Quando si parla di Cyber Resilience Act, la domanda che i costruttori fanno per prima è sempre la stessa: cosa succede se non sono in regola. La risposta sta nell'articolo 64 del Regolamento UE 2024/2847, ed è più severa di quanto molti si aspettino. Soprattutto per un motivo che quasi nessuno ha notato.
È questo il massimale previsto dall'articolo 64, paragrafo 2, per la non conformità ai requisiti essenziali di cibersicurezza e agli obblighi degli articoli 13 e 14. L'articolo 14 è quello dell'obbligo di segnalazione, quello che diventa applicabile l'11 settembre 2026.
Quella cifra non è il massimale generico del regolamento. È il più alto dei tre previsti dall'articolo 64, ed è riservato proprio agli obblighi di segnalazione e ai requisiti essenziali. Per capire il peso della scelta, basta guardare gli altri due.
In altre parole: tra tutti gli obblighi che il CRA impone a un fabbricante, il legislatore europeo ha messo la sanzione più severa proprio su quello che scatta per primo, l'11 settembre 2026. Non è un caso, ed è il segnale più chiaro di quanto l'obbligo di segnalazione sia considerato centrale.
Su questo punto circolano versioni imprecise, e conviene essere esatti. Il regolamento prevede due cose, diverse tra loro.
La prima. Tra i criteri che le autorità devono considerare nel decidere l'importo ci sono le dimensioni dell'impresa, con un riferimento esplicito a microimprese, piccole e medie imprese e start-up, e la sua quota di mercato. Essere piccoli pesa nella commisurazione. È un criterio di valutazione, non uno sconto automatico.
La seconda è più netta, ma molto più ristretta di quanto si creda. Il regolamento esclude le sanzioni pecuniarie per i fabbricanti che sono microimprese o piccole imprese, e soltanto per il mancato rispetto del termine delle 24 ore del preallarme. La deroga non copre le medie imprese. Non copre la notifica delle 72 ore, né la relazione finale, né l'obbligo di segnalazione in quanto tale. E non copre il caso più comune tra chi oggi è scoperto, perché chi non ha inventario né monitoraggio non sfora il termine del preallarme, semplicemente non segnala nulla.
Resta fermo, per tutti, che i massimali si misurano sul fatturato, non sull'utile. Per un'azienda manifatturiera con margini normali, il 2,5% del fatturato può valere una fetta significativa del risultato di un anno intero.
I numeri sopra sono massimali, non importi automatici. Nel decidere l'importo, l'articolo 64 indica tre criteri. La natura, la gravità e la durata della violazione e delle sue conseguenze. Le sanzioni già applicate allo stesso operatore per violazioni analoghe. Le dimensioni e la quota di mercato di chi ha commesso la violazione. E prima ancora dei tre criteri, il regolamento mette una clausola generale che li governa tutti, perché la decisione deve tenere conto di tutte le circostanze pertinenti della situazione specifica.
È dentro quella clausola che si gioca la partita di chi si prepara adesso. Un costruttore che ha costruito l'inventario dei suoi componenti, ha un monitoraggio attivo e un processo di segnalazione pronto, ma che per una circostanza sfortunata sfora un termine, sta in una posizione molto diversa da un costruttore che non ha fatto nulla e non è nemmeno in grado di sapere cosa monta nelle proprie macchine. Non perché la preparazione compaia come criterio testuale nell'elenco, ma perché una preparazione dimostrabile è esattamente il tipo di circostanza pertinente che un'autorità pesa quando decide.
Concentrarsi solo sulla sanzione, però, è un errore di prospettiva. Per un costruttore di macchine il danno più probabile non arriva da un'autorità di vigilanza, arriva dal mercato.
Una vulnerabilità sfruttata attivamente su un componente delle vostre macchine, scoperta e comunicata da qualcun altro invece che da voi, è un evento che i vostri clienti vedono. L'Articolo 14 obbliga il fabbricante anche a informare gli utilizzatori interessati, e prevede che se il fabbricante non lo fa tempestivamente possa farlo il CSIRT nazionale al posto suo. Il silenzio verso i propri clienti, in altre parole, non è una scelta che resta privata.
E c'è il lato commerciale: la conformità informatica del prodotto sta diventando un requisito d'acquisto, non solo di legge. Nei capitolati dei clienti più grandi, la domanda "avete un SBOM e un processo di gestione delle vulnerabilità" comincia già a comparire. Chi arriva pronto a settembre non evita solo una sanzione: si presenta con un argomento in più.
Cinque domande sul vostro prodotto, un verdetto sulle tre capacità che l'obbligo richiede. Gratuito, senza registrazione per vedere il risultato.
Fai la verificaPer capire nel dettaglio cosa richiede l'obbligo di segnalazione, i tre tempi e le due piste, leggi la guida all'Articolo 14.