La SECURE First Open Call è aperta dal 28 gennaio 2026 al 29 marzo 2026 e prevede un contributo fino a EUR 30.000 per progetto con co-finanziamento al 50% per interventi di cybersecurity legati alla readiness CRA. Per i team cybersecurity, GRC e compliance è una finestra operativa immediata, non una pianificazione da rinviare al prossimo trimestre. (Pagina SECURE, Annex 1 Guidelines, FAQ)
Punti chiave
- Data di pubblicazione bando: 28/01/2026.
- Scadenza bando: 29/03/2026.
- Budget totale: EUR 5.000.000.
- Modello di finanziamento: lump sum, con co-finanziamento al 50% fino a EUR 30.000.
- Se i costi progetto superano EUR 60.000, il contributo SECURE resta comunque limitato a EUR 30.000.
- Durata massima del progetto dopo firma del Sub-Grant Agreement: 180 giorni di calendario.
- È ammissibile una sola proposta per organizzazione in ogni call.
- È prevista almeno un'altra open call SECURE dopo questa.
Fonti: Annex 1 Guidelines, Annex 1.2 Budget Guidelines, FAQ.
Scheda sintetica della call
| Voce | Valore confermato | Fonte ufficiale |
|---|---|---|
| Finestra call | 28 gennaio 2026 - 29 marzo 2026 | Annex 1, Pagina call |
| Budget totale | EUR 5.000.000 | Annex 1 |
| Contributo massimo per progetto | EUR 30.000 | Annex 1, FAQ |
| Co-finanziamento | 50% dei costi ammissibili | Annex 1, Annex 1.2 |
| Forma del contributo | Lump sum | Annex 1 |
| Durata progetto | Fino a 180 giorni di calendario | Annex 1, FAQ |
Chi può candidarsi
La call è rivolta a singole entità legali che rientrano nella definizione di mPMI e sono stabilite in Paesi ammissibili.
- Copertura geografica in Annex 1: Stati membri UE (incluse OCT) e Paesi SEE (Norvegia, Islanda, Liechtenstein).
- La definizione di mPMI richiama la Raccomandazione 2003/361/CE e gli aggiornamenti UE collegati.
- I consorzi non sono ammissibili in questa call.
- Ogni organizzazione può presentare una sola proposta per call.
Fonti: Annex 1 Guidelines, FAQ, Definizione UE di SME.
Cosa può finanziare SECURE
Il finanziamento è destinato ad attività che supportano la readiness CRA e la resilienza cyber della mPMI candidata.
Esempi esplicitamente coperti nei documenti di call:
- attività di compliance e governance,
- miglioramenti tecnici di sicurezza (ad esempio vulnerability assessment, penetration test, code analysis),
- interventi di resilienza ICT/IT/OT,
- formazione e awareness,
- acquisto di beni e servizi strumentali a risultati allineati al CRA.
L'elenco dettagliato delle categorie è riportato in Annex 2, con esempi e perimetro di eleggibilità. I dettagli sono definiti nella documentazione ufficiale della call. (Annex 2 CRA Scope & Eligible Activities, Annex 1 Guidelines, FAQ)
Modello di valutazione e soglie decisionali
La valutazione usa tre criteri di assegnazione:
- Excellence and relevance
- Impact and clarity
- Implementation
Punti operativi ricavati da Annex 1:
- ogni criterio è valutato da tre evaluator su scala 0-5,
- la somma consensuale arrotondata per criterio può arrivare a 15,
- il punteggio totale medio ponderato ha massimo 15,
- la proposta è esclusa se scende sotto 10 in due o più criteri,
- la proposta è esclusa anche se il totale è sotto 10.
Fonti: Annex 1 Guidelines, Pagina call.
Tempi di contrattualizzazione e pagamenti
- La documentazione SECURE indica notifiche di rigetto/ammissione in circa 150-155 giorni dalla chiusura call.
- Il pre-finanziamento opzionale è fissato al 40% del grant dopo firma del Sub-Grant Agreement, se richiesto in candidatura.
- Il saldo viene erogato dopo implementazione e approvazione del technical report.
Fonti: Annex 1 Guidelines, Annex 1.2 Budget Guidelines, FAQ.
Perché la call è rilevante per i programmi CRA nel 2026
Il Regolamento (UE) 2024/2847 è entrato in vigore il 10 dicembre 2024. Il CRA si applica dall'11 dicembre 2027, con tappe anticipate per specifiche disposizioni, inclusi l'articolo 14 dall'11 settembre 2026 e il Capo IV (articoli 35-51) dall'11 giugno 2026. Per questo il 2026 è un anno di transizione operativa. (EUR-Lex testo CRA, articolo 71, Sintesi CRA Commissione Europea)
Checklist operativa per security, GRC e compliance
- Confermare status legale e qualifica mPMI prima di definire budget e work package.
- Mappare l'intervento proposto al perimetro CRA e ai criteri di eleggibilità SECURE.
- Costruire un budget coerente con i vincoli di Annex 1.2 e con le evidenze richieste.
- Allineare evidenze e KPI ai tre criteri di valutazione prima dell'invio.
- Pianificare risorse interne per una finestra di implementazione di 180 giorni e relativa reportistica tecnica.
- Verificare che ogni hard fact della proposta sia tracciabile ai documenti ufficiali SECURE.
FAQ
Il grant copre il 100% dei costi?
No. Il contributo è limitato al 50% dei costi ammissibili e fino a EUR 30.000 per progetto. (Annex 1 Guidelines, FAQ)
Una stessa azienda può inviare più proposte in questa call?
No. È ammissibile una sola proposta per organizzazione in una singola call. (FAQ)
Sono ammissibili progetti per vendere strumenti di compliance ad altre PMI?
La call è orientata ai bisogni di compliance CRA della PMI candidata. Iniziative focalizzate soprattutto sulla commercializzazione a terzi non sono il target primario, salvo un collegamento diretto al percorso di conformità della candidata. (FAQ, Annex 2)
Serve essere classificati NIS2 come entità essenziale/importante?
No. L'eleggibilità è legata al perimetro CRA e ai criteri di call, non alla classificazione NIS2. (FAQ)