Cyber Resilience Act obblighi 2026: tutti gli adempimenti in vigore

Cyber Resilience Act obblighi 2026: il 2026 segna una fase decisiva nell’attuazione del regolamento europeo sulla cibersicurezza, con l’avvio dei primi adempimenti operativi per fabbricanti, importatori e distributori. Le nuove regole riguardano la gestione delle vulnerabilità, la notifica degli incidenti e la conformità dei prodotti digitali, introducendo responsabilità concrete già prima della piena applicazione del quadro normativo. L’articolo analizza le principali scadenze e l’impatto reale della normativa sulle imprese europee.

Il Regolamento (UE) 2024/2847 è entrato in vigore il 10 dicembre 2024, ma il 2026 segna il primo grande banco di prova operativo per fabbricanti, importatori e distributori: due scadenze, quella di giugno e quella di settembre, anticipano il regime completo del 2027 e introducono obblighi già oggi sanzionabili. Ecco cosa cambia davvero.

Il CRA in sintesi: perché è una svolta normativa

Il Cyber Resilience Act, ufficialmente Regolamento (UE) 2024/2847, è la prima legislazione a livello di tutta l’Unione Europea che introduce norme comuni di cibersicurezza per i produttori e gli sviluppatori di prodotti con elementi digitali, coprendo sia la componente hardware sia quella software.

L’obiettivo non è solo sanzionatorio. Il CRA introduce requisiti obbligatori di cibersicurezza per i fabbricanti, che riguardano la pianificazione, la progettazione, lo sviluppo e la manutenzione dei prodotti. Tali obblighi devono essere rispettati in ogni fase della catena del valore.

Per capire la portata della riforma, basta guardare ai numeri che l’hanno motivata. Il costo globale stimato del cybercrimine era pari a 5,5 trilioni di euro nel 2021, con molti prodotti digitali che presentano vulnerabilità diffuse e ricevono aggiornamenti di sicurezza insufficienti o incoerenti, esponendo utenti e società a rischi significativi.

Cyber Resilience Act obblighi 2026: calendario di applicazione e tre tappe

Il CRA non è entrato in vigore tutto in una volta. La struttura temporale è articolata in tre momenti distinti, ciascuno con obblighi specifici.

Il Regolamento 2024/2847 si applica dall’11 dicembre 2027, ma l’Articolo 14, sugli obblighi di segnalazione delle vulnerabilità da parte dei fabbricanti, si applica a decorrere dall’11 settembre 2026. Il Capo IV, sulla notifica degli organismi di valutazione della conformità agli articoli da 35 a 51, si applica invece a decorrere dall’11 giugno 2026.

Il 2026, dunque, non è un anno di transizione passiva: è l’anno in cui gli obblighi operativi cominciano a produrre effetti giuridici concreti.

11 giugno 2026: entra in vigore il Capitolo IV

L’11 giugno 2026 entra in vigore il Capitolo IV del CRA, che disciplina la notificazione degli organismi di valutazione della conformità.

Questa disposizione ha implicazioni dirette sulla struttura del mercato europeo della certificazione. Gli organismi che intendono operare come valutatori di conformità per i prodotti con elementi digitali devono essere ufficialmente notificati dalle autorità nazionali competenti entro questa data. Si tratta di un passaggio abilitante: senza un sistema di organismi notificati operativo, i produttori delle categorie più critiche non potrebbero completare il percorso di valutazione richiesto dal regolamento per l’accesso al mercato UE.

Per le aziende coinvolte, questo significa dover verificare con anticipo se l’organismo di certificazione prescelto abbia già avviato o completato il processo di notifica nel proprio Stato membro.

11 settembre 2026: gli obblighi di segnalazione diventano vincolanti

La scadenza più impattante del 2026 è quella di settembre. Il Regolamento (UE) 2024/2847 si applica a partire dall’11 dicembre 2027, mentre l’Articolo 14, riguardante gli obblighi di segnalazione dei fabbricanti, si applica a decorrere dall’11 settembre 2026.

Le tempistiche di notifica previste dall’Articolo 14 seguono una struttura a cascata, confermata dalla pagina ufficiale della Commissione europea dedicata agli obblighi di comunicazione del CRA.

I fabbricanti devono presentare un allarme rapido entro 24 ore dal momento in cui vengono a conoscenza della vulnerabilità e una notifica completa entro 72 ore. Una relazione finale deve essere presentata entro 14 giorni dalla disponibilità di una misura correttiva per le vulnerabilità attivamente sfruttate, ed entro un mese per gli incidenti gravi.

Un dettaglio procedurale rilevante riguarda il canale di notifica. I fabbricanti riferiscono attraverso la piattaforma unica di comunicazione del CRA (Single Reporting Platform). La notifica è indirizzata al CSIRT dello Stato membro in cui il fabbricante ha il proprio stabilimento principale e, salvo circostanze particolarmente eccezionali, le informazioni sono messe a disposizione simultaneamente dell’ENISA.

La conformità a questi obblighi di segnalazione si intreccia con quanto già previsto dalla Direttiva NIS2, che impone regimi analoghi di notifica degli incidenti agli operatori di settori critici. Le aziende soggette a entrambe le normative dovranno coordinare i propri processi interni per evitare duplicazioni e garantire la coerenza delle segnalazioni verso i diversi destinatari istituzionali.

Cosa devono fare i fabbricanti: gli obblighi strutturali

Anche se la piena applicabilità è prevista per il 2027, gli obblighi strutturali del CRA richiedono una preparazione che deve partire ora. Il regolamento introduce obblighi fondamentali: i produttori devono incorporare la sicurezza informatica nei loro prodotti fin dalla fase di sviluppo, fornendo prodotti configurati per essere sicuri di default; rimangono responsabili della sicurezza del prodotto per tutto il suo ciclo di vita; devono effettuare un’autovalutazione o ricorrere a una terza parte per dimostrare la propria conformità; e devono comunicare chiaramente le caratteristiche di sicurezza e le buone pratiche d’uso ai clienti finali.

Sul fronte della gestione delle vulnerabilità, il CRA richiede ai fabbricanti una gestione strutturata delle vulnerabilità per l’intero periodo di assistenza del prodotto, pari ad almeno cinque anni o alla durata d’uso prevista se inferiore, con l’obbligo di creare e mantenere una SBOM (Software Bill of Materials) con le dipendenze di primo livello.

Le norme tecniche armonizzate: le scadenze del 2026

Un aspetto spesso sottovalutato riguarda lo sviluppo degli standard tecnici armonizzati, senza i quali la dimostrazione sistematica della conformità al CRA risulta più complessa. La data limite per l’adozione delle norme orizzontali di tipo A e delle norme di tipo B per la gestione delle vulnerabilità è prevista entro il 30 agosto 2026. Le norme di tipo C per le singole categorie di prodotti devono essere disponibili entro il 30 ottobre 2026, mentre le norme di tipo B per le misure tecniche seguiranno entro il 30 ottobre 2027.

CEN, CENELEC ed ETSI sono i principali organismi incaricati di sviluppare questi standard su mandato della Commissione, nell’ambito della richiesta di normazione M/606 che comprende 41 norme a supporto del CRA.

Prodotti importanti e critici: le categorie ad obblighi rafforzati

Il 1° dicembre 2025 è stato pubblicato nella Gazzetta ufficiale dell’UE il Regolamento di esecuzione (UE) 2025/2392, che include la descrizione tecnica delle categorie di prodotti con elementi digitali importanti (Allegato III) e critici (Allegato IV) del CRA. I prodotti importanti con elementi digitali sono suddivisi in Classe I, che comprende ad esempio sistemi di gestione delle password, sistemi di gestione delle informazioni e sistemi operativi, e Classe II.

Per i prodotti rientranti in queste classi, la valutazione di conformità non può essere autocertificata: è obbligatorio il ricorso a un organismo notificato terzo, rendendo la scadenza dell’11 giugno 2026 ancora più strategica sul piano operativo.

Il quadro sanzionatorio: tre livelli distinti

Il testo autentico dell’Articolo 64 del Regolamento (UE) 2024/2847 articola le sanzioni su tre livelli di gravità crescente.

La non conformità ai requisiti essenziali di cibersicurezza di cui all’Allegato I e agli obblighi degli articoli 13 e 14 è soggetta a sanzioni amministrative pecuniarie fino a 15.000.000 euro o, se l’autore del reato è un’impresa, fino al 2,5% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

La non conformità agli obblighi relativi a rappresentanti autorizzati, importatori, distributori, dichiarazione di conformità, marcatura CE, documentazione tecnica e valutazione di conformità è soggetta a sanzioni fino a 10.000.000 euro o, se l’autore del reato è un’impresa, fino al 2% del fatturato mondiale totale annuo. Un terzo livello, fino a 5.000.000 euro o l’1% del fatturato, si applica per informazioni inesatte o fuorvianti fornite alle autorità.

Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Spetta agli Stati membri fissare le norme nazionali di applicazione nel rispetto di questi massimali europei.

Il CRA nel contesto normativo europeo

Il Cyber Resilience Act non opera in isolamento. Il CRA si colloca all’interno di un quadro normativo europeo in continua evoluzione e trova un forte punto di connessione con il Cybersecurity Act, che definisce il sistema europeo di certificazione della sicurezza informatica, e con la Direttiva NIS2, che impone obblighi di gestione dei rischi e notifiche di incidenti a numerosi settori strategici.

Il biennio 2026-2027 concentra l’entrata in vigore di sei normative chiave: NIS2, Cyber Resilience Act, DORA, AI Act, nuovo Regolamento Macchine e Data Act. Per le aziende italiane ed europee, questa sovrapposizione di scadenze rende necessario un approccio integrato alla compliance, evitando di trattare ciascun regolamento come un percorso separato.

Sul tema dell’interazione tra il CRA e il più ampio quadro di governance della cybersecurity europea, ICT Security Magazine ha approfondito le implicazioni del DORA e dell’AI Act per le organizzazioni italiane, offrendo un riferimento utile per chi deve gestire più obblighi normativi in parallelo.

Cosa fare adesso

Per chi produce, importa o distribuisce prodotti con elementi digitali, il 2026 non è un anno di attesa. Le priorità operative da affrontare oggi riguardano la mappatura del portafoglio prodotti rispetto alle categorie del Regolamento di esecuzione (UE) 2025/2392; la verifica dello stato di notifica degli organismi di valutazione della conformità nel proprio Stato membro entro l’11 giugno; la predisposizione di processi interni per la rilevazione e la notifica delle vulnerabilità entro le tempistiche dell’Articolo 14, ovvero 24 ore per l’allarme rapido, 72 ore per la notifica completa, 14 giorni per il rapporto finale sulle vulnerabilità attivamente sfruttate e 30 giorni per gli incidenti gravi; e infine l’avvio della SBOM per tutti i prodotti con dipendenze software rilevanti.

Il Cyber Resilience Act non chiede alle aziende di essere perfette il giorno dell’applicazione: chiede di essere pronte. E la distanza tra i due traguardi si misura in mesi, non in anni.

https://www.ictsecuritymagazine.com/articoli/cyber-resilience-act-obblighi-2026/