Guida indipendente al Regolamento (UE) 2024/2847 · Stato: in vigore
Questa pagina è una traduzione automatica (IA) e non è stata revisionata da una persona.
Orientamenti · Fonti ufficiali

Orientamenti della Commissione europea sul CRA

Una panoramica in linguaggio chiaro degli orientamenti pubblicati dalla Commissione europea per facilitare l'interpretazione del regolamento (UE) 2024/2847; ciò che essi coprono e i punti in cui chiariscono gli obblighi del testo normativo.

01Di cosa si tratta

Il regolamento stabilisce gli obblighi; gli orientamenti della Commissione spiegano come applicarli nella pratica. Gli orientamenti non sono vincolanti e non modificano la legge, ma le autorità di vigilanza del mercato e gli organismi notificati vi fanno riferimento per un'interpretazione coerente, motivo per cui costituiscono il complemento naturale al Art. 1 testo.

Come utilizzarlo

Si consiglia di leggere gli orientamenti insieme all'articolo che interpretano. In caso di divergenza tra gli orientamenti e la propria interpretazione, il riferimento vincolante resta sempre il testo del regolamento e, in ultima istanza, l'autorità giudiziaria.

02Le FAQ della Commissione

La Commissione mantiene un documento di domande frequenti che raccoglie le questioni interpretative più comuni: i casi limite dell'ambito di applicazione, il trattamento delle parti di ricambio e dei componenti e il modo in cui la tempistica si applica ai prodotti già presenti sul mercato. Pubblicato per la prima volta nel dicembre 2025, è un "documento in continuo aggiornamento" che viene aggiornato man mano che emergono nuove domande.

Fonte ufficiale

Consulta le domande frequenti della Commissione sull'attuazione del CRA: Attuazione del regolamento sulla ciberresilienza: domande frequenti ↗

03Chiarimenti sull'ambito di applicazione

Gran parte degli orientamenti riguarda ambito di applicazione, l'ambito su cui vertono le domande più frequenti. Chiarisce che cosa rientra nella nozione di "prodotto con elementi digitali", come vengano trattate le soluzioni di trattamento dati a distanza e dove si collochi il confine con la legislazione settoriale. Art. 2

  • Connessione dati; una connessione logica o fisica, diretta o indiretta, è sufficiente per far rientrare un prodotto nell'ambito di applicazione.
  • Settori esclusi; i dispositivi medici, i veicoli a motore e l'aviazione civile restano disciplinati dai rispettivi quadri normativi.
  • SaaS; i servizi autonomi sono generalmente esclusi dal CRA, ma il trattamento necessario al funzionamento di un prodotto è considerato parte del prodotto stesso. Art. 3

04Software open source

Gli orientamenti illustrano il regime su misura e alleggerito per l'open source. Il software open source non commerciale sviluppato al di fuori di un'attività commerciale rimane in gran parte al di fuori dell'ambito di applicazione; gli “amministratori di software open source” hanno una serie di obblighi definiti e proporzionati.

Distinzione fondamentale

L'elemento determinante è l'attività commerciale. Un componente fornito gratuitamente ma nell'ambito di un'attività commerciale può comunque rientrare nell'ambito di applicazione.

05Periodo di supporto e aggiornamenti

Gli orientamenti indicano come definire in modo difendibile un periodo di supporto: deve riflettere per quanto tempo si prevede ragionevolmente che il prodotto sia in uso e dovrebbe generalmente essere di almeno cinque anni, salvo che l'uso previsto sia inferiore. Gli aggiornamenti di sicurezza devono essere gratuiti e forniti separatamente dagli aggiornamenti delle funzionalità. Art. 13

06Segnalazione ed ENISA

La segnalazione avviene tramite la piattaforma unica di segnalazione che ENISA sta istituendo ai sensi dell' Art. 16. Venuto a conoscenza di una vulnerabilità sfruttata attivamente o di un grave incidente che incide sulla sicurezza del prodotto, il fabbricante ne dà notifica all'ENISA e al CSIRT nazionale tramite tale piattaforma secondo una tempistica di 24 ore / 72 ore / 14 giorni. Gli orientamenti precisano i contenuti del preallarme, della notifica e della relazione finale. Art. 14

Si applica dall'11 settembre 2026

Gli obblighi di segnalazione diventano applicabili l'11 settembre 2026 e si prevede che la piattaforma unica di segnalazione dell'ENISA sia operativa entro tale data.

07Norme armonizzate

I requisiti essenziali dell' Allegato I sono espressi in termini di risultato. Le norme armonizzate, una volta citate nella Gazzetta ufficiale, conferiscono una presunzione di conformità ai prodotti che le rispettano.

La richiesta di normazione della Commissione M/606 è stato accettato da CEN, CENELEC ed ETSI nel 2025 e copre circa 41 norme: all'incirca 15 orizzontali (indipendenti dal prodotto) e le restanti verticali (specifiche per prodotto). Le due norme orizzontali fondamentali, sullo sviluppo sicuro e sulla gestione delle vulnerabilità, sono attese entro il 30 agosto 2026; le norme verticali entro il 30 ottobre 2026; e le restanti norme orizzontali entro il 30 ottobre 2027, circa un anno prima della piena applicazione.

Perché è importante

Fino a quando non vengono citate norme, la conformità deve essere dimostrata direttamente rispetto ai requisiti dell’Allegato I. Una volta citata una norma pertinente, seguirla è il modo più semplice per ottenere una presunzione di conformità.