Cosa cambia davvero l'11 settembre 2026
Il Cyber Resilience Act UE fissa un obbligo di segnalazione vincolante che decorre dall'11 settembre 2026. Nel momento in cui un produttore ha un ragionevole grado di certezza che una vulnerabilità in uno dei suoi prodotti sia attivamente sfruttata, o che un incidente grave abbia colpito la sicurezza di quel prodotto, il conto alla rovescia inizia. Un preallarme deve raggiungere l'agenzia UE per la cybersicurezza ENISA e il relativo CSIRT nazionale entro 24 ore, instradato attraverso un'unica piattaforma di segnalazione che notifica entrambi contemporaneamente.
Il preallarme di 24 ore non è la fine. Una notifica più completa è dovuta entro 72 ore e una relazione finale entro 14 giorni, una volta disponibile una misura correttiva o di mitigazione. L'elemento scatenante non è la prova forense completa. Un'indagine in corso non ferma il conto alla rovescia, quindi la domanda pratica per un imprenditore è semplice: il vostro team saprebbe rilevare il segnale, decidere che rientra nei criteri e presentare la segnalazione entro una giornata lavorativa?
Perché riguarda prodotti che avete già venduto
Il punto che coglie molti operatori impreparati è l'ambito di applicazione. L'obbligo non si limita ai prodotti lanciati dopo la scadenza. Finché un prodotto con elementi digitali resta sul mercato UE l'11 settembre 2026 o dopo tale data, le sue vulnerabilità e i suoi incidenti gravi rientrano nel dovere di segnalazione, incluse le unità legacy e le linee più datate ancora in vendita. Un sensore connesso, un controllore di macchina o un componente software spedito anni fa possono coinvolgervi in una segnalazione a 24 ore.
È qui che si concentra l'esposizione per un tipico produttore del Mittelstand. La progettazione è stata approvata tempo fa, il prodotto è maturo e nessuno detiene un piano operativo di segnalazione a 24 ore per esso. L'attuale orientamento della Commissione del marzo 2026 è la lettura più autorevole disponibile, ma è ancora in bozza e non formalmente adottato, quindi alcuni dettagli potrebbero cambiare. Le tempistiche fondamentali e l'estensione ai prodotti esistenti sono già abbastanza chiare per pianificare di conseguenza.
Cosa un imprenditore può ragionevolmente verificare ora
Iniziate con una mappa onesta di ciò che vendete effettivamente e che ha elementi digitali, incluso il software integrato e le funzionalità connesse nelle linee più datate. Poi chiedetevi chi in azienda verrebbe a sapere per primo che uno di quei prodotti è sotto attacco, e come questo raggiunge un decisore in grado di autorizzare una segnalazione. Se la risposta onesta è che il messaggio resterebbe in una casella di posta per tutto un fine settimana, avete trovato il divario. Un responsabile designato, un percorso definito e un'esercitazione collaudata a 24 ore contano di più, qui, di un corposo documento di policy.
Niente di tutto questo è una consulenza legale, e la forma definitiva dell'orientamento non è ancora fissata. Ma la direzione è tracciata e la scadenza è vicina. Trattare il dovere di segnalazione come una questione di prontezza operativa ora, anziché come un promemoria di conformità in seguito, è ciò che distingue le aziende che presentano la segnalazione con calma da quelle che si affannano. Il lavoro è per lo più processo e responsabilità, non nuova tecnologia.
Da leggere ora: Una scadenza quantistica USA tocca la filiera · Il dovere di sicurezza ora è personale