Lumantis · Guida per costruttori

Il CRA si applica anche alle macchine già vendute?

Aggiornato al 12 luglio 2026

Sì. Ed è il punto del Cyber Resilience Act che sorprende praticamente tutti i costruttori con cui ne parliamo. La convinzione diffusa è che una norma nuova riguardi i prodotti nuovi, quelli che si immetteranno sul mercato d'ora in avanti. Per l'obbligo di segnalazione, non è così.

Cosa dice il regolamento

L'articolo 69 del Regolamento UE 2024/2847 stabilisce che gli obblighi di segnalazione dell'articolo 14 si applicano anche ai prodotti con elementi digitali immessi sul mercato prima dell'11 dicembre 2027, cioè prima della data in cui il regolamento entra pienamente in applicazione.

Tradotto per un costruttore di macchine: il parco macchine che avete consegnato negli anni scorsi, quello che oggi sta lavorando negli stabilimenti dei vostri clienti, è dentro il perimetro dell'obbligo. Ogni controllo numerico, ogni PLC, ogni pannello operatore montato su quelle macchine.

Vale la pena essere precisi su cosa questo significa e cosa no. Non significa che dobbiate rifare la conformità di macchine già vendute, o adeguarle retroattivamente ai requisiti tecnici del CRA. Significa che l'obbligo di segnalare una vulnerabilità sfruttata attivamente o un incidente grave, quando ne venite a conoscenza, riguarda anche quelle macchine.

Perché questa scelta ha senso, dal punto di vista di chi ha scritto la norma

La logica è semplice, e da un punto di vista tecnico è difficile darle torto. Un attaccante che sfrutta una vulnerabilità in un controllo numerico non guarda l'anno di produzione della macchina. Se il componente è vulnerabile ed è raggiungibile, la macchina è un bersaglio, che sia stata venduta l'anno scorso o cinque anni fa.

Anzi: le macchine più vecchie sono spesso quelle più esposte, perché montano versioni di firmware più datate, che hanno accumulato più vulnerabilità note e che magari non ricevono più aggiornamenti dal fornitore del componente. Escludere il parco installato avrebbe reso l'obbligo quasi inutile.

Cosa comporta, in concreto, per un costruttore

Il perimetro non è il catalogo, è la storia. Non basta sapere cosa montate oggi sulle linee in produzione. Serve sapere cosa avete montato negli anni, su quali macchine, in quali versioni, e presso quali clienti sono finite. È il salto di difficoltà più grosso di tutta la scadenza, e il motivo per cui molti costruttori scoprono di non avere quell'informazione da nessuna parte in forma utilizzabile.

Le versioni cambiano nel tempo, e questo complica tutto. La stessa linea di prodotto, prodotta in anni diversi, monta con ogni probabilità versioni firmware diverse. Una vulnerabilità che colpisce una certa versione può riguardare le macchine del 2021 e non quelle del 2023, o viceversa. Senza uno storico, l'unica risposta possibile a un advisory è "non lo sappiamo".

E c'è l'obbligo verso i clienti. L'articolo 14 non impone solo di segnalare alle autorità. Impone anche di informare gli utilizzatori interessati della vulnerabilità o dell'incidente e delle misure che possono adottare. Gli utilizzatori interessati, per un costruttore, sono i clienti che hanno le macchine installate. E se il fabbricante non li informa tempestivamente, il regolamento prevede che possa farlo il CSIRT nazionale al posto suo.

La domanda da farsi, prima dell'11 settembre

È una sola, e vale la pena porsela adesso invece che quando l'orologio sarà già partito. Se domani mattina esce un advisory su un componente che avete montato per anni, sapete su quali macchine si trova, in quale versione, e presso quali clienti?

Se la risposta è no, non è una colpa: quell'informazione non è mai stata richiesta prima, e nessun sistema di produzione è stato costruito per fornirla. Ma dall'11 settembre 2026 la domanda ha una scadenza di 24 ore.

Siete pronti o scoperti? Verificatelo in due minuti

Cinque domande sul vostro prodotto, un verdetto sulle tre capacità che l'obbligo richiede. Gratuito, senza registrazione per vedere il risultato.

Fai la verifica

Per il quadro completo dell'obbligo che scatta l'11 settembre, leggi la guida all'Articolo 14. Per capire da dove si comincia, la pagina sull'inventario dei componenti digitali.

Fonti. Regolamento (UE) 2024/2847 (Cyber Resilience Act), articolo 69 (applicazione ai prodotti immessi sul mercato prima dell'11 dicembre 2027), articolo 14 (obblighi di segnalazione dei fabbricanti, compreso l'obbligo di informare gli utilizzatori al paragrafo 8), articolo 71 (entrata in vigore e applicazione). Testo ufficiale su EUR-Lex.

Questa pagina è un orientamento pratico e non costituisce consulenza legale. Per la posizione della vostra azienda fa fede il testo del regolamento e il parere dei vostri consulenti.

Lumantis S.r.l. · Via Valparaiso 1, 20144 Milano · P.IVA IT12825000966 · cra@lumantis.it