Normativa sulla ciberresilienza - Obbligo di segnalazione dall'11.09.2026 / Note Giugno 2026

Ciberresilienza - Obbligo segnalazione dall'11.09.2026 Note Giu. 2026

ID 26547 | 27 Giugno 2026 / Note complete in allegato

Il CRA (Regolamento UE 2024/2847) impone ai fabbricanti di notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi che hanno un impatto sulla sicurezza dei loro prodotti con elementi digitali.

Conformemente all'articolo 71, paragrafo 2, gli articoli da 35 a 51 si applicano dall'11 giugno 2026. Gli obblighi di segnalazione di cui all'articolo 14 si applicano dall'11 settembre 2026.

I fabbricanti sono tenuti a rispettare l'articolo 14 e in particolare l'obbligo di notifica per tutti i prodotti con elementi digitali rientranti nell'ambito di applicazione del Regolamento UE 2024/2847, inclusi i prodotti immessi sul mercato prima dell'11 dicembre 2027.

Se il prodotto è stato immesso sul mercato prima dell'11 dicembre 2027, i fabbricanti sono tenuti a notificare la vulnerabilità o l'incidente, ma non sono tenuti dal CRA a rispettare altri obblighi, ad esempio in materia di gestione delle vulnerabilità.

Devono presentare un allarme rapido entro 24 ore dal momento in cui ne sono venuti a conoscenza e una notifica completa entro 72 ore. Una relazione finale deve essere presentata entro 14 giorni dalla disponibilità di una misura correttiva per le vulnerabilità attivamente sfruttate ed entro un mese per gli incidenti gravi.

_________

Ai sensi del Regolamento UE 2024/2847, i produttori saranno obbligati a notificare due tipi specifici di eventi:

- Vulnerabilità attivamente sfruttate: vulnerabilità presenti in prodotti con elementi digitali per le quali vi sono prove attendibili del fatto che siano state sfruttate da un soggetto malintenzionato;
- Incidenti gravi: Incidenti che hanno un impatto grave sulla sicurezza del prodotto con elementi digitali (ad esempio, compromettendo la disponibilità, l'autenticità, l'integrità o la riservatezza); i criteri di gravità sono definiti nell'articolo 14(5).

_________

I responsabili del software open source sono soggetti ad obblighi di rendicontazione nella misura in cui sono coinvolti in prodotti con elementi digitali, come previsto dall'articolo 24(3) del CRA.

Ai sensi dell'articolo 16 del CRA, l'ENISA ha il compito di istituire la Piattaforma unica di segnalazione (SRP) del CRA.

L'ENISA ha indetto una gara d'appalto pubblica e ha affidato i servizi a un'azienda esterna per lo sviluppo del Piano Strategico di Risanamento (SRP).

La Piattaforma Unica per la Segnalazione sarà operativa entro l'11 settembre 2026, con un periodo di prova precedente a tale data.

Il CRA SRP sarà un sistema elettronico centralizzato progettato per semplificare gli obblighi di segnalazione per i produttori e i gestori di software open source ai sensi del Cyber ​​Resilience Act .

Fungerà da "punto di accesso unico", consentendo ai produttori di segnalare una sola volta le vulnerabilità attivamente sfruttate e gli incidenti gravi che hanno un impatto sulla sicurezza dei prodotti con elementi digitali, anziché dover notificare individualmente più autorità nazionali.

I fabbricanti invieranno le notifiche elettronicamente attraverso la piattaforma, che consentirà loro di selezionare contemporaneamente il CSIRT designato come coordinatore (in base alla sede principale del fabbricante - vedi articolo 14(7) del CRA sulla determinazione del CSIRT competente per la segnalazione) e l'ENISA. Il CSIRT diffonderà quindi senza indugio le informazioni agli altri CSIRT competenti negli Stati membri in cui il prodotto è disponibile e, se necessario, alle autorità di sorveglianza del mercato. La piattaforma integrerà misure di sicurezza per proteggere la riservatezza.

In circostanze eccezionali e sulla base di giustificati motivi connessi alla cibersicurezza, il CSIRT può decidere di ritardare la diffusione ad altri CSIRT: l'11 dicembre 2025 la Commissione ha adottato il Regolamento delegato (UE) 2026/881, che specifica ulteriormente i termini e le condizioni per l'applicazione di tali motivi connessi alla cibersicurezza.

_________

Regolamento UE 2024/2847

Articolo 14 Obblighi di segnalazione dei fabbricanti

1.  Un fabbricante notifica simultaneamente al CSIRT designato come coordinatore, conformemente al paragrafo 7 del presente articolo, e all’ENISA, qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali di cui viene a conoscenza. Il fabbricante notifica tale vulnerabilità attivamente sfruttata tramite la piattaforma unica di segnalazione istituita a norma dell’articolo 16.

2.  Ai fini della notifica di cui al paragrafo 1, il fabbricante presenta:
a)  una notifica di preallarme di una vulnerabilità attivamente sfruttata, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui il fabbricante ne è venuto a conoscenza, che indichi, se del caso, gli Stati membri sul cui territorio il fabbricante sia al corrente del fatto che il suo prodotto con elementi digitali è stato messo a disposizione;

b)  a meno che non siano già state fornite le informazioni pertinenti, una notifica delle vulnerabilità, senza indebito ritardo e in ogni caso entro 72 ore dal momento in cui il fabbricante è venuto a conoscenza della vulnerabilità attivamente sfruttata, che fornisca informazioni generali, se disponibili, sul prodotto con elementi digitali interessato, sulla natura generale dello sfruttamento e della vulnerabilità in questione, nonché sulle eventuali misure correttive o di attenuazione adottate e sulle misure correttive o di attenuazione che gli utilizzatori possono adottare, e che indichi anche, se del caso, il grado di sensibilità attribuito dal fabbricante alle informazioni notificate;

c) a meno che non siano già state fornite le informazioni pertinenti, una relazione finale, entro 14 giorni dalla messa a disposizione di una misura correttiva o di attenuazione, che comprenda almeno:

i) una descrizione della vulnerabilità, compresi la sua gravità e il suo impatto;

ii) se disponibili, informazioni relative a qualsiasi soggetto malintenzionato che abbia sfruttato o che sfrutti la vulnerabilità;

iii) informazioni dettagliate relative all’aggiornamento di sicurezza o ad altre misure correttive messe a disposizione per porre rimedio alla vulnerabilità.

3. Un fabbricante notifica simultaneamente al CSIRT designato come coordinatore, conformemente al paragrafo 7 del presente articolo, e all’ENISA, qualsiasi incidente grave che abbia un impatto sulla sicurezza del prodotto con elementi digitali di cui viene a conoscenza. Il fabbricante notifica tale incidente tramite la piattaforma unica di segnalazione istituita a norma dell’articolo 16.
4.   Ai fini della notifica di cui al paragrafo 3, il fabbricante presenta:

a)  una notifica di preallarme di un incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui il fabbricante ne è venuto a conoscenza, che precisi, come minimo, se si sospetta che l’incidente sia il risultato di atti illegittimi o malevoli, e che indichi, se del caso, gli Stati membri sul cui territorio il fabbricante sia al corrente del fatto che il suo prodotto con elementi digitali è stato messo a disposizione;

b) a meno che non siano già state fornite le informazioni pertinenti, una notifica dell’incidente, senza indebito ritardo e in ogni caso entro 72 ore dal momento in cui il fabbricante ne è venuto a conoscenza, che fornisca informazioni generali, se disponibili, sulla natura dell’incidente, una valutazione iniziale dell’incidente, nonché le eventuali misure correttive o di attenuazione adottate e le misure correttive o di attenuazione che gli utilizzatori possono adottare, e che indichi anche, se del caso, il grado di sensibilità attribuito dal fabbricante alle informazioni notificate;

c) a meno che non siano già state fornite le informazioni pertinenti, una relazione finale entro un mese dalla trasmissione della notifica di incidente di cui alla lettera b), che comprenda almeno:

i) una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto;

ii) il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente;

iii) le misure di attenuazione adottate e in corso;

5. Ai fini del paragrafo 3, un incidente che ha un impatto sulla sicurezza del prodotto con elementi digitali è considerato grave se:

a) incide negativamente o è in grado di incidere negativamente sulla capacità di un prodotto con elementi digitali di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza di dati o funzioni sensibili o importanti; o

b) ha portato o è in grado di portare all’introduzione o all’esecuzione di un codice maligno in un prodotto con elementi digitali o nei sistemi informativi e di rete di un utilizzatore del prodotto con elementi digitali.

6. Se necessario, il CSIRT designato come coordinatore che ha ricevuto per primo la notifica può chiedere ai fabbricanti di fornire una relazione intermedia sui pertinenti aggiornamenti della situazione sulla vulnerabilità attivamente sfruttata o sull’incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali.

7. Le notifiche di cui ai paragrafi 1 e 3 del presente articolo sono trasmesse attraverso la piattaforma unica di segnalazione di cui all’articolo 16 utilizzando uno dei terminali per la notifica elettronica di cui all’articolo 16, paragrafo 1. La notifica è trasmessa utilizzando il terminale per la notifica elettronica del CSIRT designato come coordinatore dello Stato membro in cui i fabbricanti hanno lo stabilimento principale nell’Unione ed è contemporaneamente accessibile all’ENISA.

Ai fini del presente regolamento, si considera che un fabbricante abbia il suo stabilimento principale nell’Unione nello Stato membro in cui sono prevalentemente adottate le decisioni relative alla cibersicurezza dei suoi prodotti con elementi digitali. Se non è possibile determinare detto Stato membro, si considera che lo stabilimento principale sia nello Stato membro in cui il fabbricante ha lo stabilimento con il maggior numero di dipendenti nell’Unione.

Se non ha uno stabilimento principale nell’Unione, il fabbricante trasmette le notifiche di cui ai paragrafi 1 e 3 utilizzando il terminale per la notifica elettronica del CSIRT designato come coordinatore nello Stato membro determinato secondo l’ordine seguente e sulla base delle informazioni a disposizione del fabbricante:

a)  lo Stato membro in cui è stabilito il rappresentante autorizzato che agisce per conto del fabbricante per il maggior numero di prodotti con elementi digitali di tale fabbricante;

b)  lo Stato membro in cui è stabilito l’importatore che immette sul mercato il maggior numero di prodotti con elementi digitali di tale fabbricante;

c)  lo Stato membro in cui è stabilito il distributore che mette a disposizione sul mercato il maggior numero di prodotti con elementi digitali di tale fabbricante;

d)  lo Stato membro in cui è situato il maggior numero di utilizzatori di prodotti con elementi digitali di tale fabbricante.

In relazione al terzo comma, lettera d), un fabbricante può presentare notifiche relative a qualsiasi successiva vulnerabilità attivamente sfruttata o incidente grave che ha un impatto sulla sicurezza del prodotto con elementi digitali allo stesso CSIRT designato come coordinatore a cui ha presentato la prima notifica.

8. Dal momento in cui è venuto a conoscenza di una vulnerabilità attivamente sfruttata o di un incidente grave avente un impatto sulla sicurezza del prodotto con elementi digitali, il fabbricante informa gli utilizzatori interessati del prodotto con elementi digitali e, se del caso, tutti gli utilizzatori, di tale vulnerabilità o incidente e, se necessario, di qualsiasi attenuazione dei rischi e misure correttive che gli utilizzatori possono adottare per attenuare l’impatto di tale vulnerabilità o incidente, se del caso in un formato strutturato, leggibile da un dispositivo automatico e che possa essere facilmente elaborato automaticamente. Se il fabbricante non informa tempestivamente gli utilizzatori del prodotto con elementi digitali, i CSIRT designati come coordinatori che hanno ricevuto la notifica possono fornire tali informazioni agli utilizzatori se ritenuto proporzionato e necessario per prevenire o attenuare l’impatto di tale vulnerabilità o incidente.

9. Entro l’11 dicembre 2025 la Commissione adotta atti delegati conformemente all’articolo 61 per integrare il presente regolamento specificando i termini e le condizioni per l’applicazione dei motivi connessi alla cibersicurezza relativamente al ritardo nella diffusione delle notifiche di cui all’articolo 16, paragrafo 2. La Commissione coopera con la rete di CSIRT istituita a norma dell’articolo 15 della direttiva (UE) 2022/2555 e con l’ENISA nella preparazione dei progetti di atti delegati.

10. La Commissione può, mediante atti di esecuzione, specificare ulteriormente il formato e le procedure di trasmissione delle notifiche di cui al presente articolo, nonché agli articoli 15 e 16. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 62, paragrafo 2. La Commissione coopera con la rete di CSIRT e con l’ENISA nella preparazione del progetto di atto delegato.

_________

FAQ CRA

Traduzione IT non ufficiale

5. Obblighi di segnalazione dei fabbricanti

5.1 Come può un fabbricante venire a conoscenza di una vulnerabilità attivamente sfruttata o di un incidente grave?

Il CRA non specifica come un fabbricante debba venire a conoscenza di una vulnerabilità attivamente sfruttata o di un incidente grave, ma impone l'obbligo di notifica ai sensi dell'articolo 14 una volta che ne è a conoscenza. Alcune modalità attraverso cui un fabbricante può venirne a conoscenza:

- Un cliente o un'organizzazione partner lo informa di attività insolite o di una compromissione;
- Rapporti di intelligence sulle minacce da parte di ricercatori di sicurezza o società di cybersicurezza;
- Notifica da parte di agenzie governative di cybersicurezza;
- Segnalazione da parte di hacker etici;
- Monitoraggio interno, attività di scansione o telemetria.

5.2 Un fabbricante deve segnalare le vulnerabilità zero-day?

Una "vulnerabilità attivamente sfruttata" è una vulnerabilità per la quale esistono prove affidabili che un attore malintenzionato l'ha sfruttata in un sistema senza l'autorizzazione del proprietario del sistema (articolo 3, paragrafo 42). Le vulnerabilità per le quali non è ancora disponibile una patch (cosiddette "vulnerabilità zero-day") sono soggette a segnalazione ai sensi dell'articolo 14 quando il fabbricante dispone di prove affidabili che un attore malintenzionato ha sfruttato tale vulnerabilità.

Ad esempio, una vulnerabilità zero-day scoperta da hacker etici e divulgata al fabbricante nell'ambito di un programma bug-bounty, per la quale non vi sono prove di precedente sfruttamento doloso, non è una vulnerabilità attivamente sfruttata soggetta a segnalazione obbligatoria. I fabbricanti possono comunque notificarla su base volontaria.

5.3 Un fabbricante deve segnalare vulnerabilità attivamente sfruttate o incidenti gravi per i prodotti immessi sul mercato prima dell'applicazione del CRA?

Sì. Gli obblighi di segnalazione si applicano a decorrere dall'11 settembre 2026. I fabbricanti sono tenuti a rispettare l'articolo 14 e in particolare l'obbligo di notifica per tutti i prodotti con elementi digitali rientranti nell'ambito di applicazione del CRA, inclusi i prodotti immessi sul mercato prima dell'11 dicembre 2027. Se il prodotto è stato immesso sul mercato prima dell'11 dicembre 2027, i fabbricanti sono tenuti a notificare la vulnerabilità o l'incidente, ma non sono tenuti dal CRA a rispettare altri obblighi, ad esempio in materia di gestione delle vulnerabilità.

5.4 Se una vulnerabilità attivamente sfruttata è contenuta in un componente di terzi, tutti i fabbricanti che integrano tale componente sono tenuti a notificarla?

I fabbricanti sono tenuti a notificare qualsiasi vulnerabilità attivamente sfruttata contenuta nel loro prodotto con elementi digitali. Laddove il prodotto contenga un componente integrato, il fabbricante del prodotto è tenuto a notificare la vulnerabilità originata dal componente. Anche il fabbricante del componente integrato è tenuto a notificarla, se tale componente è stato immesso sul mercato. Se il fabbricante di un prodotto sa che un componente integrato contiene una vulnerabilità, ma tale vulnerabilità non può essere sfruttata nel suo prodotto, essa non è attivamente sfruttata e non è quindi soggetta a segnalazione obbligatoria.

[...] Segue in allegato

Certifico Srl - IT | Rev. 0.0 2026
©Copia autorizzata Abbonati

Info / download

Collegati
Regolamento (UE) 2024/2847
FAQs on the Cyber Resilience Act