Art. 3(13)Un produttore è qualsiasi persona fisica o giuridica che sviluppa o produce prodotti con elementi digitali, o li fa progettare o produrre, e li commercializza con il proprio nome o marchio.
11 dicembre 2024 — Il CRA entra in vigore
Il regolamento è giuridicamente in vigore. I prodotti immessi sul mercato a partire da questa data devono essere conformi al CRA una volta raggiunte le date di applicazione.
11 settembre 2026 — Si applicano gli obblighi di segnalazione delle vulnerabilità
La segnalazione di vulnerabilità e incidenti all'ENISA ai sensi dell'art. 14 diventa obbligatoria. Questa è la prima scadenza definitiva. I produttori devono avere i propri processi di segnalazione operativi prima di questa data.
11 giugno 2027 — Notifica degli organismi di valutazione della conformità
Gli Stati membri devono notificare alla Commissione gli organismi di valutazione della conformità.
11 dicembre 2027 — Si applica il regolamento completo
Tutti i requisiti del CRA si applicano a tutti i prodotti nel suo ambito. Nessun nuovo prodotto non conforme può essere immesso sul mercato dell'UE.
I fabbricanti devono progettare, sviluppare e produrre prodotti con elementi digitali in modo da garantire un livello adeguato di cybersicurezza in base ai rischi. La sicurezza deve essere affrontata per l'intero ciclo di vita del prodotto — dalla progettazione alla dismissione.
Prima di immettere sul mercato un prodotto con elementi digitali, i fabbricanti devono effettuare una valutazione dei rischi di cybersicurezza associati al prodotto. La valutazione del rischio deve guidare la progettazione, lo sviluppo e la produzione del prodotto e deve essere documentata come parte del fascicolo tecnico.
I fabbricanti devono redigere una documentazione tecnica contenente tutte le informazioni necessarie a dimostrare la conformità del prodotto ai requisiti essenziali del CRA. La documentazione deve essere mantenuta aggiornata e conservata per dieci anni dall'immissione sul mercato (o per la durata di vita prevista del prodotto, se superiore).
I fabbricanti devono dimostrare la conformità utilizzando la procedura appropriata alla classe del loro prodotto. I prodotti predefiniti possono autocertificarsi (Modulo A). I prodotti di Classe I importante possono autocertificarsi se vengono applicate norme armonizzate; altrimenti è necessario coinvolgere un organismo notificato. I prodotti di Classe II importante e Critici richiedono sempre un organismo notificato.
Qualora un componente software incorporato in un prodotto con elementi digitali non sia sviluppato dal fabbricante, il fabbricante deve esercitare un'adeguata diligenza per garantire che il componente non comprometta la sicurezza del prodotto. Una distinta base del software (SBOM) deve essere predisposta e mantenuta come parte della documentazione tecnica.
Al momento dell'immissione sul mercato di un prodotto con elementi digitali, i fabbricanti devono garantire che il prodotto non contenga vulnerabilità sfruttabili note. Tale obbligo si applica al momento della distribuzione e per ogni successivo aggiornamento rilasciato.
I fabbricanti devono predisporre una politica di divulgazione coordinata delle vulnerabilità (CVD) e renderla accessibile al pubblico. La politica deve prevedere un punto di contatto per la segnalazione delle vulnerabilità e descrivere le modalità di gestione delle segnalazioni, compresi i tempi di conferma di ricezione e il processo di coordinamento della divulgazione con i ricercatori.
I fabbricanti devono dichiarare il periodo di supporto per il loro prodotto e rendere tale informazione disponibile agli utenti prima dell'acquisto. Il periodo di supporto deve essere di almeno cinque anni, a meno che la durata di utilizzo prevista del prodotto sia inferiore. La data di scadenza del supporto deve figurare nella documentazione del prodotto e nel punto di vendita.
I fabbricanti devono fornire aggiornamenti di sicurezza gratuiti per almeno cinque anni (o per la durata di utilizzo prevista, se inferiore). Gli aggiornamenti devono essere forniti tempestivamente, separatamente dagli aggiornamenti di funzionalità, e la data di scadenza del supporto deve essere comunicata.
I fabbricanti devono disporre di processi per identificare, analizzare e affrontare le vulnerabilità nei propri prodotti per l'intero periodo di supporto. L'Allegato I Parte II specifica requisiti dettagliati, tra cui l'assegnazione di CVE, la valutazione CVSS, la divulgazione coordinata e la remediation tempestiva.
I fabbricanti devono redigere una dichiarazione UE di conformità ai sensi dell'articolo 28 e dell'Allegato V, attestando che il prodotto soddisfa tutti i requisiti applicabili del CRA. La DoC UE deve essere mantenuta aggiornata e resa disponibile alle autorità di vigilanza del mercato e, ove applicabile, agli utenti.
I fabbricanti devono apporre la marcatura CE sui propri prodotti prima di immetterli sul mercato UE, come prova della conformità del prodotto a tutti i requisiti applicabili del CRA. La marcatura CE deve essere visibile, leggibile e indelebile e non deve essere apposta prima della redazione della dichiarazione UE di conformità.
I fabbricanti devono garantire che ogni prodotto con elementi digitali rechi un tipo, un numero di lotto, un numero di serie o altro elemento che ne consenta l'identificazione. Per i prodotti esclusivamente software, il numero di versione assolve a tale scopo.
I fabbricanti devono indicare il proprio nome, la ragione sociale o il marchio registrato e l'indirizzo postale sul prodotto o sul suo imballaggio. Deve essere indicato anche un indirizzo di contatto elettronico (sito web o e-mail) ove disponibile. Ciò consente alle autorità di vigilanza del mercato, agli importatori, ai distributori e agli utenti di contattare il fabbricante.
I fabbricanti devono accompagnare il prodotto con le informazioni e le istruzioni elencate nell'Allegato II, in una lingua facilmente comprensibile dagli utenti. Tali informazioni includono l'identità del prodotto, le funzionalità di sicurezza, il contatto per la segnalazione delle vulnerabilità, la data di scadenza del supporto e le indicazioni per un utilizzo sicuro.
Qualora un fabbricante abbia motivo di ritenere che un prodotto immesso sul mercato non sia conforme ai requisiti del CRA, deve adottare immediatamente misure correttive — inclusi il ritiro o il richiamo se necessario. I fabbricanti devono inoltre cooperare con le autorità di vigilanza del mercato e fornire tutte le informazioni e la documentazione richieste.
I fabbricanti devono segnalare ad ENISA tramite la piattaforma di segnalazione unica qualsiasi vulnerabilità attivamente sfruttata nel proprio prodotto entro 24 ore (allerta precoce) e 72 ore (notifica). La relazione finale è dovuta entro 14 giorni. Tale obbligo si applica dall'11 settembre 2026.
Entro 72 ore dalla presa di conoscenza di una vulnerabilità attivamente sfruttata in un prodotto, i fabbricanti devono presentare ad ENISA una notifica dettagliata della vulnerabilità tramite la piattaforma di segnalazione unica. Tale notifica segue l'allerta precoce entro 24 ore (OBL-ART14-01) e deve includere dettagli tecnici sulla vulnerabilità e sul prodotto interessato.
Entro 14 giorni dalla presa di conoscenza di una vulnerabilità attivamente sfruttata, i fabbricanti devono presentare ad ENISA una relazione finale contenente una descrizione completa della vulnerabilità, le misure correttive adottate e se la vulnerabilità è stata divulgata pubblicamente o è stato assegnato un CVE.
Quando una vulnerabilità è attivamente sfruttata, i fabbricanti devono notificare senza indebito ritardo agli utenti interessati. La notifica deve includere informazioni sufficienti per consentire agli utenti di adottare misure di protezione, comprese le misure di mitigazione disponibili prima del rilascio di una patch.
Un fabbricante può nominare un rappresentante autorizzato (AR) tramite mandato scritto. Il mandato deve consentire all'AR di svolgere almeno tre compiti minimi di legge: conservare la dichiarazione UE di conformità e la documentazione tecnica a disposizione della vigilanza del mercato per almeno 10 anni; fornire informazioni sulla conformità su richiesta; cooperare alle misure correttive. Gli obblighi fondamentali di progettazione e produzione non possono essere delegati.
Qualsiasi persona fisica o giuridica — diversa dal fabbricante, importatore o distributore originali — che apporti una modifica sostanziale a un prodotto e lo metta a disposizione sul mercato è considerata fabbricante. Tale persona è quindi soggetta agli articoli 13 e 14, per la parte del prodotto interessata dalla modifica o, se la modifica incide sulla cybersicurezza dell'intero prodotto, per il prodotto nella sua totalità.
Tutti gli operatori economici devono essere in grado, su richiesta delle autorità di vigilanza del mercato, di identificare (a) qualsiasi operatore economico che abbia fornito loro un prodotto e (b) qualsiasi operatore economico al quale abbiano fornito un prodotto. I registri devono essere conservati per 10 anni a decorrere da ciascuna transazione.
I fabbricanti devono redigere una dichiarazione UE di conformità (DoC UE) che segua la struttura modello dell'Allegato V e contenga tutti gli elementi specificati. La DoC UE dichiara che il prodotto soddisfa i requisiti essenziali di cybersicurezza applicabili. Una versione semplificata (Allegato VI) può accompagnare il prodotto purché la DoC completa sia accessibile online. La DoC deve essere aggiornata ogniqualvolta si verifichino modifiche pertinenti.
I fabbricanti devono redigere la documentazione tecnica prima di immettere un prodotto sul mercato e aggiornarla continuamente (almeno durante il periodo di assistenza). La documentazione deve contenere tutti gli elementi elencati nell'Allegato VII, dimostrando come il prodotto e i processi del fabbricante soddisfino i requisiti essenziali di cybersicurezza dell'Allegato I. Deve restare accessibile alle autorità di vigilanza del mercato per almeno 10 anni o il periodo di assistenza.
I fabbricanti devono effettuare una valutazione della conformità prima dell'immissione sul mercato, dimostrando che prodotto e processi soddisfano l'Allegato I. La procedura dipende dalla classificazione: modulo A per i prodotti standard, valutazione da terzi per i prodotti importanti di classe I senza norme armonizzate, organismo notificato obbligatorio per la classe II e i prodotti critici.
I prodotti con elementi digitali possono essere immessi sul mercato dell'UE solo se soddisfano i requisiti essenziali di cybersicurezza di cui alla Parte I dell'Allegato I, a condizione che siano correttamente installati, manutenuti e utilizzati per lo scopo previsto e che siano stati installati gli aggiornamenti di sicurezza necessari.
I prodotti con elementi digitali possono essere immessi sul mercato dell'UE solo se i processi predisposti dal fabbricante sono conformi ai requisiti essenziali di cybersicurezza di cui alla Parte II dell'Allegato I, che riguardano l'identificazione, la gestione e la divulgazione delle vulnerabilità per tutta la durata del periodo di assistenza.
I prodotti la cui funzionalità principale rientra in una categoria dell'Allegato III sono «prodotti importanti con elementi digitali» e devono seguire procedure di valutazione della conformità più rigorose. I prodotti importanti di classe I possono utilizzare l'autovalutazione del modulo A solo se vengono applicate norme armonizzate o specifiche comuni; in caso contrario è necessario un organismo notificato. La classe II richiede sempre un organismo notificato.
I prodotti la cui funzionalità principale rientra nell'Allegato IV (dispositivi hardware con scatole di sicurezza, gateway per contatori intelligenti e smart card/elementi sicuri) sono «prodotti critici con elementi digitali». Una volta adottato dall'atto delegato pertinente, dovranno ottenere un certificato europeo di cybersicurezza al livello di garanzia «sostanziale» o superiore. Nel frattempo è richiesta una valutazione della conformità secondo il modulo B+C o H.
Esplora la libreria completa degli obblighi, comprendi il tuo ruolo o visualizza il calendario.