A partire dall<date>11 settembre 2026</date>, tutti i produttori nel perimetro devono segnalare allENISA le vulnerabilità attivamente sfruttate e gli incidenti gravi — prima che il resto della CRA si applichi nel dicembre 2027.
L'Articolo 14 del Regolamento (UE) 2024/2847 crea una catena di segnalazione obbligatoria in tre fasi all'ENISA ogni volta che un produttore scopre che una vulnerabilità nel suo prodotto viene attivamente sfruttata da aggressori, o che si è verificato un incidente grave.
Questo è separato da — e in aggiunta a — la notifica degli utenti interessati (Art. 14(4)), che deve avvenire contestualmente. La segnalazione all'ENISA non sostituisce la notifica agli utenti.
Le segnalazioni vengono inviate tramite la piattaforma di segnalazione unica ENISA, che instrada le informazioni ai CSIRT nazionali pertinenti. La piattaforma deve essere operativa entro l'11 settembre 2026.
Il contatore parte dal momento in cui il produttore viene a conoscenza dello sfruttamento attivo — non dal momento in cui la vulnerabilità è confermata o completamente analizzata.
24 ore
Preavviso
Segnale all'ENISA che un evento grave è in corso. Dettagli minimi richiesti — la velocità è la priorità.
72 ore
Notifica completa
Notifica dettagliata all'ENISA: identificazione del prodotto, descrizione della vulnerabilità, gravità, impatto e misure correttive o di mitigazione adottate o pianificate.
14 giorni
Relazione finale
Analisi completa: identificatore CVE, punteggio CVSS, causa principale, rimedio implementato e conferma che gli utenti sono stati notificati.
In parallelo con la catena di segnalazione ENISA, i produttori devono notificare gli utenti interessati senza indebito ritardo. Non aspettate la correzione completa — gli utenti devono sapere:
Tutti i produttori di prodotti nel perimetro con elementi digitali — indipendentemente dalla classe di prodotto. L'Art. 14 si applica a ogni produttore dall'11 settembre 2026.
Non sono direttamente tenuti a segnalare all'ENISA ai sensi dell'Art. 14. Tuttavia, devono trasmettere le informazioni sulle vulnerabilità ai produttori senza indebito ritardo (Art. 20 / Art. 24).
Quattro obblighi atomici — ciascuno tracciabile all'articolo del regolamento, con guida sulle prove e spiegazioni in linguaggio semplice.
I fabbricanti devono segnalare ad ENISA tramite la piattaforma di segnalazione unica qualsiasi vulnerabilità attivamente sfruttata nel proprio prodotto entro 24 ore (allerta precoce) e 72 ore (notifica). La relazione finale è dovuta entro 14 giorni. Tale obbligo si applica dall'11 settembre 2026.
Entro 72 ore dalla presa di conoscenza di una vulnerabilità attivamente sfruttata in un prodotto, i fabbricanti devono presentare ad ENISA una notifica dettagliata della vulnerabilità tramite la piattaforma di segnalazione unica. Tale notifica segue l'allerta precoce entro 24 ore (OBL-ART14-01) e deve includere dettagli tecnici sulla vulnerabilità e sul prodotto interessato.
Entro 14 giorni dalla presa di conoscenza di una vulnerabilità attivamente sfruttata, i fabbricanti devono presentare ad ENISA una relazione finale contenente una descrizione completa della vulnerabilità, le misure correttive adottate e se la vulnerabilità è stata divulgata pubblicamente o è stato assegnato un CVE.
Quando una vulnerabilità è attivamente sfruttata, i fabbricanti devono notificare senza indebito ritardo agli utenti interessati. La notifica deve includere informazioni sufficienti per consentire agli utenti di adottare misure di protezione, comprese le misure di mitigazione disponibili prima del rilascio di una patch.
Vedi tutti i livelli di sanzione nella pagina panoramica del CRA →
Meet the three-step ENISA reporting chain for actively exploited vulnerabilities in your products.
Inserisci quando sei venuto a conoscenza di una vulnerabilità attivamente sfruttata per calcolare le tre scadenze di segnalazione all'ENISA.
Open toolListe di controllo interattive per ogni fase della catena di segnalazione in tre fasi dell'Art. 14.
Open toolGenera una policy di divulgazione coordinata delle vulnerabilità, un file security.txt e un modello di workflow di segnalazione ENISA.
Open toolEsaminate tutti gli obblighi del produttore, comprendete la classificazione del vostro prodotto e controllate il calendario normativo completo.
