Tutti gli obblighi del Regolamento (UE) 2024/2847 — tracciabili all'articolo, con spiegazioni in linguaggio semplice.
I prodotti con elementi digitali possono essere immessi sul mercato dell'UE solo se soddisfano i requisiti essenziali di cybersicurezza di cui alla Parte I dell'Allegato I, a condizione che siano correttamente installati, manutenuti e utilizzati per lo scopo previsto e che siano stati installati gli aggiornamenti di sicurezza necessari.
I prodotti con elementi digitali possono essere immessi sul mercato dell'UE solo se i processi predisposti dal fabbricante sono conformi ai requisiti essenziali di cybersicurezza di cui alla Parte II dell'Allegato I, che riguardano l'identificazione, la gestione e la divulgazione delle vulnerabilità per tutta la durata del periodo di assistenza.
I prodotti la cui funzionalità principale rientra in una categoria dell'Allegato III sono «prodotti importanti con elementi digitali» e devono seguire procedure di valutazione della conformità più rigorose. I prodotti importanti di classe I possono utilizzare l'autovalutazione del modulo A solo se vengono applicate norme armonizzate o specifiche comuni; in caso contrario è necessario un organismo notificato. La classe II richiede sempre un organismo notificato.
I prodotti la cui funzionalità principale rientra nell'Allegato IV (dispositivi hardware con scatole di sicurezza, gateway per contatori intelligenti e smart card/elementi sicuri) sono «prodotti critici con elementi digitali». Una volta adottato dall'atto delegato pertinente, dovranno ottenere un certificato europeo di cybersicurezza al livello di garanzia «sostanziale» o superiore. Nel frattempo è richiesta una valutazione della conformità secondo il modulo B+C o H.
I fabbricanti devono progettare, sviluppare e produrre prodotti con elementi digitali in modo da garantire un livello adeguato di cybersicurezza in base ai rischi. La sicurezza deve essere affrontata per l'intero ciclo di vita del prodotto — dalla progettazione alla dismissione.
Prima di immettere sul mercato un prodotto con elementi digitali, i fabbricanti devono effettuare una valutazione dei rischi di cybersicurezza associati al prodotto. La valutazione del rischio deve guidare la progettazione, lo sviluppo e la produzione del prodotto e deve essere documentata come parte del fascicolo tecnico.
I fabbricanti devono redigere una documentazione tecnica contenente tutte le informazioni necessarie a dimostrare la conformità del prodotto ai requisiti essenziali del CRA. La documentazione deve essere mantenuta aggiornata e conservata per dieci anni dall'immissione sul mercato (o per la durata di vita prevista del prodotto, se superiore).
I fabbricanti devono dimostrare la conformità utilizzando la procedura appropriata alla classe del loro prodotto. I prodotti predefiniti possono autocertificarsi (Modulo A). I prodotti di Classe I importante possono autocertificarsi se vengono applicate norme armonizzate; altrimenti è necessario coinvolgere un organismo notificato. I prodotti di Classe II importante e Critici richiedono sempre un organismo notificato.
Qualora un componente software incorporato in un prodotto con elementi digitali non sia sviluppato dal fabbricante, il fabbricante deve esercitare un'adeguata diligenza per garantire che il componente non comprometta la sicurezza del prodotto. Una distinta base del software (SBOM) deve essere predisposta e mantenuta come parte della documentazione tecnica.
Al momento dell'immissione sul mercato di un prodotto con elementi digitali, i fabbricanti devono garantire che il prodotto non contenga vulnerabilità sfruttabili note. Tale obbligo si applica al momento della distribuzione e per ogni successivo aggiornamento rilasciato.
I fabbricanti devono predisporre una politica di divulgazione coordinata delle vulnerabilità (CVD) e renderla accessibile al pubblico. La politica deve prevedere un punto di contatto per la segnalazione delle vulnerabilità e descrivere le modalità di gestione delle segnalazioni, compresi i tempi di conferma di ricezione e il processo di coordinamento della divulgazione con i ricercatori.
I fabbricanti devono dichiarare il periodo di supporto per il loro prodotto e rendere tale informazione disponibile agli utenti prima dell'acquisto. Il periodo di supporto deve essere di almeno cinque anni, a meno che la durata di utilizzo prevista del prodotto sia inferiore. La data di scadenza del supporto deve figurare nella documentazione del prodotto e nel punto di vendita.
I fabbricanti devono fornire aggiornamenti di sicurezza gratuiti per almeno cinque anni (o per la durata di utilizzo prevista, se inferiore). Gli aggiornamenti devono essere forniti tempestivamente, separatamente dagli aggiornamenti di funzionalità, e la data di scadenza del supporto deve essere comunicata.
I fabbricanti devono disporre di processi per identificare, analizzare e affrontare le vulnerabilità nei propri prodotti per l'intero periodo di supporto. L'Allegato I Parte II specifica requisiti dettagliati, tra cui l'assegnazione di CVE, la valutazione CVSS, la divulgazione coordinata e la remediation tempestiva.
I fabbricanti devono redigere una dichiarazione UE di conformità ai sensi dell'articolo 28 e dell'Allegato V, attestando che il prodotto soddisfa tutti i requisiti applicabili del CRA. La DoC UE deve essere mantenuta aggiornata e resa disponibile alle autorità di vigilanza del mercato e, ove applicabile, agli utenti.
I fabbricanti devono apporre la marcatura CE sui propri prodotti prima di immetterli sul mercato UE, come prova della conformità del prodotto a tutti i requisiti applicabili del CRA. La marcatura CE deve essere visibile, leggibile e indelebile e non deve essere apposta prima della redazione della dichiarazione UE di conformità.
I fabbricanti devono garantire che ogni prodotto con elementi digitali rechi un tipo, un numero di lotto, un numero di serie o altro elemento che ne consenta l'identificazione. Per i prodotti esclusivamente software, il numero di versione assolve a tale scopo.
I fabbricanti devono indicare il proprio nome, la ragione sociale o il marchio registrato e l'indirizzo postale sul prodotto o sul suo imballaggio. Deve essere indicato anche un indirizzo di contatto elettronico (sito web o e-mail) ove disponibile. Ciò consente alle autorità di vigilanza del mercato, agli importatori, ai distributori e agli utenti di contattare il fabbricante.
I fabbricanti devono accompagnare il prodotto con le informazioni e le istruzioni elencate nell'Allegato II, in una lingua facilmente comprensibile dagli utenti. Tali informazioni includono l'identità del prodotto, le funzionalità di sicurezza, il contatto per la segnalazione delle vulnerabilità, la data di scadenza del supporto e le indicazioni per un utilizzo sicuro.
Qualora un fabbricante abbia motivo di ritenere che un prodotto immesso sul mercato non sia conforme ai requisiti del CRA, deve adottare immediatamente misure correttive — inclusi il ritiro o il richiamo se necessario. I fabbricanti devono inoltre cooperare con le autorità di vigilanza del mercato e fornire tutte le informazioni e la documentazione richieste.
I fabbricanti devono segnalare ad ENISA tramite la piattaforma di segnalazione unica qualsiasi vulnerabilità attivamente sfruttata nel proprio prodotto entro 24 ore (allerta precoce) e 72 ore (notifica). La relazione finale è dovuta entro 14 giorni. Tale obbligo si applica dall'11 settembre 2026.
Entro 72 ore dalla presa di conoscenza di una vulnerabilità attivamente sfruttata in un prodotto, i fabbricanti devono presentare ad ENISA una notifica dettagliata della vulnerabilità tramite la piattaforma di segnalazione unica. Tale notifica segue l'allerta precoce entro 24 ore (OBL-ART14-01) e deve includere dettagli tecnici sulla vulnerabilità e sul prodotto interessato.
Entro 14 giorni dalla presa di conoscenza di una vulnerabilità attivamente sfruttata, i fabbricanti devono presentare ad ENISA una relazione finale contenente una descrizione completa della vulnerabilità, le misure correttive adottate e se la vulnerabilità è stata divulgata pubblicamente o è stato assegnato un CVE.
Quando una vulnerabilità è attivamente sfruttata, i fabbricanti devono notificare senza indebito ritardo agli utenti interessati. La notifica deve includere informazioni sufficienti per consentire agli utenti di adottare misure di protezione, comprese le misure di mitigazione disponibili prima del rilascio di una patch.
Un fabbricante può nominare un rappresentante autorizzato (AR) tramite mandato scritto. Il mandato deve consentire all'AR di svolgere almeno tre compiti minimi di legge: conservare la dichiarazione UE di conformità e la documentazione tecnica a disposizione della vigilanza del mercato per almeno 10 anni; fornire informazioni sulla conformità su richiesta; cooperare alle misure correttive. Gli obblighi fondamentali di progettazione e produzione non possono essere delegati.
Prima di immettere sul mercato UE un prodotto con elementi digitali, gli importatori devono verificare che il fabbricante abbia effettuato la valutazione della conformità appropriata, redatto la documentazione tecnica, apposto la marcatura CE e reso disponibile la dichiarazione UE di conformità o la dichiarazione di prestazione.
Qualora un importatore ritenga o abbia motivo di ritenere che un prodotto con elementi digitali non sia conforme ai requisiti essenziali di cybersicurezza, l'importatore non deve immettere il prodotto sul mercato fino al raggiungimento della conformità.
Gli importatori devono indicare il proprio nome, la ragione sociale o il marchio registrato, l'indirizzo postale e, ove disponibile, il sito web o l'indirizzo e-mail sul prodotto stesso, sull'imballaggio o in un documento allegato al prodotto.
Fintanto che un prodotto con elementi digitali è sotto la responsabilità dell'importatore, quest'ultimo deve garantire che le condizioni di stoccaggio e trasporto non pregiudichino la sua conformità ai requisiti essenziali di cybersicurezza.
Se un importatore viene a conoscenza che un prodotto immesso sul mercato non è conforme, deve adottare immediatamente misure correttive — inclusi il ritiro o il richiamo se necessario. Laddove il prodotto presenti un rischio significativo di cybersicurezza, l'importatore deve immediatamente notificare la pertinente autorità nazionale competente.
Gli importatori devono conservare una copia della dichiarazione UE di conformità o della dichiarazione di prestazione per 10 anni dall'immissione sul mercato del prodotto e garantire che la documentazione tecnica possa essere messa a disposizione delle autorità di vigilanza del mercato su richiesta.
Su richiesta motivata di un'autorità competente, gli importatori devono fornire tutte le informazioni e la documentazione — in forma cartacea o elettronica — necessarie a dimostrare la conformità di un prodotto con elementi digitali. Devono inoltre cooperare a qualsiasi azione correttiva richiesta.
Nel mettere a disposizione sul mercato un prodotto con elementi digitali, i distributori devono agire con la dovuta diligenza e verificare che il prodotto rechi la marcatura CE, sia accompagnato dalla documentazione e dalle informazioni richieste e che il fabbricante e l'importatore (ove applicabile) abbiano rispettato i loro obblighi di etichettatura e identificazione.
Qualora un distributore ritenga o abbia motivo di ritenere che un prodotto non sia conforme ai requisiti essenziali del CRA, il distributore non deve mettere il prodotto a disposizione sul mercato fino al raggiungimento della conformità e deve notificare il fabbricante e, ove applicabile, l'autorità di vigilanza del mercato.
I distributori devono garantire che, mentre un prodotto con elementi digitali è sotto la loro responsabilità, le condizioni di stoccaggio e trasporto non pregiudichino la sua conformità ai requisiti essenziali di cybersicurezza.
Se un distributore viene a conoscenza che un prodotto messo a disposizione sul mercato non è conforme, deve adottare immediatamente misure correttive inclusi il ritiro o il richiamo se necessario. Laddove il prodotto presenti un rischio significativo di cybersicurezza, deve immediatamente notificare la pertinente autorità nazionale di vigilanza del mercato.
Su richiesta motivata di un'autorità competente, i distributori devono fornire tutte le informazioni e la documentazione necessarie a dimostrare la conformità di un prodotto e cooperare a qualsiasi azione correttiva richiesta da tale autorità.
Un importatore o distributore è considerato fabbricante — e quindi soggetto alla totalità degli articoli 13 e 14 — se immette sul mercato un prodotto con elementi digitali con il proprio nome o marchio commerciale, oppure se apporta una modifica sostanziale a un prodotto già immesso sul mercato.
Qualsiasi persona fisica o giuridica — diversa dal fabbricante, importatore o distributore originali — che apporti una modifica sostanziale a un prodotto e lo metta a disposizione sul mercato è considerata fabbricante. Tale persona è quindi soggetta agli articoli 13 e 14, per la parte del prodotto interessata dalla modifica o, se la modifica incide sulla cybersicurezza dell'intero prodotto, per il prodotto nella sua totalità.
Tutti gli operatori economici devono essere in grado, su richiesta delle autorità di vigilanza del mercato, di identificare (a) qualsiasi operatore economico che abbia fornito loro un prodotto e (b) qualsiasi operatore economico al quale abbiano fornito un prodotto. I registri devono essere conservati per 10 anni a decorrere da ciascuna transazione.
I gestori di software open-source devono predisporre e documentare una politica di cybersicurezza che promuova lo sviluppo di un prodotto sicuro e consenta una gestione efficace delle vulnerabilità nei componenti software open-source che supportano.
I gestori di software open-source devono notificare senza indebito ritardo al pertinente CSIRT (computer security incident response team) designato come coordinatore qualsiasi vulnerabilità attivamente sfruttata contenuta nei loro componenti software open-source, nonché qualsiasi incidente grave che interessa la sicurezza di tali componenti.
I gestori di software open-source devono cooperare con le autorità di vigilanza del mercato su richiesta e fornire tutte le informazioni necessarie per l'espletamento dei loro compiti normativi.
Su richiesta delle autorità di vigilanza del mercato, i gestori di software open-source devono redigere e mantenere aggiornata la documentazione tecnica per i componenti software open-source che amministrano, sufficiente a consentire la valutazione della conformità in materia di cybersicurezza.
I fabbricanti devono redigere una dichiarazione UE di conformità (DoC UE) che segua la struttura modello dell'Allegato V e contenga tutti gli elementi specificati. La DoC UE dichiara che il prodotto soddisfa i requisiti essenziali di cybersicurezza applicabili. Una versione semplificata (Allegato VI) può accompagnare il prodotto purché la DoC completa sia accessibile online. La DoC deve essere aggiornata ogniqualvolta si verifichino modifiche pertinenti.
I fabbricanti devono redigere la documentazione tecnica prima di immettere un prodotto sul mercato e aggiornarla continuamente (almeno durante il periodo di assistenza). La documentazione deve contenere tutti gli elementi elencati nell'Allegato VII, dimostrando come il prodotto e i processi del fabbricante soddisfino i requisiti essenziali di cybersicurezza dell'Allegato I. Deve restare accessibile alle autorità di vigilanza del mercato per almeno 10 anni o il periodo di assistenza.
I fabbricanti devono effettuare una valutazione della conformità prima dell'immissione sul mercato, dimostrando che prodotto e processi soddisfano l'Allegato I. La procedura dipende dalla classificazione: modulo A per i prodotti standard, valutazione da terzi per i prodotti importanti di classe I senza norme armonizzate, organismo notificato obbligatorio per la classe II e i prodotti critici.
