A partire dall'11 settembre 2026, i produttori sono tenuti a segnalare le vulnerabilità attivamente sfruttate e gli incidenti gravi che incidono sulla sicurezza dei prodotti con elementi digitali.
Quali sono le regole principali?
La CRA impone ai fabbricanti di notificare le vulnerabilità attivamente sfruttate e gli incidenti gravi che hanno un impatto sulla sicurezza dei loro prodotti con elementi digitali. Devono presentare un allarme rapido entro 24 ore dal momento in cui ne sono venuti a conoscenza e una notifica completa entro 72 ore. Una relazione finale deve essere presentata entro 14 giorni dalla disponibilità di una misura correttiva per le vulnerabilità attivamente sfruttate ed entro un mese per gli incidenti gravi.
I fabbricanti riferiscono una sola volta attraverso la piattaforma unica di comunicazione delle agenzie di rating del credito (SRP). La notifica è indirizzata al gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) in cui hanno lo stabilimento principale e, salvo circostanze particolarmente eccezionali, le informazioni sono messe a disposizione simultaneamente dell'ENISA. Il CSIRT che riceve inizialmente la notifica condividerà senza indugio la notifica con tutti gli altri CSIRT sul territorio dei quali il prodotto con elementi digitali è stato messo a disposizione.
In circostanze eccezionali e sulla base di giustificati motivi connessi alla cibersicurezza, il CSIRT può decidere di ritardare la diffusione ad altri CSIRT: l'11 dicembre 2025 la Commissione ha adottato un atto delegato che specifica ulteriormente i termini e le condizioni per l'applicazione di tali motivi connessi alla cibersicurezza.
Quando sarà ultimata la piattaforma unica di comunicazione delle agenzie di rating del credito?
A norma dell'articolo 16 dell'agenzia di rating del credito, l'ENISA ha il compito di istituire la piattaforma unica di comunicazione delle agenzie di rating del credito (SRP).
L'ENISA ha indetto una gara d'appalto pubblica e ha ottenuto servizi da un contraente per contribuire allo sviluppo del piano strategico per la ripresa e la resilienza.
La piattaforma unica di comunicazione sarà operativa entro l'11 settembre 2026 (data di entrata in applicazione degli obblighi di comunicazione delle agenzie di rating del credito), con un periodo di prova prima di tale data.
Ulteriori informazioni sul CRA SRP saranno rese disponibili a breve.
Organismi di cooperazione pertinenti
Documenti di riferimento e link
Domande frequenti sull'attuazione delle agenzie di rating del credito
Atto delegato sui CSIRT che trattengono le notifiche da diffondere attraverso la piattaforma unica di comunicazione (adottata, pubblicazione in attesa di opposizione)
Contenuti correlati
Quadro generale