L'11 settembre 2026 diventa applicabile l'Articolo 14 del Cyber Resilience Act, il Regolamento UE 2024/2847. Da quel giorno, ogni fabbricante di prodotti con elementi digitali che viene a conoscenza di una vulnerabilità sfruttata attivamente nei propri prodotti, oppure di un incidente grave che ne colpisce la sicurezza, ha l'obbligo di segnalarlo a ENISA e al CSIRT nazionale, con tempi strettissimi. Non è l'intero regolamento ad applicarsi in quella data: il grosso del CRA si applica dall'11 dicembre 2027. A settembre scatta la parte più operativa e meno rinviabile, la segnalazione.
Riguarda i fabbricanti di prodotti con elementi digitali immessi sul mercato europeo. Per un costruttore di macchine significa tutto ciò che nelle macchine calcola, comunica o si aggiorna: controlli numerici, PLC, pannelli operatore, PC industriali, software e firmware di bordo.
Il punto che sorprende quasi tutti è nell'articolo 69 del regolamento: l'obbligo di segnalazione si applica anche ai prodotti immessi sul mercato prima della piena applicazione del CRA. Tradotto: il parco macchine già consegnato negli anni scorsi è dentro il perimetro dell'obbligo, non solo le macchine nuove.
Prima pista. Quando il fabbricante viene a conoscenza di una vulnerabilità sfruttata attivamente in un suo prodotto, l'Articolo 14 impone una sequenza a tre stadi verso ENISA e il CSIRT nazionale di coordinamento, che per l'Italia è l'Agenzia per la Cybersicurezza Nazionale:
Il conto alla rovescia parte dalla conoscenza del fatto, non dalla fine delle analisi. In 24 ore non serve avere tutte le risposte, serve aver dato l'allarme.
Seconda pista, spesso ignorata. Dalla stessa data e con lo stesso meccanismo, l'Articolo 14 impone di segnalare anche gli incidenti gravi che colpiscono la sicurezza di un prodotto con elementi digitali. Cambia l'oggetto: qui non si parla di una vulnerabilità che viene sfruttata, ma di un evento di sicurezza vero e proprio sul prodotto. Il regolamento considera grave un incidente quando incide, o è in grado di incidere, sulla capacità del prodotto di proteggere disponibilità, autenticità, integrità o riservatezza di dati o funzioni sensibili o importanti, oppure quando porta, o può portare, all'introduzione o all'esecuzione di codice maligno nel prodotto o nei sistemi del cliente, per esempio codice maligno nel software di bordo introdotto attraverso un aggiornamento compromesso.
I tempi sono quasi gli stessi della prima pista, con una differenza sull'ultimo stadio:
Il canale è unico e obbligato: la piattaforma unica di segnalazione istituita da ENISA ai sensi dell'articolo 16 del regolamento, usando il terminale del CSIRT coordinatore dello Stato membro dove il fabbricante ha il suo stabilimento principale. Una mail diretta al CSIRT non soddisfa l'obbligo.
Alla data di aggiornamento di questa guida, la piattaforma non è ancora operativa: ENISA ne prevede l'attivazione per l'11 settembre 2026, con un periodo di prova prima, e pubblicherà le istruzioni di accesso e registrazione. La conseguenza pratica è netta: aspettare la piattaforma non è un piano. Tutto ciò che serve per rispettare i tempi, l'inventario, il monitoraggio, il contenuto della segnalazione, va costruito prima, perché la piattaforma è solo il punto di consegna.
L'obbligo sembra una questione di moduli e scadenze. In realtà è una questione di visibilità. Per dare l'allarme in 24 ore su una vulnerabilità sfruttata attivamente in un proprio componente, un costruttore deve sapere quali componenti digitali ci sono in ogni sua linea di prodotto, con le versioni, e deve avere qualcosa che lo avvisi quando uno di quei componenti finisce sotto attacco reale.
Oggi la maggior parte dei costruttori non ha né l'una né l'altra cosa. Non per negligenza: la distinta dei componenti digitali non è mai stata un documento richiesto, e le fonti da monitorare sono tante, tecniche e in inglese. Il risultato è che all'11 settembre molte aziende saranno scoperte su un obbligo di legge senza saperlo.
L'inventario. La distinta dei componenti digitali di ogni linea di prodotto, con le versioni. È il punto di partenza obbligato: senza, non si sa nemmeno se una vulnerabilità appena uscita riguarda i propri prodotti.
Il monitoraggio. Il confronto continuo tra quella distinta e le vulnerabilità che escono ogni giorno, con un'attenzione specifica a quelle che diventano sfruttate attivamente. È il presidio che trasforma la scadenza da rischio cieco a processo gestito.
Il processo di segnalazione, verso le autorità e verso i clienti. Sapere già, prima che succeda, chi fa cosa nelle prime 24 ore: chi valuta, chi decide, con quali contenuti si prepara l'allarme e la notifica. C'è un pezzo che quasi nessuno considera: l'Articolo 14 obbliga il fabbricante, dal momento in cui viene a conoscenza del problema, a informare anche gli utilizzatori interessati, cioè i clienti che hanno le macchine installate, della vulnerabilità o dell'incidente e delle misure che possono adottare. E se il fabbricante non lo fa tempestivamente, può farlo il CSIRT al posto suo. Il silenzio verso i propri clienti, in altre parole, non resta una scelta privata dell'azienda.
Cinque domande sul vostro prodotto, un verdetto sulle tre capacità che l'obbligo richiede. Gratuito, senza registrazione per vedere il risultato.
Fai la verifica