Il Cyber Resilience Act si applica alle imprese italiane?

Sì. Il regolamento (UE) 2024/2847 si applica a tutti i fabbricanti, importatori e distributori di prodotti con elementi digitali immessi sul mercato UE. Le imprese italiane sono direttamente interessate. Applicazione completa dall'11 dicembre 2027, obbligo di notifica delle vulnerabilità dall'11 settembre 2026.

Qual è il ruolo dell'ACN nel Cyber Resilience Act?

L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità nazionale competente per il CRA in Italia. La Legge 17 marzo 2026, n. 36 (Legge di delegazione europea 2025) ha attribuito ad ACN il ruolo di autorità di notifica ai sensi del CRA. ACN coordina inoltre il progetto europeo SECURE, che fornisce supporto finanziario e formativo alle PMI per la conformità al CRA.

Regolamento (UE) 2024/2847 ACN • CSIRT Italia • Legge 36/2026

Cyber Resilience Act
per le imprese italiane

Q: Cosa prevede la Legge 36/2026 per il CRA in Italia?

L'articolo 15 della Legge 17 marzo 2026, n. 36 (Legge di delegazione europea 2025) ha conferito al Governo la delega ad adottare, entro sei mesi, uno o più decreti legislativi per adeguare l'ordinamento italiano al regolamento (UE) 2024/2847. La legge individua in ACN l'autorità di notifica e organizza l'inserimento del CRA nell'architettura nazionale della sicurezza cibernetica.

Il regolamento (UE) 2024/2847 impone requisiti obbligatori di cybersicurezza a fabbricanti, importatori e distributori di prodotti con elementi digitali sul mercato UE. Le imprese italiane sono direttamente interessate.

Automatizza la conformità CRA →

Autorità italiane per il CRA

L'ACN svolge un ruolo centrale nell'attuazione del CRA in Italia, con competenze sia normative che operative.

🏗

ACN — autorità notificante

L'Agenzia per la Cybersicurezza Nazionale è l'autorità di notifica per il CRA in Italia, come previsto dalla Legge 17 marzo 2026, n. 36. Valuta e notifica gli organismi di valutazione della conformità (OdV).

🚨

CSIRT Italia — notifiche

Il CSIRT Italia, operante nell'ambito di ACN, è il CSIRT coordinatore nazionale. Dall'11 settembre 2026 i fabbricanti notificano le vulnerabilità attivamente sfruttate tramite la piattaforma ENISA (SRP), che le trasmette automaticamente al CSIRT Italia.

📈

Progetto SECURE

ACN coordina SECURE, progetto EU da €16,5 milioni per supportare le PMI europee nella conformità al CRA. Il primo bando è stato aperto il 28 gennaio 2026 con finanziamenti fino a €30.000 per progetto.

Fonti: acn.gov.it; Legge 17 marzo 2026, n. 36, art. 15

L'adeguamento italiano al CRA

Il CRA è un regolamento europeo di applicazione diretta, ma richiede un intervento nazionale di adeguamento.

Legge 17 marzo 2026, n. 36 — Legge di delegazione europea 2025

L'articolo 15 della L. 36/2026 ha conferito al Governo la delega ad adottare, entro sei mesi dall'entrata in vigore, uno o più decreti legislativi per adeguare l'ordinamento italiano al regolamento (UE) 2024/2847. La legge individua in ACN l'autorità di notifica e organizza l'inserimento del CRA nell'architettura nazionale della sicurezza cibernetica. Questo intervento non modifica il CRA, ma ne organizza l'applicazione nazionale: individua le autorità competenti, disciplina le procedure amministrative e predispone il sistema sanzionatorio.

Fonte: Legge 17 marzo 2026, n. 36, art. 15 (Gazzetta Ufficiale)

Date chiave per le imprese italiane

Calendario ufficiale basato sul regolamento (UE) 2024/2847, Articoli 71–72.

10 dicembre 2024

CRA in vigore Fatto

Il regolamento (UE) 2024/2847 è entrato in vigore. Le imprese italiane devono avviare la preparazione alla conformità.

28 gennaio 2026

Primo bando SECURE aperto Fatto PMI

ACN ha aperto il primo bando del progetto SECURE: €5 milioni in finanziamenti a cascata per PMI europee, fino a €30.000 per progetto. Il bando era aperto fino al 29 marzo 2026.

17 marzo 2026

Legge di delegazione europea 2025 Fatto Italia

La Legge 36/2026 conferisce la delega al Governo per l'adeguamento nazionale al CRA, individuando ACN come autorità di notifica.

11 giugno 2026

Organismi di valutazione della conformità

ACN inizia a notificare gli organismi di valutazione della conformità (OdV) alla Commissione europea. Capitolo IV del regolamento applicabile.

11 settembre 2026

Obbligo di notifica vulnerabilità

Articolo 14 applicabile. I fabbricanti notificano le vulnerabilità attivamente sfruttate e gli incidenti gravi tramite la piattaforma ENISA (SRP). Il CSIRT Italia riceve automaticamente le notifiche. Scadenze: 24h notifica iniziale, 72h notifica anticipata, 14 giorni relazione finale.

11 dicembre 2027

Applicazione completa del CRA

Tutti i requisiti applicabili: requisiti essenziali di cybersicurezza (Allegato I), marcatura CE, dichiarazione UE di conformità, documentazione tecnica (Allegato VII). Sanzioni fino a €15.000.000 o 2,5% del fatturato mondiale (Articolo 64).

Domande frequenti

Risposte basate sul testo ufficiale del regolamento (UE) 2024/2847 e sulle informazioni pubblicate da ACN.

Il CRA si applica anche alle PMI italiane?

Sì. Il CRA si applica a tutti i fabbricanti indipendentemente dalle dimensioni. Tuttavia, l'Articolo 64 del regolamento prevede un'esenzione dalle sanzioni per le microimprese e le piccole imprese in caso di mancato rispetto del termine di 24 ore per la notifica delle vulnerabilità. Il progetto SECURE, coordinato da ACN, offre supporto finanziario (fino a €30.000) e formativo specificamente per le PMI.

Fonte: Regolamento (UE) 2024/2847, Articolo 64 — EUR-Lex; acn.gov.it — Progetto SECURE

Quali sono i requisiti essenziali di cybersicurezza del CRA?

L'Allegato I del regolamento (UE) 2024/2847 definisce i requisiti essenziali in due parti. La Parte I riguarda le proprietà di sicurezza del prodotto: progettazione sicura per impostazione predefinita, superficie di attacco minima, protezione della riservatezza e integrità, minimizzazione dei dati. La Parte II riguarda la gestione delle vulnerabilità: identificazione e documentazione delle vulnerabilità, politica di divulgazione coordinata, aggiornamenti di sicurezza per il periodo di supporto, SBOM, divulgazione coordinata delle vulnerabilità.

Fonte: Regolamento (UE) 2024/2847, Allegato I Parti I e II — EUR-Lex

Cosa prevede la marcatura CE per i prodotti digitali?

Dal 11 dicembre 2027, i prodotti con elementi digitali immessi sul mercato UE devono recare la marcatura CE, che attesta la conformità ai requisiti essenziali del CRA. Il fabbricante deve redigere una dichiarazione UE di conformità e conservare la documentazione tecnica per almeno 10 anni (Articolo 31). Per i prodotti importanti (Classe I e II) e critici, è richiesta la valutazione da parte di un organismo notificato (OdV).

Fonte: Regolamento (UE) 2024/2847, Articoli 28–32 e Articolo 31 — EUR-Lex

Quali sono le sanzioni per la non conformità al CRA?

L'Articolo 64 del regolamento (UE) 2024/2847 stabilisce sanzioni massime: mancato rispetto dei requisiti essenziali di cybersicurezza fino a €15.000.000 o 2,5% del fatturato annuo mondiale (l'importo maggiore); altre violazioni fino a €10.000.000 o 2% del fatturato; informazioni inesatte alle autorità fino a €5.000.000 o 1% del fatturato. Le sanzioni effettive sono determinate dallo Stato membro.

Fonte: Regolamento (UE) 2024/2847, Articolo 64 — EUR-Lex

Automatizza la conformità al CRA

CRA Ready è la piattaforma SaaS B2B per i produttori europei. Documentazione tecnica, marcatura CE, gestione delle vulnerabilità e SBOM — tutto in un'unica piattaforma.

Apri la piattaforma →

Avvertenza legale: Questa pagina è una risorsa informativa. Tutti i contenuti relativi al CRA fanno riferimento al testo ufficiale del regolamento (UE) 2024/2847 pubblicato nella Gazzetta Ufficiale dell'UE (EUR-Lex). Le informazioni relative ad ACN sono tratte da acn.gov.it. Questa pagina non costituisce consulenza legale.