Quattro norme europee, quattro sigle che circolano nelle stesse riunioni e che i costruttori confondono di continuo. La confusione è comprensibile, ma costa cara: porta a pensare di essere coperti da un adempimento già fatto, quando in realtà riguardava un'altra cosa.
La chiave per non sbagliare è una sola, e sta nella domanda che cosa regola questa norma. Non chi la applica, non quando scatta: cosa regola.
Riguarda i prodotti con elementi digitali immessi sul mercato europeo. Per un costruttore, la macchina che esce dallo stabilimento con dentro controlli numerici, PLC, pannelli operatore. È il regolamento che impone l'obbligo di segnalare le vulnerabilità sfruttate attivamente e gli incidenti gravi, ed è il primo a portare una scadenza nuova, l'11 settembre 2026.
Non riguarda il prodotto, riguarda la sicurezza informatica dell'impresa: i suoi sistemi, le sue reti, la sua governance del rischio cyber. In Italia è stata recepita con il decreto legislativo 138 del 2024, e l'autorità competente è l'ACN. Si applica a soggetti classificati come essenziali o importanti, in base al settore e alla dimensione dell'impresa.
È il successore della Direttiva Macchine 2006/42/CE, che abroga a partire dal 20 gennaio 2027. Riguarda la sicurezza del prodotto in senso classico, ma con una novità: introduce requisiti che toccano anche la cibersicurezza, in particolare la protezione contro la corruzione del software e l'affidabilità dei sistemi di comando.
Riguarda i sistemi di intelligenza artificiale. Per un costruttore entra in gioco quando la macchina integra funzioni basate su IA, per esempio nella visione artificiale, nella manutenzione predittiva o nel controllo adattivo. Se non c'è IA a bordo, non riguarda il vostro prodotto.
CRA e NIS2 non sono alternative, e non si escludono. Un costruttore di macchine può essere soggetto a entrambe, per due motivi diversi.
Al CRA in quanto fabbricante di un prodotto con elementi digitali. E alla NIS2 in quanto impresa, se rientra nei settori e nelle soglie dimensionali previste. E qui sta la sorpresa: tra i settori elencati dalla NIS2 compare anche la fabbricazione di macchinari e apparecchiature. Non è un dettaglio marginale, è esattamente il codice di attività della maggior parte dei costruttori italiani.
L'applicabilità concreta dipende da soglie dimensionali e dal settore specifico, e va verificata caso per caso con i propri consulenti: non è una cosa che si stabilisce leggendo una pagina web. Ma il punto di metodo è chiaro: essere in regola con una delle due non vi mette in regola con l'altra, perché guardano due cose diverse. La NIS2 guarda come proteggete la vostra azienda. Il CRA guarda cosa vendete ai vostri clienti.
C'è una zona di sovrapposizione tra questi due, e il legislatore europeo lo sa bene: il CRA stesso la riconosce esplicitamente. Il Regolamento Macchine contiene requisiti che riguardano la protezione contro la corruzione del software e la sicurezza e affidabilità dei sistemi di comando, cioè temi di cibersicurezza applicati alla sicurezza della macchina.
Il CRA prevede che la Commissione fornisca orientamenti per sostenere i fabbricanti soggetti a entrambi i regolamenti, proprio per facilitare la dimostrazione della conformità senza duplicare il lavoro. Tradotto: i due si parlano, e chi costruisce l'inventario dei componenti e il presidio sulle vulnerabilità per il CRA sta costruendo materiale utile anche per il Regolamento Macchine. Non sono due cantieri separati, se li si imposta bene.
Questa è la parte che conta di più per decidere da dove cominciare, perché non tutto scatta insieme.
La NIS2 è già in vigore e recepita in Italia, con un calendario di adempimenti proprio. L'AI Act ha un calendario a scaglioni. Ma la prima scadenza che tocca un costruttore di macchine sul lato cyber del prodotto, e che oggi la stragrande maggioranza non è in grado di rispettare, è quella dell'11 settembre 2026.
Cinque domande sul vostro prodotto, un verdetto sulle tre capacità che l'obbligo del CRA richiede. Gratuito, senza registrazione per vedere il risultato.
Fai la verificaPer il dettaglio dell'obbligo che scatta per primo, leggi la guida all'Articolo 14. Per capire perché riguarda anche il parco installato, la pagina sulle macchine già vendute.