36 respektive 52 i Legge sulla ciberresilienza). MIMIT och AGCM behåller sina sedan länge etablerade allmänna roller för konsumentproduktsäkerhet under Codice del Consumo, men den formella CRA-marknadskontrollmyndigheten för produkter med digitala element är ACN. Planera in inlämningar, dokumentbegäranden och inspektioner med ACN som den enda nationella motparten.

När kommer Italien att publicera sitt nationella CRA-genomförandedekret i Gazzetta Ufficiale?

Legge sulla ciberresilienza är en EU-förordning med direkt effekt, så Italien behöver inte transponera den för att de materiella skyldigheterna ska gälla den 11 december 2027. Vad Italien behöver publicera är det decreto legislativo (genomföringsdekretet) som föreskrivs av Legge 17 marzo 2026, n. 36 (Gazzetta Ufficiale n. 70 del 25 marzo 2026), som ger regeringen sex månader från lagens ikraftträdande att anta genomförandedekretet. Det dekretet förväntas bekräfta ACN:s institutionella utpekanden, fastställa den italienska bötesskalan inom CRA:s EU-nivåtak och klargöra samordningen med NIS2-relaterad italiensk lagstiftning. Tills det dekretet publiceras vilar ACN:s roll på legge delega-ramverket (rambemyndigandelagen).

Behöver jag översätta allt till italienska för B2B-försäljning?

För produkter som placeras på den italienska marknaden med slutanvändare i Italien, ja. Legge sulla ciberresilienza kräver användarinformation på italienska. Codice del Consumo kräver oberoende italienska i konsumentinformation för B2C, och den italienska marknadskontrollmyndigheten kan begära italienskspråkig teknisk dokumentation under motiverad begäran för vilken produkt som helst. B2B-försäljning mellan yrkesverksamma har viss flexibilitet vad gäller kontraktsspråk men inget undantag från CRA:s användningsinformationsskyldighet när produkten väl placerats på den italienska marknaden. Planera att leverera italiensk användarinformation, italiensk upplysning om supportperiodens slutdatum och italienska tillverkarkontaktuppgifter i både konsument- och yrkeskanaler.

Kan Transizione 5.0 eller PNRR-medel bekosta mina CRA-efterlevnadsverktyg?

Transizione 5.0 kan hjälpa bara där cybersäkerhetsarbetet är en del av stödberättigad digital och energimässig omställning av produktionsprocesser. Kontrollera kvarvarande status och tekniskt stödberättigande innan du förlitar dig på det, och behandla det inte som en allmän cybersäkerhets- eller efterlevnadsfond. Rent efterlevnadsarbete (revisioner, avgifter för bedömning av överensstämmelse) är svårare att passa in. PNRR befinner sig i sitt avslutande NextGenerationEU-fönster med projektgenomförande förfallet 31 augusti 2026 och slutliga betalningsbegäranden förfallna 30 september 2026, så det är inte ett lämpligt planeringsverktyg för deadlinen den 11 december 2027. Det nya EU SECURE-projektet (16,5 miljoner euro i direkt SME-stöd, ACN som italiensk partner) är byggt för CRA-implementering och den mest direkt relevanta finansieringsströmmen att bevaka under 2026.

Jag levererar från Italien till andra EU-länder. Var rapporterar jag incidenter?

Via CSIRT Italia, oavsett vilka länder du levererar till. Legge sulla ciberresilienza kopplar anmälningsrouting till huvudsaklig etablering, inte till leveransdestination per sändning. Språkkravet sprider sig per marknad: franskt användarriktat produktinnehåll för produkter levererade till Frankrike, tyskt för produkter levererade till Tyskland, och så vidare. Förbered åtminstone de mest efterfrågade avsnitten i den tekniska dokumentationen på ett allmänt använt arbetsspråk för att absorbera gränsöverskridande motiverade begäranden från andra länders marknadskontrollmyndigheter.

För italienska tillverkare som förbereder sig inför den 11 december 2027

  1. Bekräfta dina tillverkarskyldigheter med hjälp av klusterguiden för tillverkare.
  2. Kontrollera att din huvudsakliga etablering finns i Italien och dokumentera motiveringen. Platsen för cybersäkerhetsbeslut, inte det registrerade sätet, är det avgörande.
  3. Kartlägg ditt CRA-rapporteringsflöde till CSIRT Italia, med en testad inlämning till ENISA:s gemensamma rapporteringsplattform när den tas i drift den 11 september 2026.
  4. Bygg en enda ACN-riktad eskaleringsplan som täcker både notifiering av bedömning av överensstämmelse och marknadsövervakning.
  5. Om din bedömningsväg av överensstämmelse kräver ett anmält organ, undersök ACCREDIA-ackrediterade och ACN-notifierade organ som hemmaval, plus ett gränsöverskridande alternativ.
  6. Om du innehar eller planerar ett OCSI-utfärdat EUCC-certifikat, kartlägg dess räckvidd mot din produktlinje och behandla det som stark bevisning medan du följer CRA artikel 27-vägen för EUCC-presumtionen.
  7. Översätt bruksanvisningar till italienska. Lägg till per-marknadsoversättningar för alla andra EU-länder du levererar till.
  8. Undersök EU SECURE först och kontrollera sedan om kvarvarande eller efterföljande Transizione 5.0-liknande incitament passar stödberättigad produktionsomställning. Planera inte mot PNRR för 2027-skyldigheter.
  9. Läs leverantörens due diligence-frågeformulär för ramverket för komponentkontroll på tillverkarsidan.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. Konsultera kvalificerade juridiska rådgivare för specifik CRA-efterlevnadsvägledning.

CRA Italien Sårbarhetshantering
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Tidlösa guider om de krav, processer och roller som anges i EU:s cyberresiliensförordning (CRA).

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Europeisk cybersäkerhetscertifiering (EUCC)

Hur EUCC-certifieringssystemet fungerar och när det kan stödja CRA-överensstämmelse.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
Visa hela guiden för CRA-efterlevnad