Guida indipendente al Regolamento (UE) 2024/2847 · Stato: in vigore
Questa pagina è una traduzione automatica (IA) e non è stata revisionata da una persona.
Comprendere il CRA · Notifica

Notifica di incidenti e vulnerabilità ai sensi del CRA

Dall'11 settembre 2026, i fabbricanti devono notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi ai sensi dell'Art. 14; cosa notificare, le scadenze di 24 ore, 72 ore e 14 giorni e chi le riceve.

Circa 8 min di letturaArt. 14 · 16Si applica dall'11 set 2026

01Cosa deve essere notificato

L'Art. 14 del Cyber Resilience Act crea due distinti obblighi di notifica per i fabbricanti di prodotti con elementi digitali. Sono più circoscritti di quanto possa sembrare: i bug ordinari e le patch comuni non rientrano nell'ambito di applicazione. Art. 14

  • Vulnerabilità attivamente sfruttate; una vulnerabilità nel vostro prodotto che viene utilizzata in un attacco. Una vulnerabilità che scoprite e correggete prima che venga sfruttata è gestita attraverso il normale processo di gestione delle vulnerabilità, non questo canale di notifica.
  • Incidenti gravi; un incidente che ha un grave impatto sulla sicurezza del prodotto, ad esempio uno che compromette la riservatezza, l'integrità o la disponibilità per gli utenti.
Il test

Se una debolezza della sicurezza nel vostro prodotto è attivamente sfruttata, o un incidente di sicurezza lo ha gravemente compromesso, il conto alla rovescia dell'Art. 14 inizia. Tutto il resto rientra nella gestione quotidiana delle vulnerabilità.

02Le tre scadenze

Ogni notifica si articola in tre fasi, calcolate dal momento in cui venite a conoscenza della vulnerabilità sfruttata o dell'incidente grave. Le finestre sono ristrette, ed è per questo che la preparazione conta più del processo nel momento in cui si verifica. Art. 14(2)–(4)

  • Entro 24hPreavviso. Una prima notifica relativa a una vulnerabilità attivamente sfruttata o a un incidente grave, inclusa l'indicazione se si sospetta che sia causato da atti illeciti o dolosi.
  • Entro 72hNotifica di vulnerabilità / incidente. Una descrizione più completa, comprensiva di una valutazione iniziale, della gravità e dell'impatto e, ove disponibili, delle misure correttive o di attenuazione adottate.
  • Entro 14 giorniRapporto finale. Non appena è disponibile una misura correttiva: una descrizione della vulnerabilità o dell'incidente, la sua gravità e impatto, e la remediation applicata. Per gli incidenti, il termine decorre dal momento in cui l'incidente è gestito.

03A chi notificare

Le notifiche vanno a ENISA e al CSIRT designato come coordinatore per lo Stato membro interessato. Non contattate separatamente ciascuna autorità: il CRA istituisce una piattaforma di notifica unica, gestita e operata da ENISA, come punto di accesso unico per tutte le notifiche. Art. 14 · 16

La piattaforma instrada ogni notifica al CSIRT nazionale competente e, ove necessario, ad altre autorità. In casi specifici, ad esempio quando la divulgazione creerebbe un rischio di cybersicurezza sproporzionato, il Regolamento consente di limitare una notifica, ma il comportamento predefinito è la segnalazione completa e tempestiva attraverso la piattaforma.

Stato · metà 2026

La piattaforma di notifica unica è non ancora generalmente disponibile. ENISA è ancora in fase di sviluppo (lo sviluppo è stato messo a gara e contrattualizzato) e sta pubblicando materiale di registrazione, onboarding e prove pratiche in preparazione. È previsto che sia operativo entro la data di avvio dell'11 settembre 2026, con un periodo di test precedente; pertanto non esiste ancora una piattaforma operativa con cui registrarsi.

04Quando inizia

Gli obblighi di notifica sono la prima parte principale del CRA ad entrare in vigore. Mentre la maggior parte delle disposizioni si applica dall'11 dicembre 2027, l'Art. 14 si applica dal 11 settembre 2026; 21 mesi dopo l'entrata in vigore dell'Atto. La piattaforma di notifica unica è previsto che sia operativa entro tale data. Art. 71

Perché questa è la prima scadenza che conta

A differenza della Marcatura CE, che si completa una volta prima di immettere un prodotto sul mercato, la notifica è un obbligo attivo e continuativo che inizia a settembre 2026 e può essere attivato in qualsiasi momento successivo. Essere pronti non è un progetto occasionale.

Ancora in fase di definizione

Il formato e procedura per le notifiche può essere ulteriormente specificato dagli atti di esecuzione della Commissione, e standard armonizzati alla base della gestione delle vulnerabilità sono attesi intorno al 30 agosto 2026. Entrambi sono previsti solo poco prima dell'entrata in vigore dell'obbligo. L'indicazione pratica: costruite ora il vostro processo interno di rilevamento e notifica; non attendete la meccanica finale della piattaforma né un modello di notifica pubblicato, poiché l'obbligo si applica dall'11 settembre 2026 indipendentemente da ciò.

05Come essere pronti

Rispettare una finestra di 24 ore è un problema operativo, non burocratico. I fabbricanti che riusciranno a rispettarla sono quelli che già conoscono il contenuto dei propri prodotti e lo monitorano continuamente.

  • Mantenete un SBOM accurato; non è possibile notificare un componente di cui non si sapeva di aver distribuito. Mantenete un SBOM e tenetelo aggiornato man mano che le versioni cambiano.
  • Monitoratelo continuamente; confrontate i vostri componenti con le fonti di vulnerabilità note in modo che una falla attivamente sfruttata emerga in ore, non in settimane.
  • Definite il processo in anticipo; decidete ora chi decide che una notifica è dovuta, chi la redige e chi la invia, in modo che il tempo non venga consumato in escalation interne.
  • Tracciate i requisiti sottostanti; il matrice di conformità collega la notifica ai più ampi obblighi di gestione delle vulnerabilità dell'Allegato I in cui è inserita.

Il SBOM e analizzatore di vulnerabilità copre i primi due: confronta il vostro bill of materials con NVD e il database europeo delle vulnerabilità (EUVD), in modo che un componente attivamente sfruttato venga segnalato entro la finestra di 24 ore.

Apri l'analizzatore di vulnerabilità →Il CRA, spiegato →

06Domande comuni

Cosa devo notificare ai sensi del CRA e con quale rapidità?

Le vulnerabilità attivamente sfruttate e gli incidenti gravi che incidono sulla sicurezza del vostro prodotto. Dovete inviare un preavviso entro 24 ore dal momento in cui ne venite a conoscenza, una notifica più completa entro 72 ore e un rapporto finale entro 14 giorni dalla disponibilità di una misura correttiva. Art. 14

Quando iniziano gli obblighi di notifica?

11 settembre 2026; 21 mesi dopo l'entrata in vigore dell'Atto, e ben prima della piena applicazione dell'11 dicembre 2027.

A chi devo notificare?

ENISA e il CSIRT nazionale designato come coordinatore, attraverso la piattaforma di notifica unica istituita da ENISA ai sensi dell'Art. 16. Si tratta di un punto di accesso unico anziché di presentazioni separate.

Devo notificare ogni bug o vulnerabilità?

No. Solo le vulnerabilità attivamente sfruttate e gli incidenti gravi sono soggetti a notifica. Le vulnerabilità che scoprite e correggete prima dello sfruttamento vengono gestite attraverso il normale processo di gestione delle vulnerabilità.

La piattaforma di notifica unica di ENISA è già disponibile?

Non ancora. A metà 2026 è ancora in costruzione ai sensi dell'Art. 16; ENISA sta pubblicando materiale di registrazione e prove pratiche in preparazione e la piattaforma è previsto che sia operativa entro l'11 settembre 2026, con un periodo di test precedente.

Esiste già un formato standard o un modello per le notifiche?

Non ancora definitivo. La Commissione può specificare il formato e la procedura per le notifiche attraverso atti di esecuzione, e gli standard armonizzati alla base della gestione delle vulnerabilità sono attesi intorno al 30 agosto 2026. Preparate il vostro processo interno ora, piuttosto che attendere la meccanica pubblicata; l'obbligo si applica dall'11 settembre 2026 indipendentemente da ciò.

Continua a leggere

Riferimenti collegati

§Il CRA, spiegato

Ambito di applicazione, classi, obblighi e calendario completo in linguaggio semplice.

§SBOM e analizzatore di vulnerabilità

Confrontate i vostri componenti con NVD e EUVD per rispettare la finestra di 24 ore.

§Il regolamento completo

Gli articoli 14 e 16 nel testo vincolante del Regulation (EU) 2024/2847.

§Domande frequenti

Risposte concise alle domande comuni degli stakeholder, con riferimenti normativi.