L’Unione Europea ha approvato il Cyber Resilience Act (CRA) con un obiettivo preciso: trasformare la cybersecurity da semplice “best practice” a requisito obbligatorio per tutti i prodotti hardware e software immessi sul mercato europeo.

Sebbene l’entrata in vigore completa del regolamento sia prevista per dicembre 2027, il vero punto di svolta sarà il 2026. È in quell’anno che le aziende dovranno dimostrare di avere processi realmente operativi, in grado di gestire vulnerabilità, incidenti e obblighi di notifica in tempi estremamente ridotti.

La data chiave: 11 settembre 2026

Dal giorno 11 settembre 2026 entreranno in vigore gli obblighi di reporting previsti dall’articolo 14 del CRA.

Da quel momento, i produttori di prodotti con elementi digitali dovranno essere in grado di:

  • rilevare vulnerabilità attivamente sfruttate;
  • identificare incidenti gravi;
  • notificare rapidamente gli eventi;
  • mantenere tracciabilità tecnica e organizzativa;
  • coordinarsi con CSIRT ed ENISA.

Le tempistiche previste saranno particolarmente stringenti:

  • 24 ore per un early warning;
  • 72 ore per la notifica completa;
  • 14 giorni per il report finale sulle vulnerabilità;
  • fino a 1 mese per il report conclusivo sugli incidenti severi.

Non si tratta di semplici obblighi burocratici, ma di requisiti che richiedono capacità operative mature e processi ben strutturati.

Dal tema normativo alla capacità operativa

Molte aziende stanno ancora affrontando il CRA come una questione puramente normativa. Nel 2026, invece, il problema diventerà operativo.

La domanda non sarà più:

“Siamo compliant?”

Ma:

“Siamo davvero in grado di individuare e gestire una vulnerabilità entro poche ore?”

Per molte organizzazioni la risposta, oggi, è ancora negativa.

Questo riguarda soprattutto:

  • produttori IoT;
  • software vendor;
  • OEM industriali;
  • piattaforme SaaS;
  • sviluppatori di plugin e componenti software;
  • aziende che utilizzano software open source senza una governance strutturata.

Il CRA sposta quindi il focus dalla sicurezza dichiarata alla sicurezza dimostrabile.

ENISA e la nuova piattaforma europea di reporting

Nel 2026 entrerà in funzione anche la Single Reporting Platform (SRP), la nuova infrastruttura europea di reporting centralizzato gestita da ENISA.

Il funzionamento sarà semplice:

  • il produttore effettua una sola segnalazione;
  • la piattaforma inoltra automaticamente le informazioni ai CSIRT nazionali e ad ENISA;
  • l’ecosistema europeo ottiene una visibilità centralizzata sulle vulnerabilità sfruttate.

Questo cambierà radicalmente il paradigma della cybersecurity europea, introducendo maggiore coordinamento, monitoraggio e accountability.

Supply chain e SBOM: la criticità più sottovalutata

Uno degli aspetti più critici del CRA riguarda la software supply chain.

Per rispettare gli obblighi normativi non sarà sufficiente proteggere il codice proprietario. Le aziende dovranno sapere con precisione:

  • quali componenti vengono utilizzati;
  • quali dipendenze open source sono presenti;
  • quali vulnerabilità impattano il prodotto;
  • dove tali componenti siano distribuiti.

In questo scenario gli SBOM (Software Bill of Materials) diventeranno fondamentali.

Tuttavia, molte organizzazioni non dispongono ancora di:

  • inventari software affidabili;
  • processi automatizzati di dependency tracking;
  • pipeline CI/CD integrate con vulnerability intelligence;
  • governance chiara delle librerie open source.

Il rischio concreto è che il 2026 si trasformi in un vero “compliance shock”.

Il CRA non riguarda solo le grandi aziende

Uno degli errori più comuni è pensare che il Cyber Resilience Act coinvolga soltanto grandi vendor enterprise.

In realtà il regolamento si applica a qualsiasi prodotto con elementi digitali venduto nel mercato europeo, inclusi:

  • software commerciali;
  • dispositivi smart;
  • applicazioni cloud;
  • firmware;
  • plugin;
  • componenti embedded;
  • prodotti IoT;
  • piattaforme no-code e low-code.

Anche le aziende extra-UE che operano nel mercato europeo rientreranno nel perimetro normativo.

La vera sfida sarà la governance

Il tema centrale del CRA non sarà soltanto tecnico, ma soprattutto organizzativo.

Le aziende dovranno costruire processi ripetibili, documentabili e dimostrabili, definendo chiaramente:

  • chi prende in carico una vulnerabilità;
  • chi decide eventuali notifiche;
  • chi mantiene le evidenze;
  • chi coordina remediation e comunicazione;
  • chi governa la supply chain software.

Nel 2026 emergerà chiaramente la differenza tra le organizzazioni che hanno integrato la cybersecurity nella governance aziendale e quelle che la considerano ancora una semplice funzione IT.