Lumantis · Guida per costruttori

CRA Articolo 14: cosa scatta l'11 settembre 2026 per chi costruisce macchine

Aggiornato al 10 luglio 2026

L'11 settembre 2026 diventa applicabile l'Articolo 14 del Cyber Resilience Act, il Regolamento UE 2024/2847. Da quel giorno, ogni fabbricante di prodotti con elementi digitali che viene a conoscenza di una vulnerabilità sfruttata attivamente nei propri prodotti, oppure di un incidente grave che ne colpisce la sicurezza, ha l'obbligo di segnalarlo a ENISA e al CSIRT nazionale, con tempi strettissimi. Non è l'intero regolamento ad applicarsi in quella data: il grosso del CRA si applica dall'11 dicembre 2027. A settembre scatta la parte più operativa e meno rinviabile, la segnalazione.

Chi riguarda, e perché anche le macchine già vendute

Riguarda i fabbricanti di prodotti con elementi digitali immessi sul mercato europeo. Per un costruttore di macchine significa tutto ciò che nelle macchine calcola, comunica o si aggiorna: controlli numerici, PLC, pannelli operatore, PC industriali, software e firmware di bordo.

Il punto che sorprende quasi tutti è nell'articolo 69 del regolamento: l'obbligo di segnalazione si applica anche ai prodotti immessi sul mercato prima della piena applicazione del CRA. Tradotto: il parco macchine già consegnato negli anni scorsi è dentro il perimetro dell'obbligo, non solo le macchine nuove.

Quando una vulnerabilità viene sfruttata: i tre tempi

Prima pista. Quando il fabbricante viene a conoscenza di una vulnerabilità sfruttata attivamente in un suo prodotto, l'Articolo 14 impone una sequenza a tre stadi verso ENISA e il CSIRT nazionale di coordinamento, che per l'Italia è l'Agenzia per la Cybersicurezza Nazionale:

24 orel'allarme rapido (early warning), dal momento in cui se ne viene a conoscenza
72 orela notifica dettagliata, con le informazioni sulla vulnerabilità e sulle misure
14 giornila relazione finale, dopo che una misura correttiva o di attenuazione è disponibile

Il conto alla rovescia parte dalla conoscenza del fatto, non dalla fine delle analisi. In 24 ore non serve avere tutte le risposte, serve aver dato l'allarme.

L'altra metà dell'obbligo: gli incidenti gravi

Seconda pista, spesso ignorata. Dalla stessa data e con lo stesso meccanismo, l'Articolo 14 impone di segnalare anche gli incidenti gravi che colpiscono la sicurezza di un prodotto con elementi digitali. Cambia l'oggetto: qui non si parla di una vulnerabilità che viene sfruttata, ma di un evento di sicurezza vero e proprio sul prodotto. Il regolamento considera grave un incidente quando incide, o è in grado di incidere, sulla capacità del prodotto di proteggere disponibilità, autenticità, integrità o riservatezza di dati o funzioni sensibili o importanti, oppure quando porta, o può portare, all'introduzione o all'esecuzione di codice maligno nel prodotto o nei sistemi del cliente, per esempio codice maligno nel software di bordo introdotto attraverso un aggiornamento compromesso.

I tempi sono quasi gli stessi della prima pista, con una differenza sull'ultimo stadio:

24 oreil preallarme, indicando se si sospetta un atto illegittimo o malevolo
72 orela notifica, con la natura dell'incidente e una prima valutazione
1 mesela relazione finale, entro un mese dalla notifica dettagliata (non 14 giorni)

Dove si invia la segnalazione

Il canale è unico e obbligato: la piattaforma unica di segnalazione istituita da ENISA ai sensi dell'articolo 16 del regolamento, usando il terminale del CSIRT coordinatore dello Stato membro dove il fabbricante ha il suo stabilimento principale. Una mail diretta al CSIRT non soddisfa l'obbligo.

Alla data di aggiornamento di questa guida, la piattaforma non è ancora operativa: ENISA ne prevede l'attivazione per l'11 settembre 2026, con un periodo di prova prima, e pubblicherà le istruzioni di accesso e registrazione. La conseguenza pratica è netta: aspettare la piattaforma non è un piano. Tutto ciò che serve per rispettare i tempi, l'inventario, il monitoraggio, il contenuto della segnalazione, va costruito prima, perché la piattaforma è solo il punto di consegna.

Il problema pratico: non si segnala ciò che non si vede

L'obbligo sembra una questione di moduli e scadenze. In realtà è una questione di visibilità. Per dare l'allarme in 24 ore su una vulnerabilità sfruttata attivamente in un proprio componente, un costruttore deve sapere quali componenti digitali ci sono in ogni sua linea di prodotto, con le versioni, e deve avere qualcosa che lo avvisi quando uno di quei componenti finisce sotto attacco reale.

Oggi la maggior parte dei costruttori non ha né l'una né l'altra cosa. Non per negligenza: la distinta dei componenti digitali non è mai stata un documento richiesto, e le fonti da monitorare sono tante, tecniche e in inglese. Il risultato è che all'11 settembre molte aziende saranno scoperte su un obbligo di legge senza saperlo.

Una distinzione che vale la pena tenere ferma: l'obbligo sulla prima pista scatta sulle vulnerabilità sfruttate attivamente, cioè quelle per cui esistono prove affidabili di uso reale da parte di attaccanti, non su ogni vulnerabilità teorica. È una soglia precisa, e riconoscerla richiede evidenze affidabili e verificabili di sfruttamento, non sensazioni.

Come prepararsi adesso: i tre presidi

L'inventario. La distinta dei componenti digitali di ogni linea di prodotto, con le versioni. È il punto di partenza obbligato: senza, non si sa nemmeno se una vulnerabilità appena uscita riguarda i propri prodotti.

Il monitoraggio. Il confronto continuo tra quella distinta e le vulnerabilità che escono ogni giorno, con un'attenzione specifica a quelle che diventano sfruttate attivamente. È il presidio che trasforma la scadenza da rischio cieco a processo gestito.

Il processo di segnalazione, verso le autorità e verso i clienti. Sapere già, prima che succeda, chi fa cosa nelle prime 24 ore: chi valuta, chi decide, con quali contenuti si prepara l'allarme e la notifica. C'è un pezzo che quasi nessuno considera: l'Articolo 14 obbliga il fabbricante, dal momento in cui viene a conoscenza del problema, a informare anche gli utilizzatori interessati, cioè i clienti che hanno le macchine installate, della vulnerabilità o dell'incidente e delle misure che possono adottare. E se il fabbricante non lo fa tempestivamente, può farlo il CSIRT al posto suo. Il silenzio verso i propri clienti, in altre parole, non resta una scelta privata dell'azienda.

Siete pronti o scoperti? Verificatelo in due minuti

Cinque domande sul vostro prodotto, un verdetto sulle tre capacità che l'obbligo richiede. Gratuito, senza registrazione per vedere il risultato.

Fai la verifica
Fonti. Regolamento (UE) 2024/2847 (Cyber Resilience Act), in particolare articolo 14 (paragrafi 1 e 2 sulle vulnerabilità sfruttate, 3, 4 e 5 sugli incidenti gravi, 8 sull'informazione agli utilizzatori), articolo 16 sulla piattaforma di segnalazione e articolo 69 sull'applicazione ai prodotti già immessi sul mercato, testo ufficiale su EUR-Lex. Stato della piattaforma unica di segnalazione: pagina ufficiale ENISA sulla Single Reporting Platform, consultata il 10 luglio 2026.

Questa guida è un orientamento pratico e non costituisce consulenza legale. Per la posizione della vostra azienda fa fede il testo del regolamento e il parere dei vostri consulenti.

Lumantis S.r.l. · Via Valparaiso 1, 20144 Milano · P.IVA IT12825000966 · cra@lumantis.it