Lumantis · Guida per costruttori

CRA, NIS2, Regolamento Macchine, AI Act: chi fa cosa

Aggiornato al 12 luglio 2026

Quattro norme europee, quattro sigle che circolano nelle stesse riunioni e che i costruttori confondono di continuo. La confusione è comprensibile, ma costa cara: porta a pensare di essere coperti da un adempimento già fatto, quando in realtà riguardava un'altra cosa.

La chiave per non sbagliare è una sola, e sta nella domanda che cosa regola questa norma. Non chi la applica, non quando scatta: cosa regola.

Cyber Resilience Act · Reg. UE 2024/2847
Regola il prodotto che vendi

Riguarda i prodotti con elementi digitali immessi sul mercato europeo. Per un costruttore, la macchina che esce dallo stabilimento con dentro controlli numerici, PLC, pannelli operatore. È il regolamento che impone l'obbligo di segnalare le vulnerabilità sfruttate attivamente e gli incidenti gravi, ed è il primo a portare una scadenza nuova, l'11 settembre 2026.

Direttiva NIS2 · Dir. UE 2022/2555
Regola la tua azienda come organizzazione

Non riguarda il prodotto, riguarda la sicurezza informatica dell'impresa: i suoi sistemi, le sue reti, la sua governance del rischio cyber. In Italia è stata recepita con il decreto legislativo 138 del 2024, e l'autorità competente è l'ACN. Si applica a soggetti classificati come essenziali o importanti, in base al settore e alla dimensione dell'impresa.

Regolamento Macchine · Reg. UE 2023/1230
Regola la sicurezza della macchina

È il successore della Direttiva Macchine 2006/42/CE, che abroga a partire dal 20 gennaio 2027. Riguarda la sicurezza del prodotto in senso classico, ma con una novità: introduce requisiti che toccano anche la cibersicurezza, in particolare la protezione contro la corruzione del software e l'affidabilità dei sistemi di comando.

AI Act · Reg. UE 2024/1689
Regola l'intelligenza artificiale a bordo

Riguarda i sistemi di intelligenza artificiale. Per un costruttore entra in gioco quando la macchina integra funzioni basate su IA, per esempio nella visione artificiale, nella manutenzione predittiva o nel controllo adattivo. Se non c'è IA a bordo, non riguarda il vostro prodotto.

Il punto che quasi nessun costruttore ha capito

CRA e NIS2 non sono alternative, e non si escludono. Un costruttore di macchine può essere soggetto a entrambe, per due motivi diversi.

Al CRA in quanto fabbricante di un prodotto con elementi digitali. E alla NIS2 in quanto impresa, se rientra nei settori e nelle soglie dimensionali previste. E qui sta la sorpresa: tra i settori elencati dalla NIS2 compare anche la fabbricazione di macchinari e apparecchiature. Non è un dettaglio marginale, è esattamente il codice di attività della maggior parte dei costruttori italiani.

L'applicabilità concreta dipende da soglie dimensionali e dal settore specifico, e va verificata caso per caso con i propri consulenti: non è una cosa che si stabilisce leggendo una pagina web. Ma il punto di metodo è chiaro: essere in regola con una delle due non vi mette in regola con l'altra, perché guardano due cose diverse. La NIS2 guarda come proteggete la vostra azienda. Il CRA guarda cosa vendete ai vostri clienti.

Un modo semplice per non confondersi mai più. Chiedetevi: di quale oggetto stiamo parlando? Se l'oggetto è la macchina che esce dal cancello, siete nel CRA. Se l'oggetto è il vostro gestionale, la vostra rete, il vostro reparto IT, siete nella NIS2. Se l'oggetto è il rischio che la macchina faccia male a un operatore, siete nel Regolamento Macchine. Se l'oggetto è un algoritmo che prende decisioni a bordo, siete nell'AI Act.

Dove CRA e Regolamento Macchine si toccano

C'è una zona di sovrapposizione tra questi due, e il legislatore europeo lo sa bene: il CRA stesso la riconosce esplicitamente. Il Regolamento Macchine contiene requisiti che riguardano la protezione contro la corruzione del software e la sicurezza e affidabilità dei sistemi di comando, cioè temi di cibersicurezza applicati alla sicurezza della macchina.

Il CRA prevede che la Commissione fornisca orientamenti per sostenere i fabbricanti soggetti a entrambi i regolamenti, proprio per facilitare la dimostrazione della conformità senza duplicare il lavoro. Tradotto: i due si parlano, e chi costruisce l'inventario dei componenti e il presidio sulle vulnerabilità per il CRA sta costruendo materiale utile anche per il Regolamento Macchine. Non sono due cantieri separati, se li si imposta bene.

Le date, in ordine di arrivo

Questa è la parte che conta di più per decidere da dove cominciare, perché non tutto scatta insieme.

11 set 2026CRA, Articolo 14: obbligo di segnalazione delle vulnerabilità sfruttate attivamente e degli incidenti gravi
20 gen 2027Regolamento Macchine: si applica e abroga la Direttiva Macchine 2006/42/CE
11 dic 2027CRA: si applica il resto del regolamento, requisiti essenziali di cibersicurezza compresi

La NIS2 è già in vigore e recepita in Italia, con un calendario di adempimenti proprio. L'AI Act ha un calendario a scaglioni. Ma la prima scadenza che tocca un costruttore di macchine sul lato cyber del prodotto, e che oggi la stragrande maggioranza non è in grado di rispettare, è quella dell'11 settembre 2026.

Siete pronti o scoperti sull'11 settembre? Verificatelo in due minuti

Cinque domande sul vostro prodotto, un verdetto sulle tre capacità che l'obbligo del CRA richiede. Gratuito, senza registrazione per vedere il risultato.

Fai la verifica

Per il dettaglio dell'obbligo che scatta per primo, leggi la guida all'Articolo 14. Per capire perché riguarda anche il parco installato, la pagina sulle macchine già vendute.

Fonti. Regolamento (UE) 2024/2847 (Cyber Resilience Act), articoli 14 e 71 e considerando 53 sul rapporto con il regolamento (UE) 2023/1230. Regolamento (UE) 2023/1230 (Regolamento Macchine), articoli 51 e 54 su abrogazione e applicazione. Regolamento (UE) 2024/1689 (AI Act). Direttiva (UE) 2022/2555 (NIS2), recepita in Italia con il decreto legislativo 138/2024; informazioni sull'attuazione nazionale dal sito dell'Agenzia per la Cybersicurezza Nazionale.

Questa pagina è un orientamento pratico e non costituisce consulenza legale. L'applicabilità della NIS2 alla singola impresa dipende da settore e soglie dimensionali e va verificata caso per caso. Per la posizione della vostra azienda fanno fede i testi normativi e il parere dei vostri consulenti.

Lumantis S.r.l. · Via Valparaiso 1, 20144 Milano · P.IVA IT12825000966 · cra@lumantis.it